In einer jüngst konzertierten Aktion konnten das BKA und die Zentralstelle zur Bekämpfung der Internetkriminalität in Frankfurt am Main (ZIT) unter der Leitung amerikanischer Behörden ein Botnetzwerk zerschlagen, dessen Herzstück die gefährliche Qakbot-Malware war.[1] Qakbot, auch als Qbot oder Pinkslipbot bekannt, hatte sich in den letzten Jahren zu einer der bedrohlichsten Schadsoftware-Varianten entwickelt und stellte eine erhebliche Gefahr für Unternehmen, Regierungssysteme und das Gesundheitswesen mit Schadensentwicklungen von mehreren hundert Millionen Euro dar.[2]
Qakbot: Die Bedrohung von Botnetzwerken im Überblick
Botnetzwerke sind ein zentrales Instrument in der Welt der Cyberkriminalität. Im Kern handelt es sich um Netzwerke von kompromittierten Computern, die von Kriminellen ferngesteuert werden können. Diese kompromittierten Computer, oft auch als „Zombies“ bezeichnet, werden ohne das Wissen deren rechtmäßiger Nutzer gebraucht.[3] Dies ermöglicht es den Angreifern, ihre Aktivitäten weitgehend unbemerkt auszuführen.
Die Verbreitung von Botnetzen erfolgt in der Regel über verschiedene Mechanismen, darunter Phishing-Angriffe, schädliche Downloads und Exploits von Sicherheitslücken. Ein häufiger Angriffsvektor ist die Zustellung von infizierten E-Mails, die Links zu schädlichen Websites oder Dateianhänge mit Malware enthalten. Sobald ein Computer kompromittiert ist, wird er in das Botnetzwerk integriert und kann ferngesteuert werden.
Die Kontrolle über die infizierten Computer erfolgt über einen zentralen Server oder eine Befehls- und Kontrollinfrastruktur (C&C). Die Kriminellen hinter dem Botnetzwerk können Befehle an die infizierten Computer senden, um sie für verschiedene Zwecke zu nutzen. Diese Zwecke können von DDoS-Angriffen (Distributed Denial of Service) über Datenraub bis hin zu Ransomware-Angriffen reichen.[4]
Qakbot selbst, das seit 2007 aktiv war, ist ein bemerkenswertes Beispiel für die Langlebigkeit und Anpassungsfähigkeit dieser krimineller Netzwerke.[5] Ursprünglich nur auf das Stehlen von Finanzinformationen als sogenannter „Banking Trojaner“ spezialisiert, entwickelte es sich im Laufe der Zeit zu einem wichtigen Akteur in der Ransomware-Lieferkette.
Die spezielle Funktionsweise von Qakbot ist äußerst ausgeklügelt und agiert auf allen verfügbaren Ebenen eines Botnetzwerks. Die Malware verbreitet sich durch meist per E-Mail zugestellte Phising oder Spoofing Attacken, die damit einen Zugang für Cyberkriminelle zu infizierten Netzwerken herstellen konnten.[6] Einmal auf einem System installiert, beginnt Qakbot damit, sensible Daten zu stehlen, einschließlich Passwörtern, Bankdaten und Unternehmensinformationen. Darüber hinaus kann Qakbot auch dazu verwendet werden, zusätzliche Schadsoftware auf infizierte Systeme herunterzuladen und auszuführen.
