Botnet

Wie wir schon berichtet haben, konnte Panda Security gemeinsam mit Defense Intelligence, dem FBI und der spanischen Polizeieinheit Guardia Civil das Botnetzwerk „Mariposa“ erfolgreich von seinem Netzwerk infizierter Computer trennen und es dadurch unschädlich machen. Ein aktuelles Beispiel zeigt jedoch, dass die Bedrohung durch Mariposa noch nicht vorüber ist.

Eine spanische Panda Mitarbeiterin entdeckte Anfang März schädliche Software auf ihrem neu erstandenen Smartphone HTC Magic von Vodafone. Als sie das Handy über USB an ihren PC anschloss, schlug die installierte Panda Cloud Antivirus Software sofort Alarm. Eine Analyse ergab, dass es sich bei dem Handy tatsächlich um einen Mariposa Bot Client handelte. Zusätzlich entdeckte unser spanischer Malware-Experte Pedro Bustamante weitere Malware wie den Conficker-Wurm und einen Trojaner auf der Speicherkarte des Vodafone-Geräts.

Bei Vodafone wurde zunächst von einem Einzelfall gesprochen. Mittlerweile hat das Mobilfunk-Unternehmen jedoch öffentlich gemeldet, dass schätzungsweise 3.000 User in Spanien betroffen sind. Als Entschädigung erhalten die Nutzer nun eine neue SD-Card und eine kostenfreie Version des Panda Antivirus Pro. Als Vorsichtsmaßnahme stoppte das Headquarter von Vodafone die weitere Auslieferung der Handys. Pedro Bustamante betont jedoch, dass das Problem mit einer neuen Speicherkarte nicht behoben sei. „Denn die Schädlinge waren für den Datendiebstahl konzipiert und bereits gestohlene Daten sind längst in den Händen der Kriminellen“, so der Malware-Experte.

Die Ausschaltung des riesigen Botnetzes Mariposa war ein großer Erfolg für Panda und die anderen Mitglieder der „Mariposa Working Group“. Dennoch ist die Gefahr, die von Mariposa ausgeht, noch nicht vorüber: Wie Bustamante deutlich machte, sind bereits gestohlene Daten nicht mehr zurückzuholen und können auch nach der Ausschaltung des Botnetzes Schaden anrichten. Denn obwohl der Herd des Botnetzwerks von seinen infizierten Rechnern isoliert ist, gibt es nach wie vor zahlreiche gekaperte Computer, deren Sicherheitslücken von Cyber-Kriminellen ausgenutzt werden können. Im schlimmsten Fall könnte dadurch das ausgeschaltete Botnetz wieder aktiviert werden.

Panda Security arbeitet deshalb auch in Zukunft daran, Botnetze wie Mariposa aufzuspüren. Dabei sind wir darauf angewiesen, dass die Öffentlichkeit für das Thema Cyber-Kriminalität sensibilisiert wird. Jeder Computer-Nutzer ist ein potentielles Opfer von Cyber-Kriminalität. Mariposa kaperte nicht nur private Rechner, sondern auch PCs von Universitäten, Regierungsmitarbeitern und Unternehmen wie Vodafone. Dabei traf es nicht nur Länder, in denen Computersicherheit noch in den Kinderschuhen steckt: Unter den Top 25 der betroffenen Ländern befinden sich beispielsweise auch die USA und Spanien. Deutschland liegt immerhin noch auf Platz 47.

Grafik (Panda Security): Mariposa kaperte Rechner in mehr als 190 Ländern. Die Grafik zeigt, welche Länder am stärksten betroffen sind (Je dunkler die Farbe, desto mehr betroffene IP-Adressen)

Es ist also von großer Bedeutung für unsere Sicherheit, dass Botnetze unterbunden werden. Luis Corrons, technischer Leiter der PandaLabs, appeliert auf dem PandaLabs Blog in diesem Zusammenhang auf eine Verschärfung der Gesetze gegen organisierte Cyber-Kriminalität und an eine bessere Kommunikation zwischen den betroffenen Ländern: Gerade bei gigantischen Botnetzwerken wie Mariposa, bei denen mehr als 190 Länder betroffen sind, müssten Untersuchungen ohne Verzögerung international durchgeführt werden, damit den Kriminellen keine Zeit gegeben wird, ihre Spuren zu verwischen. Des Weiteren sollten Länder, in denen Computersicherheit noch ein Fremdwort ist, mit Expertise von fortschrittlicheren Ländern unterstützt werden. Der Fall Mariposa ist ein erster Schritt in die richtige Richtung.

Weitere Informationen zum Fall Vodafone auf dem englischsprachigen Panda Research Blog:

http://research.pandasecurity.com/vodafone-distributes-mariposa/

http://research.pandasecurity.com/vodafone-distributes-mariposa-part-2/

weitere Informationen zum Fall Mariposa auf dem englischsprachigen PandaLabs Blog:

http://pandalabs.pandasecurity.com/cybercriminals-computer-genius-or-professional-criminals/

http://pandalabs.pandasecurity.com/mariposa-stats/

• 12,7 Millionen infizierte IP-Adressen weltweit
• Festnahme von drei mutmaßlichen Drahtziehern

Panda Security, die Cloud-Security-Company, hat entscheidenden Anteil an einem internationalen Erfolg im Kampf gegen die Cyberkriminalität, nämlich der Abschaltung des „Mariposa“-Botnetzes, eines der größten bisher registrierten Netze aus infizierten Computern. Nach Angaben von Panda sowie der IT-Sicherheitsfirma Defence Intelligence ist das gigantische Netzwerk aus infizierten Rechnern bereits kurz vor Weihnachten vom Netz genommen worden. Es war von Internetkriminellen entwickelt worden, um sensible Informationen ahnungsloser Computer-Nutzer wie Kontodaten, Kreditkartenangaben etc. zu stehlen. Drei Verdächtige, die das Botnetz gesteuert haben sollen, wurden von den spanischen Behörden verhaftet.

Bei der Zerschlagung des bereits seit längerem bekannten Botnetzes haben die Sicherheitsfirmen Panda Security und Defense Intelligence eng mit dem FBI und der spanischen Polizeieinheit Guardia Civil zusammengearbeitet. „Mariposa“ nahm seit Ende 2008 insgesamt 12,7 Millionen IP-Adressen unter seine Kontrolle. Die fremd-gesteuerten Geräte fanden sich weltweit in privaten Haushalten, Regierungsinstitutionen und Universitäten in über 190 verschiedenen Ländern. Darüber hinaus waren zahlreiche Großunternehmen betroffen, darunter rund 500 US-amerikanische Spitzenunternehmen. Damit baute „Mariposa“ eines der größten Botnetze auf, die bislang registriert wurden. Die Cyber-Kriminellen erhielten von den gekaperten Computern Bankverbindungen und Kreditkarteninformationen sowie vertrauliche Zugangsdaten wie Usernamen und Passwörter für Soziale Netzwerke und E-Mail-Services.

Weitere Informationen zu Mariposa und zur Zerschlagung des Botnetzes stehen auf dem Panda-Blog unter: http://pandalabs.pandasecurity.com/ zur Verfügung.