Takedown 2.0 : Polizei und Staatsanwaltschaft schalten ein weiteres global agierendes Botnetz aus
(ots) - Gemeinsame Presseerklärung der Staatsanwaltschaft
Verden (Aller) und der Zentralen Kriminalinspektion Lüneburg;
Erneut schalteten die Ermittler der Zentralen Kriminalinspektion
Lüneburg unter Sachleitung der Staatsanwaltschaft Verden (Aller) ein
international agierendes Botnetz aus, mit dem die Schadsoftware
Andromeda weltweit verbreitet worden war. Nachdem Ende des letzten
Jahres ein erfolgreicher Schlag gegen die internationale
Botnetzinfrastruktur "Avalanche" gelang, erfolgte nunmehr ein
weiterer Takedown am vergangenen Mittwoch letzter Woche.
Die modular aufgebaute Schadsoftware Andromeda war in den
vergangenen Jahren nicht nur in der Infrastruktur "Avalanche"
festgestellt worden, sondern wurde auch über ein weiteres Botnetz
verteilt. Diesbezüglich hatte das Federal Bureau of Investigation
(FBI) der Vereinigten Staaten bereits ein gesondertes
Umfangsverfahren geführt, als Avalanche im letzten Jahr abgeschaltet
worden war. Im Zuge der gewonnenen Erkenntnisse aus dem
Avalanche-Komplex konnten im weiteren Verlauf der Ermittlungen die
Polizeibeamten der ZKI Lüneburg die US-amerikanischen Kollegen
unterstützen und gemeinsam die Abschaltung des weiteren Botnetzes
planen und vorbereiten.
Die Infektion des Opfer-Systems mit der Schadsoftware "Andromeda"
erfolgt zum einen per E-Mail, welche einen schadhaften Link enthält.
Durch Anklicken des Links laden sich die Opfer ein Microsoft
Office-Dokument auf ihren Computer, mit dem sie zu einem Download
aufgefordert werden, der dann die Infizierung auslöst. Zum anderen
kann die Infizierung über sog. Drive-by-Exploits erfolgen. Diese
befinden sich auf kompromittierten Werbebannern oder Websites,
hauptsächlich solche mit zweifelhaftem Inhalt (Pornographie, illegale
Verkäufe, Verstoß gegen Urheberrechte durch Videostreaming etc.). Der
Schädling späht das infizierte Opfer-System aus und ist in der Lage,
einen Banking-Trojaner nachzuladen, der auf die ausgespähten Daten
der Opfer abgestimmt ist. Mittels dieser Schadsoftware gelang es den
Tätern in den letzten Jahren mehrere Millionen PC-Systeme zu
infizieren. Hauptangriffsziele der Schadsoftware waren Nordamerika,
Asien und in Europa im Schwerpunkt die Länder Rumänien, Italien,
Deutschland und Polen.
Das FBI hatte die Ermittlungen im Jahr 2015 gemeinsam mit der
Firma Microsoft Inc. begonnen. Durch die gemeinsamen Analysen des
Botnetzes und die Identifizierung von strukturrelevanten
Steuerservern schafften sie die Grundlage für den weiteren Takedown.
Ermittlungen führten das FBI in Weißrussland zu einem
Tatverdächtigen, der hauptsächlich für die Software-Angriffe
verantwortlich sein dürfte. Weißrussische Strafverfolgungsbehörden
nahmen ihn am 29.11.2017 fest. Bei der Durchsuchung seiner Wohnung
beschlagnahmten die Ermittler zahlreiche verfahrensrelevante
Datensysteme und Speichermedien.
Des Weiteren haben die Strafverfolgungsbehörden die zur
Verbreitung der Schadsoftware eingesetzten 7 Steuerserver in 6
verschiedenen Ländern beschlagnahmt bzw. abgeschaltet. Darüber hinaus
werden 1.500 Domains der Schadsoftware Andromeda mit einer sog.
