
Botnets sind Zusammenschlüsse gehackter Geräte, die dann zentral gesteuert werden können. (Foto: REDPIXEL.PL / Shutterstock)
Die Arbeit von rund fünf Jahren hat letztlich Früchte getragen. In einer konzertierten Aktion ist es einem europäisch-amerikanischem Team gelungen, das als RSocks-Botnet bekannte Netzwerk zu übernehmen und zu zerlegen.
Botnet as a Service – Mietservice für Cyberkriminelle
Wie das US-Justizministerium am Donnerstag in einer Erklärung bekannt gegeben hat, bestand das Botnet aus Millionen gehackter Computer und Geräte weltweit, darunter auch Devices aus dem Internet der Dinge (Internet of Things, IoT) von Routern bis hin zu intelligenten Garagenöffnern.
Die kriminellen Betreiber des RSocks-Netzwerks vermieteten ihr Netz gegen Gebühren zwischen 30 und 200 US-Dollar pro Tag. Der günstigste Tarif ermöglichte die Steuerung von 2.000 Geräten pro Tag, der teuerste erweiterte den Zugriff auf 90.000 Geräte.
Die Mietenden konnten dann „bösartige Internet-Aktivitäten über kompromittierte Geräte leiten, um die wahre Quelle des Datenverkehrs zu verschleiern oder zu verbergen“, so die Behörde. Konkret wurde das RSocks-Netz für die Verbreitung von Schadsoftware, aber auch für Versuche, sich mit gestohlenen Zugangsdaten auf verschiedenen Websites einzuloggen, verwendet.
„Es wird vermutet, dass die Nutzer dieser Art von Proxydienst groß angelegte Angriffe auf Authentifizierungsdienste, auch bekannt als Credential Stuffing, durchführten und sich selbst anonymisierten, wenn sie auf kompromittierte Social-Media-Konten zugriffen oder bösartige E-Mails, wie Phishing-Nachrichten, versendeten“, schreibt das Justizministerium.
Ermittlungen seit 2017
Namen der Opfer des Botnets nennt das Ministerium – wie immer – auch in diesem Fall nicht. Es hätten sich aber mehrere große öffentliche und private Einrichtungen, darunter eine Universität, ein Hotel, ein Fernsehstudio und ein Elektronikhersteller unter den Betroffenen befunden.
Schon seit 2017 sollen sich Mitarbeitende der US-Bundespolizei FBI verdeckt als RSocks-Kunden angemeldet haben, um die Infrastruktur auszukundschaften. Dabei konnten sie schon ganz zu Beginn rund 325.000 kompromittierte Geräte im Botnet identifizieren. Die betroffenen Geräte sollen mit sogenannten Brute-Force-Attacken gekapert worden sein. Das ist die simpelste Art des Hacking; sie besteht schlicht in einem massenhaften Ausprobieren von Passwörtern.