Ohne dass die Besitzer es wissen, fahren ihre Rechner Attacken. Gegen Banken, Infrastruktur, Firmen. Wird ein PC teil eines sogenannten Botnetzes, wird er für Hacker zur Waffe. Mit Qakbot wurde gerade eines der größten Netze von internationalen Ermittlungsbehören zerschlagen – indem man die Kontrolle übernahm und es gegen sich selber richtete.
Das berichten die federführende US-Bundespolizei FBI und das ebenfalls beteiligte deutsche BKA. Die in Anspielung an den Namen des Botnets "Duckhunt" (Entenjagd) genannte Aktion war gemeinsam mit Interpol und weiteren europäischen Partnern durchgeführt worden. Die Experten verschafften sich demnach Zugang zu den Steuerungs-Servern des Netzwerkes. Und nutzten das, um mehr als 700.000 versuchte Rechner nicht nur von der installierten Schadsoftware zu befreien, sondern auch gegen weitere Attacken abzusichern.
Millionenschaden
Qakbot war seit mindestens 2008 aktiv, zunächst als Banking-Trojaner. Das Botnetz wurde in den letzten Jahren vor allem für Ransomware-Angriffe benutzt, bei denen Teile von Rechnern oder Servern verschlüsselt und dann Lösegeld verlangt wird. Alleine im Zeitraum von Oktober 2021 bis April 2023 sollen die Hacker 40 Großattacken gefahren sein, dabei Lösegelder von mehr als 58 Millionen Dollar eingenommen haben, so das FBI. Bei der Operation beschlagnahmte Kryptomünzen im Wert von 8,6 Millionen Dollar sollen an die Opfer ausgezahlt werden.
Die Besitzer der angreifenden Rechner bekamen davon in der Regel nichts mit. Die Rechner wurden über Phsishing-Kampagnen mit Schadsoftware verseucht, dann durch nachgeladene Programme unter die Kontrolle der Kommandoserver gebracht und nach Bedarf eingesetzt. Zusätzlich werden persönliche Daten der Besitzer wie Kontakt- oder Bankdaten abgestaubt. Die betroffenen Windows-Rechner waren rund um die Welt verteilt, etwa 200.000 Rechner waren alleine in den USA betroffen. Unter der Seite "Have i been pwned" kann man prüfen, ob die eigenen Daten gestohlen wurden. Nach Angaben des FBI sind auch die Opfer Qakbots bereits Teil der immer wieder aktualisierten Datenbank für Hacker-Opfer.
Hauptsache k0mPliz1ert: Auf diese Passwort-Mythen fallen wir alle herein
Bei Hackern denkt man oft an staatliche Großangriffe. Dabei sind die meisten einfache Kriminelle. Auch Arno Wacker warnt: "Jedes Passwort ist von Interesse. Es geht nicht darum wie interessant jemand ist, sondern was ein Krimineller mit dem Passwort alles tun kann." Sei es, das Konto zu plündern, auf Kosten des Opfers zu shoppen oder schlicht Spam zu versenden. Im Zweifel werden die Daten einfach verkauft.
Angriff von innen
Nach langen Ermittlungen gelang es den Experten der Polizeibehörden, die über drei Hirarchie-Ebenen aufgeteilte Struktur des Botnets zu infiltrieren und die Haupt-Steuerungsserver zu identifizieren. Auch in Deutschland wurden nach Angaben des BKA Server beschlagnahmt. Mit Zugriff auf die Steuerserver wurde das Botnetz schließlich gegen sich selber eingesetzt: Die Behörden entfernten die Installationsprogramme, warfen die Rechner damit aus dem Netzwerk.
Die Ermittlungen sind indes immer noch nicht abgeschlossen. Die Behörden verrieten bislang keine Details zu den Köpfen hinter dem Netzwerk. In IT-Sicherheitskreisen wird eine Spur nach Russland oder andere osteuropäische Staaten vermutet.
Bei Duck Hunt handelt es sich nicht um die erste Aktion, bei der Ermittlungsbehörden klassische Hackermethoden nutzen, um infizierten Rechner wieder zu reinigen. Im April 2021 hatte das FBI sich über Sicherheitslücken in die Server von Opfern der chinesischen Gruppe Hafnium eingehackt. Hier erfahren Sie mehr zu der ungewöhnlichen Aktion.
Quellen: FBI, BKA, AP, Bleeping Computer
