Dem FBI ist abermals ein großer Schlag gegen ein Botnetz gelungen. Gemeint ist damit die Operation Duck Hunt, wie sie allgemein genannt wurde, die das Botnetz mit dem Namen Quakbot lahmlegte und damit für überraschend viel Ruhe in Bezug auf den anfallenden Trafic sorgte.
Botnetze sind für IT-Experten eine wahre Pest. Die Netzwerke bestehen häufig aus unscheinbaren Geräten, die infiziert werden und fortan für das Botnetz aktiv sind. Botnetze selbst verursachen dabei massive Schäden, weshalb sie den Sicherheitsbehörden auch durchweg ein Dorn im Auge sind.
In unserem Blogartikel werden wir uns nicht nur ein wenig mehr mit dem Quakbot Botnetz beschäftigen, sondern auch die Jagd des FBI auf selbiges genauer unter die Lupe nehmen. Bereit für einen kleinen Krimi der Cyberkriminalität?
Quakbot: Eine unberechenbare Bedrohung
Quakbot, manchmal auch Qakbot, Qbot oder Pinkslipbot genannt, ist ein Botnet, welches in der Vergangenheit bereits überaus aktiv und somit omnipräsent zu sein schien. Es zeichnet sich demnach für unzählige Cyberangriffe sowie Phishing-Attacken, Trojaner und noch vieles mehr verantwortlich.
Botnetze selbst sind Netzwerke aus verschiedenen Computern, die durch eine Malware ferngesteuert werden. Was zunächst absurd klingt, fällt im laufenden Betrieb meist gar nicht weiter auf, da Botnetze bis zu ihrem Angriff eher unscheinbar bleiben. Eine entsprechende Malware benötigt zudem kaum Ressourcen und belegt oft selbst bei einem Angriff nur sehr wenig Bandbreite. Nutzer schöpfen daher auch nur selten Verdacht. Schließlich kann das Internet am Abend immer mal etwas langsamer als gewohnt sein und eine Störung ist in Deutschland auch keine Seltenheit.
Darüber hinaus befallen Botnetze größtenteils gar keine Computer, an denen tatsächlich Menschen sitzen. Vielmehr sind vorwiegend IoT-Geräte betroffen. Da heutzutage alles vernetzt ist, selbst die Waschmaschine im Keller, können auch all diese Geräte für Attacken zweckentfremdet werden. Ein Botnetz infiziert also alle Geräte, die es finden kann, um deren Bandbreite anschließend für bösartige Angriffe zu nutzen.
Quakbot ist da nicht anders, agiert aber zunehmend mit Ransomware und Phishing-Attacken im Finanzwesen und gilt deshalb besonders gefährlich. Quakbot befällt als Trojaner allerdings auch nur Windows-Rechner, wie es scheint. Wenn Sie mehr über Botnetze selbst erfahren möchten, lesen Sie gerne unseren weiterführenden Artikel dazu. Hier geht es nun weiter mit der Operation Duck Hunt.
Duck Hunt: FBI nimmt Cyber-Kriminelle ins Visier
Die zunehmende Aktivität von Quakbot, die mitunter aggressiver und vielschichtiger wurde, machte den verschiedenen Sicherheitsexperten bereits seit Längerem große Sorgen. Auch wir beobachten Quakbot schon eine ganze Weile und waren sehr bemüht, die Ausbreitung des Trojaners bestmöglich im Blick zu behalten. Als wir von der FBI-Operation Duck Hunt erfuhren, mussten wir, wie viele andere Sicherheitsexperten vermutlich auch, daher zunächst einmal ein wenig schmunzeln.
Dabei identifizierte das FBI nämlich erst einmal sämtliche Knotenpunkte von Quakbot und neutralisierte daraufhin die verschiedenen Server. Diese Server galten gemeinhin als Infrastruktur hinter Quakbot und somit als Kommandoserver. Durch eine Blockierung der Hauptknotenpunkte gelang es somit, das Netzwerk umfangreich zu zerschlagen und die Aktivität von Quakbot von jetzt auf gleich zu beenden.
Was hier so einfach und geradezu trivial erscheint, war in Wahrheit natürlich mit unglaublich viel Arbeit und entsprechendem Aufwand verbunden. Über mehrere Monate hinweg arbeitete das FBI mit unterschiedlichen Ermittlungsbehörden und Cybersicherheitsexperten zusammen daran, das Quakbot-Netzwerk erfolgreich zu identifizieren und vor allem deren Infrastruktur möglichst vollständig aufzudecken. Genau das ist ihnen dann auch geglückt und Quakbot scheint somit erst einmal Geschichte zu sein. Oder vielleicht doch nicht?