Sinkholing-Maßnahme belegt. Dadurch wurden allein am 30.11.2017
weltweit 1,35 Millionen IT-Systeme identifiziert, die mit der
Andromeda Schadsoftware befallen waren. Eine Benachrichtigung der
Betroffenen über die Infizierung hat noch am selben Tage begonnen
(siehe auch www.bsi-für-buerger.de)
Über die europäische Behörde Europol baten die US-amerikanischen
Behörden um Unterstützung bei der Zentralen Kriminalinspektion
Lüneburg und der Staatsanwaltschaft Verden für ihre
Sinkholing-Maßnahme, um von den gewonnenen Erfahrungen aus dem
letzten Jahr zu profitieren und somit einen größtmöglichen Erfolg für
die geplanten Maßnahmen zu generieren. Gemeinsam planten sie die
erforderlichen Durchsuchungen, Beschlagnahmen von Servern und Domains
sowie die Festnahme eines Tatverdächtigen. An den Maßnahmen zur
Bekämpfung der Schadsoftware Andromeda waren die Länder Finnland,
Frankreich, Polen, Italien, Russland, Niederlande, Weißrussland und
USA beteiligt.
Zeitgleich wurden die seit einem Jahr laufenden
Sinkholing-Maßnahmen aus dem Avalanche-Verfahren verlängert. Dazu
erfolgten zahlreiche Analysen von Schadprogrammen auf ihre genaue
Funktionsweise sowie notwendige Anpassungen der Sinkholing-Maßnahmen
mit Unterstützung des Bundesamtes für Sicherheit in der
Informationstechnik (BSI), des Fraunhofer Instituts für
Kommunikation, Informationsverarbeitung und Ergonomie (FKIE), der
Shadowserver Foundation sowie dem Registrar of Last Resort (ROLR).
Insgesamt werden in diesem Jahr weitere 750.000 Domains durch
strafprozessuale Maßnahmen dem Missbrauch durch die Täter entzogen.
Dabei sind die im letzten Jahr geknüpften weltweiten Beziehungen mit
Behörden und Institutionen äußerst hilfreich, um auch zukünftig
weltweit eine erfolgreiche Schutzmaßnahme für die Nutzer von
Computersystemen zu gewährleisten.
Eine Verlängerung dieser Maßnahmen war notwendig, da bundesweit
immer noch 39 Prozent der ursprünglich in Avalanche infizierten
Computersysteme bis heute weiterhin infiziert sind - weltweit sogar
55 Prozent.
Die Koordinierung der Zerschlagung des Botnetzes für die
Schadsoftware "Andromeda" und die Verlängerung der
Sinkholing-Maßnahmen gegen die ehemaligen Server von Avalanche
erfolgte erneut über eine zentrale Befehlsstelle bei Europol. Hier
wurden die Maßnahmen von Vertretern der beteiligten Staaten und den
genannten privaten Partnern gesteuert und überwacht. Parallel dazu
koordinierte Eurojust das Vorgehen auf justizieller Seite.
In die Umsetzung aller genannten Maßnahmen waren insgesamt 27
Staaten eingebunden, unter anderem Finnland, Niederlande, Frankreich,
Italien, Polen, Weißrussland, Österreich, Australien, Belgien,
Canada, Spanien, Montenegro, Pakistan, Singapore, Taiwan, United
Kingdom sowie Tonga.
Rückfragen bitte an:
Lutz Gaebel
Pressesprecher
Staatsanwaltschaft Verden
Die Leitende Oberstaatsanwältin
- Pressestelle -
Johanniswall 8
27283 Verden (Aller)
Tel: +49-4231-18-436
Mobil: +49-151-59087764
Fax: +49-4231-18-887
Original-Content von: Polizeidirektion Lüneburg, übermittelt durch news aktuell
Themen in diesem Fachartikel:
Unternehmensinformation / Kurzprofil:
Datum: 04.12.2017 - 16:00 Uhr
Sprache: Deutsch
News-ID 1784520
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: POL-LG
Stadt:
Lüneburg
Kategorie:
Polizeimeldungen
Dieser Fachartikel wurde bisher 0 mal aufgerufen.
Der Fachartikel mit dem Titel:
" Takedown 2.0 : Polizei und Staatsanwaltschaft schalten ein weiteres global agierendes Botnetz aus"
steht unter der journalistisch-redaktionellen Verantwortung von
Polizeidirektion L (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).