Grum: Drittgrößtes Botnetz ausgeschaltet

Die Tage eines der größten Botnetze der Welt sind gezählt: Am gestrigen Mittwoch ist der letzte Kommandoserver der Grum-Botnets offline gegangen, wie der Sicherheitsexperte Atif Mushtaq von FireEye berichtet. Grum wurde zum Spam-Versand genutzt und soll für über 17 Prozent des weltweiten Spam-Aufkommens verantwortlich gewesen sein.

Mit dem Kommandoserver, der unter dem Dach eines russischen Internet-Providers betrieben wurde, haben die Sicherheitsexperten rund um Mushtaq die letzte Lebensader von Grum gekappt. Laut einer Analyse kennt der Bot nämlich nur eine handvoll Kommandoserver, deren IP-Adressen fest in seine Binärdatei einkodiert sind. Der Server ist nicht mehr erreichbar, weil der Upstream-Provider, der den Internet-Provider mit dem weltweiten Datennetz verbindet, das Routing der Server-IP eingestellt hat. Der Internet-Provider selbst hat laut Mushtaq nicht dazu beigetragen.

Am Dienstag haben die Experten bereits einen zweiten Kommandoserver in Panama lahm gelegt, dort allerdings mit Unterstützung des zuständigen ISPs. Ohne die Kommandoserver können sich die Bots nicht mehr mit den Auftragsservern verbinden, bei denen sie sich ihre Spam-Aufträge abholen. Auch Auftragsserver gibt es nicht mehr: die letzten sechs gingen gestern offline. Sie wurden kurz davor gerade erst in Betrieb genommen.

Mushtaq liegen Daten der Antispam-Organisation Spamhaus vor, laut denen zuletzt rund 120.000 IP-Adressen täglich zum Versand des Grum-Spams genutzt wurden. Nach dem Takedown der Server ging diese Zahl auf rund 20.000 zurück. Der Experte hofft, dass diese Zahlen sich weiter nach unten entwickeln, wenn die noch erteilten Spam-Aufträge nach und nach auslaufen. (rei)