Angst vor Hacks von Wahltechnik US-Behörden schalten gefährliches Bot-Netzwerk TrickBot ab

Über das TrickBot-Netz sollen Hacker weltweit Unternehmen und Haushalte angegriffen haben. Auch Attacken auf die US-Wahl waren befürchtet worden. Nun haben Microsoft und US-Behörden den Stecker gezogen.
Foto: Arno Burgi/ dpa

Microsoft und Vertreter der IT-Sicherheitsindustrie haben in einer Gemeinschaftsaktion das technische Rückgrat des kriminellen Computernetzwerks TrickBot zerstört. Seit Ende 2016 habe TrickBot weltweit über eine Million Computergeräte infiziert und so ein Bot-Netz aufgebaut, teilten Microsoft und das slowakische Sicherheitsunternehmen ESET am Montag mit. Über das Bot-Netz wurden vor allem Erpressungstrojaner verteilt, die Dateien der Opfer verschlüsseln und zur Freigabe ein Lösegeld verlangen.

IT-Sicherheitsexperten sehen in TrickBot auch eine potenzielle Gefahr für die anstehenden US-Wahlen. Tatsächlich werden immer wieder auch Stadtverwaltungen und öffentliche Stellen durch Angriffe mit Erpressungstrojanern lahmgelegt, die von Netzwerken wie TrickBot ausgehen. Die Sorge der Experten scheint nun, dass ein erfolgreicher Angriff auf staatliche Stellen im Zeitraum der Wahlen oder der Stimmauszählung Zweifel an der Legitimität der Wahlen schüren könnte.

Wie die "New York Times" berichtet , gingen parallel zu den Technikunternehmen auch US-Behörden gegen TrickBot vor. Die beiden TrickBot-Jäger wussten dabei aber offenbar nicht voneinander. Laut dem Medienbericht greift das United States Cyber Command, eine auf Cyberangriffe spezialisierte US-Militärbehörde, bereits seit einem Monat die Infrastruktur von TrickBot an. Demnach hätte die Behörde begonnen, zentrale Steuerungsserver zu hacken.

Wer genau hinter dem TrickBot-Netzwerk steckt, ist nicht bekannt. Der Microsoft-Mitarbeiter Tom Burt, der die Kampagne des Unternehmens gegen TrickBot leitete, sagte der "New York Times", er könne zumindest sagen, dass die Betreiber aus Osteuropa kommen und Russisch sprechen.

Microsoft bekam vom Richter die Erlaubnis zur Attacke

Microsoft teilte mit, für die Zerstörung des kriminellen Netzwerks habe man zuvor beim Bezirksgericht der Vereinigten Staaten für den östlichen Bezirk von Virginia einen Beschluss erwirkt, um technische Maßnahmen gegen das Netzwerk einleiten zu können. Das Unternehmen habe die Kommandoserver identifiziert, über die infizierte Geräte gesteuert wurden, und das Gericht habe den beteiligten Unternehmen unter anderem gestattet, diese Server vom Netz zu nehmen. Microsoft konnte demnach erfolgreich argumentieren, dass die Täter Teile seines Codes für kriminelle Zwecke genutzt hatten - die Klage war also auch eine Urheberrechtsklage.

Eine Microsoft-Sprecherin sagte: "Wir haben nun wichtige Infrastruktur abgeschnitten, sodass diejenigen, die TrickBot betreiben, nicht mehr in der Lage sein werden, neue Infektionen auszulösen oder Lösegeldforderungen zu aktivieren, die bereits in Computersystemen abgelegt wurden."

Unklar ist, wie lange der Angriff auf TrickBot erfolgreich sein kann. Microsoft geht davon, dass die Betreiber hinter dem Netzwerk versuchen werden, ihr Bot-Netz wieder im großen Stil ans Netz zu bekommen.

Von Microsoft und den an der Aktion beteiligten Sicherheitsunternehmen hieß es, TrickBot sei besonders gefährlich, weil die Schadsoftware ständig weiterentwickelt werde. Das Bot-Netz sei von den kriminellen Betreibern auch für Angriffe vermietet worden. Dabei habe TrickBot nicht nur herkömmliche Desktop-Computer infiziert, sondern Geräte aus dem "Internet der Dinge" wie etwa Router.

hpp/pbe/dpa
Die Wiedergabe wurde unterbrochen.