Vor ungefähr einem Jahr – am 2. Dezember 2015 – mündete eine Kollaboration von Sicherheitsunternehmen, Behörden und Softwareherstellern wie ESET und Microsoft in der erfolgreichen Zerschlagung des Dorkbot Botnets. Diese Malware-Familie kompromittierte Systeme auf der ganzen Welt für vier lange Jahre.
Bis zur Entdeckung im April 2011 hat Dorkbot unzählige Probleme in Unternehmen und Privathaushalten hervorgerufen. In einem 2012 von ESET veröffentlichten Paper heißt es, dass Dorkbot die am meisten genutzte Malware-Variante sei.
Die Malware breitete sich in über 190 verschiedenen Ländern aus. In Lateinamerika wurden über die Hälfte der Kompromittierungen festgestellt. Vor allem finanzielle und andere sensible Informationen konnten gekapert und einige Unternehmensserver sogar gecrasht werden.
Betrügerische Eindringlinge
Cyber-Kriminelle erreichten die Verbreitung der Dorkbot Malware durch das Verschicken von täuschend echten E-Mails, das Eindringen in soziale Netzwerke und Instant Messaging Dienste, sowie durch Massenspeichermedien wie USB-Sticks. Um die Ausbreitung technisch zu realisieren, kann man im Darknet sogenannte „Crime Kits“ erwerben.
Der Internetsicherheits-Experte Zia Rehman von Perspective Risk erklärte dazu: „Zu schnell wird auf einen Link geklickt und nicht weiter darüber nachgedacht. […] Aber genau deswegen installiert sich Malware auf einem Computer. Um es den Usern schwer zu machen, tarnen sich Schadprogramme hinter echt wirkenden Computerprogrammen, die aber alles andere als nützlich sind. Im Hintergrund zeichnen sie den Traffic vom Computersystem auf.“
"Jedes System könnte in einem weltweiten Botnet eingebunden sein.“ Fährt er fort. „Ein bösartiger [Angreifer] könnte dann viele Verbindungen gleichzeitig nutzen, um ein Facebook oder Ebay-Konto zu kapern und ausgerechnet der eigene Rechner ist für das Gelingen mitverantwortlich.“
Professionelles Täuschen
Oftmals unentdeckt konnte Dorkbot im Hintergrund Schadcode auf kompromittierten Computern installieren, Kennwörter stehlen und mit IRC-Servern (Internet Relay Chat) kommunizieren, um Befehle zum Herunterladen zusätzlicher Malware zu empfangen.
Besonders besorgniserregend war die Tatsache, dass Dorkbot Virenmodul-Updates unterbinden konnte. Trotz Antivirensoftware konnte ein Schutz gegen neue Bedrohungen damit nicht mehr gewährleistet werden. Bei einer Infizierung handelten die User nicht mehr, das sie auf diese nicht mehr aufmerksam gemacht wurden.
Durch die leichte Zugänglichkeit der Malware, rückten besonders Webseiten wie AOL, eBay, Facebook, Netflix, PayPal und einige andere ins Visier von Cyber-Kriminellen.
Die Zerschlagung von Dorkbot
Die Aushebung des Dorkbot Botnets letztes Jahr war ein willkommenes Vor-Weihnachtsgeschenk. Der Informationsaustausch zwischen den Organisationen über das Verhalten von Dorkbot führte dazu, dass Fachwissen aus der ganzen Welt aggregiert werden konnte, um das Dorkbot Botnet zu zerstören.
Diese Zusammenarbeit war von enormen Erfolg geprägt. Dorkbot hatte die vielen Systeme auf der ganzen Welt auf einmal nicht mehr unter Kontrolle. Leider entwickeln sich parallel immer wieder andere Botnet-Infrastrukturen, sodass die Bedrohung durch Botnetze auch zukünftig eine bedeutende Rolle für die weltweite Internetsicherheit spielen wird.
Evolution von Bedrohungen
"In diesem Jahr wurde zum Beispiel das Mirai-Botnet, welches auf tausenden "Internet of Things"-Geräten (von Smart-TVs bis hin zu Überwachungskameras) basiert, dazu verwendet, wichtige Internetdienste offline zu bringen" erklärte Joe Hancock, Leiter der Cyber-Sicherheit bei Mishcon de Reya LLP.
„Es zeigt sich, dass Behörden vermutlich spezifische Attacken durch Dorkbot verhindern konnten, die Entwicklung und Innovation von Botnetzen allgemein aber nicht aufzuhalten ist.“ Es ist zumindest ein kleiner Trost, dass Strafverfolgungsbehörden immer wieder erfolgreich Botnetze ausschalten. Kürzlich konnte erst die Botnet-Infrastruktur Avalanche zerschlagen werden. Die Behörden und die Cybersecurity-Gemeinschaft müssen ihre eigenen Innovationen weiter ankurbeln, um mit den Veränderungen durch die Internetkriminellen Schritt zu halten.
Bedeutung der Bildung
Wie Rehman bemerkt, liegt der Schlüssel zur Minimierung eines Risikos darin, Einzelpersonen und Organisationen zu schulen – insbesondere darin, nicht ohne nachzudenken auf einen Anhang oder Link einer E-Mail unbekannter Herkunft zu klicken.
Je besser die Menschen über Bedrohungen Bescheid wissen, desto einfacher erkennen sie Schadsoftware und desto besser ist ihr Umgang damit. Dadurch können sie sich selbst besser schützen. Aber auch Sicherheitsanbieter stehen in der Verantwortung, wie ESET 2012 anmerkte:
„Unsere Aufgabe ist es, den Menschen zu zeigen, was wir tun, warum, und wie wir sie gegen Bedrohungen wie Botnetze schützen können. In der Cybersecurity-Branche verstehen wir die Bedeutung von regelmäßigen Aktualisierungen oder von bedenklichen Inhalten. Wir hantieren damit tagtäglich. Für die Endverbraucher – und die stellen die Mehrheit dar – müssen wir aber eine eigene, verständlichere Sprache schaffen."
Die Welt besser schützen
Trotz der erfolgreichen Zerschlagung von Dorkbot bleibt die grundsätzliche Art der Malware eine fortwährende Bedrohung für die Wirtschaft und für die weltweite Internetsicherheit. Dorkbot ist das beste Beispiel dafür. Es ist zwar eine ältere Art von Malware, aber eine, die immer wieder innoviert werden kann und somit fortbesteht.
Der Bedarf an effektiver Internetsicherheit scheint unersättlich zu sein. Immer innovativere Bedrohungen müssen bekämpft und eingedämmt werden. Es gilt die unbescholtenen aktiven User im digitalen Raum vor Unheil zu bewahren.
