Botnetz Grum ist nicht mehr im Netz

NetzwerkeSicherheitVirus

Es war angeblich für den Versand von 18 Milliarden Spam-Mails täglich verantwortlich. Die Kommando- und Kontrollserver befanden sich in Russland, der Ukraine, Panama und den Niederlanden. Die bewirkten FireEye, Spamhaus und CERT-GIB gemeinsam.

Das Botnetz Grum belästigt Nutzer nicht mehr mit Spam. Als drittgrößtes Botnetz war es bisher pro Tag angeblich für den Versand von 18 Milliarden unerwünschter Werbe-E-Mails verantwortlich – und lieferte damit 18 Prozent des weltweiten Spam-Aufkommens aus.

Nachdem die Sicherheitsforscher von FireEye die Kommando- und Kontrollserver ausfindig gemacht hatten, forderten sie die jeweiligen Internet Service Provider zu ihrer Abschaltung auf. Um ihrem Verlangen Nachdruck zu verleihen, arbeiteten sie mit Spamhaus und dem russischen CERT-GIB zusammen.

Atif Mushtaq von FireEye geht davon aus, dass die Betreiber Grum nicht mehr von anderen Kommando- und Kontrollservern aus hochfahren können. “Es ist nicht damit getan, einen neuen Server einzurichten”, sagte der Experte gegenüber der New York Times. “Sie müssten eine ganz neue Kampagne beginnen und Hunderttausende neuer Maschinen infizieren, um wieder so etwas wie Grum zu schaffen. Sie müssten alles von Grund auf neu aufbauen. So wie die Malware für Grum geschrieben wurde, können die infizierten Rechner keinen Spam mehr versenden oder mit einem neuen Server kommunizieren, wenn der Hauptserver ausgefallen ist.”

In seinem Bericht über die gelungene Abschaltung stellt FireEye heraus, dass die Betreiber von Botnetzen auch in einschlägig bekannten Ländern nicht mehr unbehelligt arbeiten können: “Wenn die entsprechenden Kanäle genutzt werden, dann kann selbst auf ISPs in Russland und der Ukraine erfolgreich Druck ausgeübt werden, ihre Zusammenarbeit mit den Botnetz-Betreibern zu beenden.”

Im Rahmen der Aktion konnten als Erstes zwei Server in den Niederlanden vom Netz genommen werden. Mehr Aufwand war für einen Server in Panama erforderlich, aber auch dieser ISP gab schließlich nach. Die Botnetz-Betreiber reagierten allerdings schnell: Sie richteten in der Ukraine sechs neue Server ein. Dort ist eine Abschaltung erfahrunggemäß schwer zu erreichen. Zudem war noch ein Server in Russland aktiv. Spamhaus, CERT-GIB sowie einem anonymen Sicherheitsforscher gelang es in der Folge dennoch, alle weiteren Server über Nacht vom Netz zu nehmen.

[mit Material von Steven Musil, News.com]