Botnet Grum Spam-Jäger knipsen riesiges Zombie-Netzwerk aus

Ein riesiges Netz aus gekaperten Rechnern verschickte 18 Milliarden Spam-Mails - jeden Tag. Jetzt haben Sicherheitsexperten das Botnet namens Grum abgeschaltet. Doch der Kampf gegen solche Zombie-Netzwerke hat seine Tücken: Oft kommen sie zurück.

Unerwünschte Nachrichten im Postfach (Symbolbild): 18 Prozent des weltweiten Spams
Corbis

Unerwünschte Nachrichten im Postfach (Symbolbild): 18 Prozent des weltweiten Spams


Hamburg - Das Grum-Botnet zählte zu den größten Welt. Nun ist es Sicherheitsexperten der kalifornischen Firma FireEye nach eigenen Angaben gelungen, die Kontrollserver ausfindig zu machen. Diese wurden vom Netz genommen, das Botnet damit abgeschaltet. Über rund 120.000 infizierte Computer sollen 18 Prozent des globalen Spam-Aufkommens verschickt worden sein, genauer: 18 Milliarden Spam-Mails am Tag. Das Botnetz selbst könne noch größer sein, so einer der beteiligten Sicherheitsforscher, denn nicht alle infizierten Rechner verschickten auch Spam.

Mehrere Tage lang lieferten sich die Spammer und ihre Verfolger ein Katz-und-Maus-Spiel, berichtet das Unternehmen FireEye im Firmenblog. Kontrolliert wurden die infizierten Rechner von Servern in den Niederlanden, Panama und Russland. Den Server in den Niederlanden habe man in Zusammenarbeit mit den dortigen Behörden abschalten können.

Dann sei auch der Provider in Panama unter dem Druck der IT-Sicherheits-Szene eingeknickt und habe den dortigen Kontrollserver vom Netz genommen. Blieb noch einer in Russland. Doch die Betreiber ersetzten den Panama-Server durch sechs neue Kontrollserver in der Ukraine. Die Sicherheitsexperten aktivierten ihre Kontakte, informierten Systemadministratoren und Provider.

Mit Erfolg: Am Donnerstagmorgen kalifornischer Zeit seien dann sämtliche Grum-Server in der Ukraine und in Russland nach einer nächtlichen Aktion offline gewesen. Nach der Aktion sei die Anzahl der Spam-Rechner auf 21.505 Rechner gesunken. Ohne neue Befehle werden diese Computer allenfalls noch E-Mails verschicken, die von Spam-Filtern erkannt werden - und irgendwann verstummen.

FireEye erklärte außerdem, das Botnet habe aus mehr als 120.000 Computern bestanden. Etliche der infizierten Rechner hätten gar keine Spam-Mails verschicken können, weil sie in gesicherten Firmennetzen von Filterprogrammen daran gehindert wurden. Die Botnet-Betreiber dürften sie genutzt haben, um Websites mit Werbung zu platzieren.

Totgesagte leben länger

Das Grum-Ende kann als weiterer Erfolg vereinter Bemühungen von IT-Industrie, Behörden und Sicherheitsexperten gelten, den Spam-Wellen und kriminellen Machenschaften von Botnet-Betreibern den Garaus zu machen. So hatten vergangenes Jahr Microsoft, FireEye und US-Ermittler gemeinsam das Rustock-Botnet ausgehoben, dem seinerzeit die Hälfte des weltweiten Spams zugeschrieben wurde. Anfang 2010 war es Microsoft gelungen, das gewaltige Waledac-Botnet mit Hilfe eines juristischen Tricks lahmzulegen. Der Effekt dieses Schlages war jedoch vergleichsweise gering. Damals vermuteten Sicherheitsforscher, womöglich seien einige der Kontrollserver des Waledac-Netzwerkes doch noch aktiv.

Auch im neuen Fall gilt: Selbst wenn FireEye das Ende von Grum auf seiner Startseite als "Breaking News" verkauft, könnte der Jubel nur von kurzer Dauer sein. So nennt die "New York Times" gleich mehrere Fälle, in denen Botnet-Betreiber schon nach kurzer Zeit wieder aktiv wurden.

Allerdings sei die Infrastruktur von Grum derart zerstört worden, dass die Verantwortlichen ihr Botnet komplett neu aufbauen müssten, sagt FireEye-Forscher Atif Mushtaq laut "New York Times". "Wenn der Hauptserver tot ist, können die infizierten Rechner nicht länger Spam versenden oder mit einem neuen Server kommunizieren."