Diese gestohlenen Daten werden dann an die Ransomware-Gruppen übertragen, die sie für kriminelle Zwecke nutzen können, was bis zuletzt zu erheblichen Lösegeldforderungen, schätzungsweise 58 Millionen U.S Dollar, führte.[7]
Die jüngste Zerschlagung
Die nun erfolgte Disruption des Qakbot-Netzwerks unter dem Namen „Duck Hunt“ war ein großer Schlag gegen internationale Cyberkriminalität. Die beteiligten Behörden aus den USA, Deutschland, Frankreich, Lettland, den Niederlanden, Rumänien und dem Vereinigten Königreich schalteten 52 Server in verschiedenen Ländern ab und konnten die Qakbot-Malware aus über 700.000 infizierten Rechnern löschen.[8]
Die Zerschlagung der Qakbot-Infrastruktur sei zweifellos ein entscheidender Erfolg im Kampf gegen Cyberkriminalität, äußerte sich Carsten Meywirth, Leiter der Abteilung Cybercrime im Bundeskriminalamt. Er betonte neben der Bedeutung der Operation vor allem das Gefährdungspotenzial von Qakbot, dass für vielfache Angriffsserien in Deutschland verantwortlich war. Es diente als Türöffner für Ransomware und führte so zu erheblichen finanziellen Schäden.[9] Das innerhalb von „Duck Hunt“ den deutschen Behörden zugrunde liegende Ermittlungsverfahren richtet sich gegen die bislang noch völlig unbekannten Betreiber und Administratoren der Schadsoftware.[10]
Fazit
Die Zerschlagung von Qakbot ist ein wichtiger Schritt im Kampf gegen die Bedrohung durch Botnetzwerke und reiht sich in eine Reihe erfolgreicher Aktionen im Kampf gegen Cyberkriminalität und Botnetze ein. So gelang es internationalen Strafverfolgern bereits Mitte 2022, das RSOCKS-Botnetz zu zerschlagen. Das FBI selbst konnte wenige Monate zuvor die Deaktivierung des russischen „Cyclops Blink“-Botnets vermelden.[11]
Ob die Gefahr durch das Netzwerk jedoch vollständig gebannt ist, lässt sich aktuell noch nicht sagen. Der systemische Aufbau dieser Botnetzwerkbedrohungen ist oftmals tief verwurzelt und es ist unwahrscheinlich, dass sie in absehbarer Zeit vollständig beseitigt werden können. IT-Sicherheitsforscher konnten erst im März diesen Jahres eine erneute Reaktivierung des 2021 zerstört geglaubten Schadnetzwerks Emotet feststellen.[12] Trotz der anhaltenden Herausforderungen bleibt die Sicherheit im Cyberspace ein drängendes Anliegen, das kontinuierliche Bemühungen wie diese erfordert.
[1]https://www.bka.de/DE/Presse/Listenseite_Pressemitteilungen/2023/Presse2023/230830_PM_SchadsoftwareNetzwerk_Qakbot.html?nn=210532#Start
[2] https://www.justice.gov/usao-cdca/pr/qakbot-malware-disrupted-international-cyber-takedown
[3] https://cybertrends-indusface.medium.com/what-is-botnet-and-how-does-botnet-works-686939428092
[4] https://www.enisa.europa.eu/topics/incident-response/glossary/botnets , Schmidt/Preuß in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 3. Aufl. 2019, Rn. 270.
[5] https://background.tagesspiegel.de/cybersecurity/qakbot-behoerden-zerschlagen-riesiges-botnetz
[6] https://cybersecurity.att.com/blogs/labs-research/the-rise-of-qakbot
[7] https://cybersecurity.att.com/blogs/labs-research/the-rise-of-qakbot , https://www.justice.gov/usao-cdca/pr/qakbot-malware-disrupted-international-cyber-takedown
[8] https://www.reuters.com/world/us/us-says-it-has-disrupted-notorious-qakbot-hacking-network-2023-08-29/
[9] https://www.faz.net/aktuell/wirtschaft/digitec/qakbot-hacker-netzwerk-vom-bundeskriminalamt-zerschlagen-19137991.html
[10] https://www.tagesschau.de/inland/innenpolitik/botnetz-qakbot-zerschlagung-100.html
[11] https://www.heise.de/news/Botnet-Internationale-Strafverfolger-deinstallieren-700-000-Qakbot-Drohnen-9289070.html
[12] https://www.heise.de/news/Ransomware-Emotet-kehrt-zurueck-als-OneNote-E-Mail-Anhang-7551285.html