Trickbot-Botnet: US-Milit?r startet Gegenangriff

Um die Pr?sidentschaftswahlen zu schützen, hat das US Cyber Command offenbar gezielt das Trickbot-Botnet unter Beschuss genommen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 64 Beitr?ge

(Bild: Evdokimov Maxim/Shutterstock.com)

Von
  • Ronald Eikenberg

Die Cybercrime-Gang hinter dem gefürchteten Trickbot-Botnet hat derzeit vermutlich alle H?nde voll zu tun: Die US-Regierung überflutet das Netz offenbar mit Fake-Clients und falschen Konfigurationsdateien, um den Betrieb zumindest vorrübergehend zu st?ren. Dies soll eine Beeinflussung der bevorstehenden US-Pr?sidentschaftswahlen erschweren, wie die Washington Post berichtet.

Kein Anschluss unter dieser Nummer: Die IP-Adresse 127.0.0.1 zeigt auf den lokalen Rechner, statt auf einen C&C-Server der Trickbot-Infrastruktur.

(Bild:?Brian Krebs)

Dass etwas im Busch ist, war schon l?nger bekannt: So berichtete der Security-Spezialist Brian Krebs bereits Anfang Oktober von merkwürdigen Aktivit?ten bei Trickbot. Demnach wurden auff?llige Konfigurationsdateien an die infizierten Clients verteilt, welche die Adresse des Command-and-Control-Servers (C&C-Server) auf https://127.0.0.1 setzen. Unter dieser Loopback-Adresse erreicht der infizierte Rechner nur sich selbst, folglich kann er keine neuen Instruktionen abrufen.

Zudem sei die Zahl der infizierten Clients am 1. Oktober laut Krebs von 2,7 Millionen auf 7 Millionen angestiegen, was dafürspricht, dass jemand das Botnet mit Fake-Bots flutet. Die Geisterrechner stehen vermeintlich beim US-Verteidigungsministerium und diversen Finanzunternehmen, wie sich aus den Rechnernamen der Fake-Clients ableiten l?sst. Einen Bezug zur US-Regierung stellte Krebs zu diesem Zeitpunkt jedoch noch nicht her. Eine Beteiligung der US-Cyberwar-Beh?rde United States Cyber Command wurde erst durch den Artikel der Washington Post bekannt.

Gegenüber der Washington Post berichten US-Beamte, dass der Gegenangriff das Trickbot-Botnet wohl nicht dauerhaft lahmlegen werde. Jedoch werden die Hinterm?nner voraussichtlich eine Weile damit besch?ftigt sein, ehe der Normalbetrieb wiederhergestellt ist. Ziel des Gegenangriffs ist offenbar, eine Beeinflussung der bevorstehenden US-Pr?sidentschaftswahlen durch das schlagkr?ftige Botnet zu verhindern.

Auch durch eine Zusammenarbeit von Microsoft, Eset, Symantec, Broadcom, NTT und weiteren ist offenbar ein Schlag gegen Trickbot geglückt: Wie Microsoft berichtet, konnten wichtige Teile der Trickbot-Infrastruktur gest?rt werden, wodurch die Cyber-Angreifer damit nicht l?nger in der Lage sein sollen, neue Malware zu verteilen und Payloads zu aktivieren. Unklar ist derzeit noch, ob es sich um eine separate Aktion handelt oder ob es einen direkt Zusammenhang mit den Aktivit?ten des US Cyber Command gibt.

(rei)

汤姆叔叔影院