Rückkehr einer hartnäckigen Bedrohung
Denn wie so oft im Bereich der Cybersicherheit ist ein Erfolg immer nur von kurzer Dauer. So auch im Falle von Quakbot. Meldeten die Behörden noch im August ihren großen Erfolg an, indem sie den Administrationsserver lahmlegten und Quakbot damit fast gänzlich vernichteten, kam das Botnetz im Dezember bereits wieder zurück und erschien abermals auf der Bildfläche.
Tatsächlich zeigte sich im Dezember also erneut eine Aktivität. Das Botnetz wurde zwar infiltriert und zerschlagen, die Akteure im Hintergrund anscheinend aber nicht. Die machen daher weiter wie bisher und verbreiteten ihre Malware einfach erneut, um das Botnetz noch einmal aufbauen zu können.
Auch wenn ein Großteil der Infrastruktur also vernichtet und gesperrt wurde, ist die Gefahr von Quakbot keineswegs gebannt. Vielmehr gilt es nun besonders aufzupassen, in welchen Bereichen und mit welchen infizierten Dateien das Team hinter Quakbot erneut versucht, Geräte zu infiltrieren. Das hat auch deshalb eine besondere Bedeutung, weil Quakbot eines der Botnetze war, die auch in Deutschland überaus aktiv zu sein schienen.
Was kommt als nächstes?
Das Quakbot Botnetz galt als eines der größten und gefährlichsten der Welt. Um die 700.000 Computersysteme wurden von den Hinterleuten mit Quakbot erfolgreich infiziert. Die Schadsoftware versteckte sich dabei häufig innerhalb von E-Mail Links oder als Dateianhang. Einmal aktiviert, wurden die entsprechenden Systeme dann Teil des großen Botnetzes.
Speziell weil Quakbot dabei als Banking-Trojaner-Malware auftritt, ist die Gefahr für betroffene Unternehmen fast immer besonders ernst zu nehmen. Es ist davon auszugehen, dass Quakbot als Botnetz erneut aufgebaut wird, jedenfalls wenn die Verbreitung sich weiterhin so präsent zeigt, wie es bisher der Fall ist.
Damit ist erst einmal auch ausgeschlossen, dass Quakbot einfach komplett verschwinden wird. Das wäre aber auch ein wenig zu naiv gedacht. Ob das Botnetz selbst noch einmal so groß werden kann wie zu seinen Hochzeiten, das bleibt nun abzuwarten. Auch deshalb, weil die IT-Abteilungen inzwischen darauf vorbereitet sind und entsprechende Aktivitäten gut im Blick behalten, um sie zeitnah zu sperren.
Unsere Meinung zu Quakbot
Cyberkriminelle hören nicht einfach auf, speziell dann nicht, wenn sie eines der weltweit größten Botnetze betrieben haben. Quakbot wird somit ganz sicher nicht verschwinden, sondern vielmehr versuchen erneut eine entsprechende Reichweite von infizierten Computersystemen zu erreichen. Ob das klappt, ist bis jetzt nicht sicher.
Doch selbst wenn nicht, wartet hinter der nächsten Ecke schon die nächste Malware. Es ist also angebracht, diese Systeme durchgehend zu bekämpfen und entsprechende Infrastrukturen zu zerschlagen, bevor sie zu groß werden. Genau das hat das FBI mithilfe von Europol und anderen Behörden im Falle Quakbot getan. Das Böse ist damit nicht besiegt, wurde aber wieder einmal zurückgeschlagen.
Unseren Kunden empfehlen wir speziell auf typische Aktivitäten von Quackbot zu achten. Da die Malware, wie viele andere auch, vorwiegend über Phishing-Attacken in Unternehmensnetzwerke und Rechner gelangt, sollten Sie weiter in Security Awareness Trainings und Phishing Simulationen investieren, um Mitarbeiter entsprechend zu sensibilisieren und auf derartige Angriffe vorzubereiten.
Auch wenn der Versuch, Quackbot zu beseitigen, also vielleicht gescheitert ist, so ist die Lahmlegung der grundlegenden Infrastruktur dennoch ein großer Erfolg. Solche Erfolge sind es, die in der Cybersecurity entscheidend sind. Denn hier gewinnen die Akteure automatisch, wenn nichts gegen sie unternommen wird. Einer der Gründe dafür, warum IT-Sicherheit immer im Fokus eines Unternehmens bleiben sollte.
