Cyclops Blink: FBI legt Botnetz des russischen Geheimdienstes still

Die US-Behörden haben einmal mehr die erfolgreiche Abschaltung eines Botnetzes verkündet. Hierbei soll es sich aber nicht um eine typische Infrastruktur krimineller Banden gehandelt haben - vielmehr steckte wohl der russische Geheimdienst hinter der Sache. Das Botnetz und die Malware, durch die es gestaltet wurde, bezeichnet man in Security-Kreisen als "Cyclops Blink". Das FBI hatte sich von Gerichten in Kalifornien und Pennsylvania Genehmigungen eingeholt, um gegen die Kommando-Infrastruktur des Botnetzes vorgehen zu können. Die Server, über die das Netzwerk gesteuert wird, konnten infolgedessen vollständig offline genommen werden, wodurch die tausenden infizierten Rechner, die gekapert und in das Botnetz eingebunden wurden, nicht mehr mit Anweisungen versorgt werden können.

Allerdings warnte man seitens des US-Justizministeriums, dass die ganze Angelegenheit damit nicht zwangsläufig vom Tisch ist. Denn die einmal infizierten PCs können natürlich jederzeit mit einer modifizierten Variante der Malware angegriffen werden, wenn die schon zuvor ausgenutzten Sicherheitslücken nicht beseitigt werden.

Sandworm ist schon lange aktiv

Die Sorge ist nicht ganz unberechtigt. Denn hinter dem Botnetz steht eine als Sandworm bezeichnete Gruppe. Diese hatte bereits das VPNFilter-Botnetz betrieben, das im Jahr 2018 stillgelegt wurde. Auf Basis der damals eingesetzten Malware wurde dann mit einigen Modifikationen Cyclops Blink aufgebaut.

Sandworm setzt sich dabei aus IT-Spezialisten zusammen, die nach den vorliegenden Erkenntnissen im Auftrag des russischen Militär-Geheimdienstes GRU arbeiten. Dementsprechend war das Botnetz recht flexibel gestaltet - die infizierten Rechner konnten von den Kommandoservern mit zusätzlichen Routinen ausgestattet werden und damit verschiedenen Zwecken dienen - wie etwa der Sammlung von Informationen als auch dem Offensiv-Einsatz für DDoS-Attacken.

Siehe auch: