FBI übernimmt die Kontrolle über Coreflood-Botnetz

Das US-Justizministerium hat kürzlich von einem Richter die Erlaubnis bekommen, die Kontrolle über das Botnetz Coreflood zu übernehmen, dass rund zwei Millionen PCs umfasst und große Schäden anrichtet. Erstmals griff man direkt auf die Rechner der Opfer zu. Die Anfrage, die am Dienstag vom US District Court in Connecticut bearbeitet wurde, umfasste eine temporäre Verfügung, die es dem Internet Systems Consortium (ISC), einer Nonprofit-Organisation, erlaubte, die Kontrollserver des Botnetzes vom Netz zu trennen, so dass sie nicht mehr mit den infizierten PCs kommunizieren können. Unter der Aufsicht von Strafverfolgungsbehörden entwickelte man einen Plan, eigene Server zur Kontrolle des Coreflood-Botnetzes einzusetzen. Damit sollte eine Art Stopp-Kommando gesendet werden, dass die schadhafte Software von den Rechnern der Opfer entfernt.

Laut einem Bericht des Magazins 'Wired' hat jetzt eine Sprecherin des Justizministeriums bestätigt, dass die Aktion wie geplant durchgeführt wurde. Das Stopp-Kommando wurde an alle infizierten PCs gesendet, die in den USA an das Internet angeschlossen waren. Damit wird die Malware bis zum nächsten Neustart des Systems deaktiviert. Die ursprünglichen Betreiber des Coreflood-Botnetzes hatten am Dienstagmorgen, kurz vor der geplanten Aktion, eine neue Version ihrer Schadsoftware verbreitet. Die zuständige FBI-Abteilung "New Haven" hatte das Stopp-Kommando kurzfristig erfolgreich damit getestet.

Bis die Besitzer der infizierten PCs die Schadsoftware von ihren PCs entfernt haben, muss das FBI weiterhin das Stopp-Kommando aussenden. Coreflood wurden so gestaltet, dass es sich mit jedem Neustart des PCs erneut aktiviert. Man versicherte dem zuständigen Gericht, dass dabei keinerlei Schäden entstehen. Zudem erhält die Regierung keinerlei Zugriff auf die Inhalte der an das Botnetz angeschlossenen Rechner.

Es handelt sich in den USA um den ersten Fall dieser Art, in dem die Server der Kriminellen durch die der Regierung ausgetauscht wurden, um die Kontrolle zu übernehmen. Die niederländische Regierung hatte im letzten Jahr einen ähnlichen Ansatz verfolgt, um das Bredolab-Botnetz zu deaktivieren. Die Behörden hatten eine Software auf den infizierten PCs installiert, um die Nutzer über die schadhafte Software zu informieren.

Die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) kritisiert die Aktion des Justizministeriums, da man keine absolute Sicherheit haben kann, ob man durch das Angreifen nicht eventuell einige wichtige PCs unbrauchbar macht. Man habe den Schadcode lediglich mit Hilfe von Reverse-Engineering untersuchen können und stützt sich auf die dabei gewonnenen Erkenntnisse.

Coreflood wurde entwickelt, um sämtliche Tastaturangaben aufzuzeichnen, die an den infizierten PCs getätigt werden. Dadurch konnten zahlreiche Passwörter und Kontodaten gesammelt werden. Zwischen März 2009 und Januar 2010 wurden rund 190 Gigabyte Daten gesammelt, die auf den Kontrollservern gespeichert sind. Von den über zwei Millionen kontrollierten Rechnern wurden rund 400.000 ausgespäht. Eine Immobilienfirma aus Michigan verlor dadurch 115.000 Dollar, eine Anwaltskanzlei auf South Carolina 78.000 Dollar.