Trickbot-Botnet: US-Militär startet Gegenangriff

Um die Präsidentschaftswahlen zu schützen, hat das US Cyber Command offenbar gezielt das Trickbot-Botnet unter Beschuss genommen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 64 Beiträge

(Bild: Evdokimov Maxim/Shutterstock.com)

Von
  • Ronald Eikenberg

Die Cybercrime-Gang hinter dem gefürchteten Trickbot-Botnet hat derzeit vermutlich alle Hände voll zu tun: Die US-Regierung überflutet das Netz offenbar mit Fake-Clients und falschen Konfigurationsdateien, um den Betrieb zumindest vorrübergehend zu stören. Dies soll eine Beeinflussung der bevorstehenden US-Präsidentschaftswahlen erschweren, wie die Washington Post berichtet.

Kein Anschluss unter dieser Nummer: Die IP-Adresse 127.0.0.1 zeigt auf den lokalen Rechner, statt auf einen C&C-Server der Trickbot-Infrastruktur.

(Bild: Brian Krebs)

Dass etwas im Busch ist, war schon länger bekannt: So berichtete der Security-Spezialist Brian Krebs bereits Anfang Oktober von merkwürdigen Aktivitäten bei Trickbot. Demnach wurden auffällige Konfigurationsdateien an die infizierten Clients verteilt, welche die Adresse des Command-and-Control-Servers (C&C-Server) auf https://127.0.0.1 setzen. Unter dieser Loopback-Adresse erreicht der infizierte Rechner nur sich selbst, folglich kann er keine neuen Instruktionen abrufen.

Zudem sei die Zahl der infizierten Clients am 1. Oktober laut Krebs von 2,7 Millionen auf 7 Millionen angestiegen, was dafürspricht, dass jemand das Botnet mit Fake-Bots flutet. Die Geisterrechner stehen vermeintlich beim US-Verteidigungsministerium und diversen Finanzunternehmen, wie sich aus den Rechnernamen der Fake-Clients ableiten lässt. Einen Bezug zur US-Regierung stellte Krebs zu diesem Zeitpunkt jedoch noch nicht her. Eine Beteiligung der US-Cyberwar-Behörde United States Cyber Command wurde erst durch den Artikel der Washington Post bekannt.

Gegenüber der Washington Post berichten US-Beamte, dass der Gegenangriff das Trickbot-Botnet wohl nicht dauerhaft lahmlegen werde. Jedoch werden die Hintermänner voraussichtlich eine Weile damit beschäftigt sein, ehe der Normalbetrieb wiederhergestellt ist. Ziel des Gegenangriffs ist offenbar, eine Beeinflussung der bevorstehenden US-Präsidentschaftswahlen durch das schlagkräftige Botnet zu verhindern.

Auch durch eine Zusammenarbeit von Microsoft, Eset, Symantec, Broadcom, NTT und weiteren ist offenbar ein Schlag gegen Trickbot geglückt: Wie Microsoft berichtet, konnten wichtige Teile der Trickbot-Infrastruktur gestört werden, wodurch die Cyber-Angreifer damit nicht länger in der Lage sein sollen, neue Malware zu verteilen und Payloads zu aktivieren. Unklar ist derzeit noch, ob es sich um eine separate Aktion handelt oder ob es einen direkt Zusammenhang mit den Aktivitäten des US Cyber Command gibt.

(rei)