News : Weltweit drittgrößtes Bot-Netz „Grum“ zerschlagen

, 30 Kommentare

Einem Blogeintrag auf der Website der Firma „FireEye“, verfasst von deren Mitarbeiter Atif Mushtaq, ist zu entnehmen, dass es IT-Sicherheitsexperten gelungen sein soll, das weltweit drittgrößte Bot-Netzwerk lahmzulegen.

Vor zwei Tagen soll es gelungen sein das Bot-Netzwerk innerhalb einer insgesamt drei Tage andauernden Aktion außer Gefecht zu setzen. Das geschah derart, dass man die „Command and Control“-Server des Netzwerkes lahmlegte. Diese waren in Holland, Panama, der Ukraine und Russland positioniert, wobei die wichtigsten jene in Panama und Russland waren.

Die Abschaltung erfolgte nicht auf einmal, sondern innerhalb der oben genannten drei Tage. Zuerst wurden die beiden holländischen Server niedergerungen, sodann jene in Panama. Diese Aktion wurde jedoch durch die Betreiber des Botnetzes konterkariert. Diese versuchten als Ersatz für die verlorengegangenen Server insgesamt sechs neue CnC-Server in der Ukraine zu etablieren. Ein Schritt, der auch unter den agierenden Sicherheitsexperten vorerst für Verwunderung sorgte. Die Ukraine ist dafür bekannt, ein recht sicherer Hafen für derartige Aktionen zu sein, da die dortige Strafverfolgungsbehörden andere Prioritäten setzen.

Allerdings war dieses Ausweichmanöver nicht lange von Erfolg gekrönt, da auch diese Server einschließlich des russischen „Original“-Servers am 18. Juli außer Funktion gesetzt worden waren.

Das Netzwerk war auf das Versenden von Spam spezialisiert, laut Angaben von Mushtaq sollen vor der Abschaltung etwa 120.000 IP-Adressen entsprechende Werbebotschaften versendet haben. Dabei soll es sich aber rein um die aktiven Zombierechner handeln. Nach der Abschaltung soll sich die Anzahl auf 21.505 Mails reduziert haben, die ebenfalls bald versiegen dürften, so die Einschätzung des Fachmanns.

Generell sieht Mushtaq in dieser von ihm mitgetragenen Aktion einen Beweis dafür, dass die Kontrollserverinfrastruktur für Botnetzwerke nun auch nicht mehr in den oben genannten Ländern sicher ist. Das wurde bislang ja von deren Betreibern offenbar angenommen.