Das Spam-Problem ist schon seit vielen Jahren gewaltig, trotz aller Bemühungen von Firmen und Behörden. 2010, behauptet das IT-Beratungsunternehmen Pingdom, sollen bereits rund 95 Billionen - das sind 95.000 Milliarden - Spam-Mails über die Leitungen gegangen sein. Eine irrwitzige, natürlich auf Schätzungen beruhende Zahl - aber keine Schätzung geht von weniger als 60 Billionen E-Mails im Jahr aus. Schon 2008, errechnete das IT-Sicherheitsunternehmen McAfee, verbrauchte allein der Transport all dieser Spam-Bits-und-Bytes 33 Milliarden Kilowattstunden.

can



insgesamt 10 Beiträge
Alle Kommentare öffnen
Seite 1
willi2007 19.07.2012
1. Er wird Zeit
dass international die Kaperung fremder Rechner unter Strafe gestellt und den Besitzer gekaperter Rechner ein gerichtlich durchsetzbarer Schadensersatzanspruch, z. B. für den Zeitaufwand zur Beseitigung von Malware, gegen die Initiatoren und Betreiber der Bot-Netze geschaffen wird. Gerade in Russland könnte sich der lupenreinste Demolkrat aller Ägiden im Kreml hier einmal profilieren. Aber der stempelt ja lieber in Russland tätige ausländische Organisation als Agenten und Spione ab und unterstützt solche Herren wie Assad in Syrien.
socketuning 19.07.2012
2. Es wäre schön
wenn man die befallenen Rechner mit einer passenden Fehlermeldung abschalten dürfte. Leider ist das juristisch nicht drin, man würde sich damit strafbar machen. Technisch ist das kein Thema wenn man den Server unter Kontrolle hat, man könnte den Trojanern dann einfach einen passenden Befehl senden z.B. ein Programm zu laden und zu installieren was den nächsten Neustart verhindert.
herr_kowalski 19.07.2012
3. ...und wovon träumen Sie nachts ??
Zitat von willi2007dass international die Kaperung fremder Rechner unter Strafe gestellt und den Besitzer gekaperter Rechner ein gerichtlich durchsetzbarer Schadensersatzanspruch, z. B. für den Zeitaufwand zur Beseitigung von Malware, gegen die Initiatoren und Betreiber der Bot-Netze geschaffen wird. Gerade in Russland könnte sich der lupenreinste Demolkrat aller Ägiden im Kreml hier einmal profilieren. Aber der stempelt ja lieber in Russland tätige ausländische Organisation als Agenten und Spione ab und unterstützt solche Herren wie Assad in Syrien.
Haben Sie eine Vorstellung davon, was mit so einem Botnet verdient wird ? Schließlich leben wir im Kapitalismus und da regelt der Markt alles ganz von alleine.
sappelkopp 19.07.2012
4. Gute Frage, die habe ich mir auch...
Zitat von herr_kowalskiHaben Sie eine Vorstellung davon, was mit so einem Botnet verdient wird ? Schließlich leben wir im Kapitalismus und da regelt der Markt alles ganz von alleine.
...schon gestellt. Sie scheinen Sie ja beantworten zu können. Also, um wieviel Asche geht es bei so einem Netzwerk?
adamsh 19.07.2012
5. Hauptserver, SPAM, ?????????
Zitat:"Etliche der infizierten Rechner hätten gar keine Spam-Mails verschicken können, weil sie in gesicherten Firmennetzen von Filterprogrammen daran gehindert wurden. Die Botnet-Betreiber dürften sie genutzt haben, um Websites mit Werbung zu platzieren" 1) Wie kam die Schadsoftware in gesicherten Netzen überhaupt auf die Rechner und wie konnte sie diese gesicherten Rechner zu Zombies machen? 2) Wollen Sie Werbung verteilen auf Webseiten, so benötigen Sie Webserver im öffentlichen Netz, nicht in gesicherten Firmennetzen. Preisfrage: Was haben denn die Zombies in den Firmennetzen tatsächlich verteilt??? Zitat: ""Wenn der Hauptserver tot ist, können die infizierten Rechner nicht länger Spam versenden oder mit einem neuen Server kommunizieren." Der Herr hat wohl noch nichts von (selbstorganisierenden) Diffusionsnetzen gehört? Zentrale Server sind eine große Schwachstelle --- ich gehe davon aus, dass moderne Botnetze die nicht mehr brauchen. Sollten die Angaben im Artikel stimmen, so hat man mit viel Aufwand ein Botnetz geringer technischer Raffinesse, das gerade einmal Spamm verteilte, stillgelegt. So etwas nennt man heute Erfolg. Zumindest bei denen, die an die echten Knilche nicht herankommen... HA
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.