SPIEGEL ONLINE

SPIEGEL ONLINE

19. Juli 2012, 15:07 Uhr

Botnet Grum

Spam-Jäger knipsen riesiges Zombie-Netzwerk aus

Ein riesiges Netz aus gekaperten Rechnern verschickte 18 Milliarden Spam-Mails - jeden Tag. Jetzt haben Sicherheitsexperten das Botnet namens Grum abgeschaltet. Doch der Kampf gegen solche Zombie-Netzwerke hat seine Tücken: Oft kommen sie zurück.

Hamburg - Das Grum-Botnet zählte zu den größten Welt. Nun ist es Sicherheitsexperten der kalifornischen Firma FireEye nach eigenen Angaben gelungen, die Kontrollserver ausfindig zu machen. Diese wurden vom Netz genommen, das Botnet damit abgeschaltet. Über rund 120.000 infizierte Computer sollen 18 Prozent des globalen Spam-Aufkommens verschickt worden sein, genauer: 18 Milliarden Spam-Mails am Tag. Das Botnetz selbst könne noch größer sein, so einer der beteiligten Sicherheitsforscher, denn nicht alle infizierten Rechner verschickten auch Spam.

Mehrere Tage lang lieferten sich die Spammer und ihre Verfolger ein Katz-und-Maus-Spiel, berichtet das Unternehmen FireEye im Firmenblog. Kontrolliert wurden die infizierten Rechner von Servern in den Niederlanden, Panama und Russland. Den Server in den Niederlanden habe man in Zusammenarbeit mit den dortigen Behörden abschalten können.

Dann sei auch der Provider in Panama unter dem Druck der IT-Sicherheits-Szene eingeknickt und habe den dortigen Kontrollserver vom Netz genommen. Blieb noch einer in Russland. Doch die Betreiber ersetzten den Panama-Server durch sechs neue Kontrollserver in der Ukraine. Die Sicherheitsexperten aktivierten ihre Kontakte, informierten Systemadministratoren und Provider.

Mit Erfolg: Am Donnerstagmorgen kalifornischer Zeit seien dann sämtliche Grum-Server in der Ukraine und in Russland nach einer nächtlichen Aktion offline gewesen. Nach der Aktion sei die Anzahl der Spam-Rechner auf 21.505 Rechner gesunken. Ohne neue Befehle werden diese Computer allenfalls noch E-Mails verschicken, die von Spam-Filtern erkannt werden - und irgendwann verstummen.

FireEye erklärte außerdem, das Botnet habe aus mehr als 120.000 Computern bestanden. Etliche der infizierten Rechner hätten gar keine Spam-Mails verschicken können, weil sie in gesicherten Firmennetzen von Filterprogrammen daran gehindert wurden. Die Botnet-Betreiber dürften sie genutzt haben, um Websites mit Werbung zu platzieren.

Totgesagte leben länger

Das Grum-Ende kann als weiterer Erfolg vereinter Bemühungen von IT-Industrie, Behörden und Sicherheitsexperten gelten, den Spam-Wellen und kriminellen Machenschaften von Botnet-Betreibern den Garaus zu machen. So hatten vergangenes Jahr Microsoft, FireEye und US-Ermittler gemeinsam das Rustock-Botnet ausgehoben, dem seinerzeit die Hälfte des weltweiten Spams zugeschrieben wurde. Anfang 2010 war es Microsoft gelungen, das gewaltige Waledac-Botnet mit Hilfe eines juristischen Tricks lahmzulegen. Der Effekt dieses Schlages war jedoch vergleichsweise gering. Damals vermuteten Sicherheitsforscher, womöglich seien einige der Kontrollserver des Waledac-Netzwerkes doch noch aktiv.

Auch im neuen Fall gilt: Selbst wenn FireEye das Ende von Grum auf seiner Startseite als "Breaking News" verkauft, könnte der Jubel nur von kurzer Dauer sein. So nennt die "New York Times" gleich mehrere Fälle, in denen Botnet-Betreiber schon nach kurzer Zeit wieder aktiv wurden.

Allerdings sei die Infrastruktur von Grum derart zerstört worden, dass die Verantwortlichen ihr Botnet komplett neu aufbauen müssten, sagt FireEye-Forscher Atif Mushtaq laut "New York Times". "Wenn der Hauptserver tot ist, können die infizierten Rechner nicht länger Spam versenden oder mit einem neuen Server kommunizieren."

Das Spam-Problem ist schon seit vielen Jahren gewaltig, trotz aller Bemühungen von Firmen und Behörden. 2010, behauptet das IT-Beratungsunternehmen Pingdom, sollen bereits rund 95 Billionen - das sind 95.000 Milliarden - Spam-Mails über die Leitungen gegangen sein. Eine irrwitzige, natürlich auf Schätzungen beruhende Zahl - aber keine Schätzung geht von weniger als 60 Billionen E-Mails im Jahr aus. Schon 2008, errechnete das IT-Sicherheitsunternehmen McAfee, verbrauchte allein der Transport all dieser Spam-Bits-und-Bytes 33 Milliarden Kilowattstunden.

can

URL:


© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung