Wie das FBI das berüchtigte Qakbot-Botnetz ausschaltete

Ein globales Gesetz Die Durchsetzungsmaßnahme hat diese Woche das berüchtigte Qakbot-Botnetz lahmgelegt und demontiert, das als die größte von den USA verursachte finanzielle und technische Störung einer Botnetz-Infrastruktur gilt.

Qakbot ist ein Banktrojaner, der für seine Bereitstellung berüchtigt wurde ein erster Halt im Netzwerk eines Opfers für andere Hacker, sich Zugriff zu erkaufen und ihre eigene Malware, wie zum Beispiel Ransomware, zu verbreiten. US-Beamte sagten, Qakbot habe allein in den letzten 18 Monaten dazu beigetragen, mehr als 40 Ransomware-Angriffe zu ermöglichen und Lösegeldzahlungen in Höhe von 58 Millionen US-Dollar zu generieren.

Bei der Strafverfolgungsoperation mit dem Namen „Operation Duck Hunt“ beschlagnahmten das FBI und seine internationalen Partner die Infrastruktur von Qakbot in den Vereinigten Staaten und in ganz Europa. Das US-Justizministerium, das die Operation gemeinsam mit dem FBI leitete, gab außerdem die Beschlagnahmung von Kryptowährungen im Wert von über 8,6 Millionen US-Dollar von der Cyberkriminellenorganisation Qakbot bekannt, die den Opfern bald zur Verfügung gestellt werden sollen.

In der Ankündigung vom Dienstag erklärte das FBI, es habe eine Operation durchgeführt, bei der der Netzwerkverkehr des Botnetzes auf Server unter der Kontrolle der US-Regierung umgeleitet wurde, wodurch die Regierung die Kontrolle über das Botnetz übernehmen konnte. Mit diesem Zugriff nutzte das FBI das Botnetz, um mit Qakbot infizierte Computer auf der ganzen Welt anzuweisen, ein vom FBI entwickeltes Deinstallationsprogramm herunterzuladen, das den Computer des Opfers vom Botnetz trennte und so die weitere Installation von Malware über Qakbot verhinderte.

Das FBI sagte, seine Operation habe bis Juni etwa 700.000 mit Qakbot infizierte Geräte identifiziert – darunter mehr als 200.000 in den Vereinigten Staaten. Während eines Telefongesprächs mit Reportern sagte ein hochrangiger FBI-Beamter, dass die Gesamtzahl der Qakbot-Opfer wahrscheinlich bei „Millionen“ liege.

So verlief die Operation Duck Hunt.

Wie verlief die Operation?

Entsprechend der Antrag auf Erteilung eines Beschlagnahmungsbefehls für die OperationDas FBI identifizierte und verschaffte sich Zugang zu den Servern, auf denen die Qakbot-Botnet-Infrastruktur läuft, die von einem ungenannten Webhosting-Unternehmen gehostet wird, einschließlich der von den Qakbot-Administratoren verwendeten Systeme. Das FBI forderte das Gericht außerdem auf, vom Webhoster zu verlangen, heimlich eine Kopie der Server zu erstellen, um zu verhindern, dass der Hoster seine Kunden, die Qakbot-Administratoren, benachrichtigt.

Zu den Systemen, auf die das FBI Zugriff erhielt, gehörten der Stapel virtueller Maschinen von Qakbot zum Testen seiner Malware-Proben gegen gängige Antiviren-Engines und die Server von Qakbot zum Ausführen von Phishing-Kampagnen, die nach ehemaligen US-Präsidenten benannt sind, wohlwissend, dass E-Mails mit politischen Themen wahrscheinlich ankommen geöffnet. Das FBI sagte, es sei auch in der Lage gewesen, Qakbot-Wallets zu identifizieren, die von Qakbot-Administratoren gestohlene Kryptowährungen enthielten.

„Durch seine Ermittlungen hat das FBI ein umfassendes Verständnis der Struktur und Funktion des Qakbot-Botnetzes gewonnen“, heißt es in dem Antrag und beschreibt seinen Plan zur Abschaltung des Botnetzes. „Basierend auf diesem Wissen hat das FBI ein Mittel entwickelt, um infizierte Computer zu identifizieren, von ihnen Informationen über die Infektion zu sammeln, sie vom Qakbot-Botnetz zu trennen und zu verhindern, dass die Qakbot-Administratoren weiterhin mit diesen infizierten Computern kommunizieren.“

Nach Angaben des FBI verwendet Qakbot ein System abgestufter Systeme – beschrieben als Tier 1, Tier 2 und Tier 3 –, um die auf infizierten Computern auf der ganzen Welt installierte Malware zu kontrollieren Ergebnisse von der US-amerikanischen Cybersicherheitsbehörde CISA.

Das FBI sagte, dass es sich bei Tier-1-Systemen um gewöhnliche Heim- oder Geschäftscomputer handelt, die mit Qakbot infiziert sind und über ein zusätzliches „Supernode“-Modul verfügen, was sie zu einem Teil der internationalen Kontrollinfrastruktur des Botnetzes macht. Viele davon befanden sich in den Vereinigten Staaten. Computer der Stufe 1 kommunizieren mit Systemen der Stufe 2, die als Proxy für den Netzwerkverkehr dienen, um den Hauptbefehls- und Kontrollserver der Stufe 3 zu verbergen, über den die Administratoren verschlüsselte Befehle an seine Hunderttausende infizierten Maschinen erteilen.

Mit Zugang zu diesen Systemen und Kenntnis der Verschlüsselungsschlüssel von Qakbot könne das FBI nach eigenen Angaben die verschlüsselten Befehle von Qakbot entschlüsseln und verstehen. Mithilfe dieser Verschlüsselungsschlüssel konnte das FBI diese „Supernode“-Computer der Stufe 1 anweisen, das Supernode-Modul durch ein neues, vom FBI entwickeltes Modul auszutauschen und zu ersetzen, das über neue Verschlüsselungsschlüssel verfügte, die die Qakbot-Administratoren von ihrer eigenen Infrastruktur aussperren würden .

Tauschen, ersetzen, deinstallieren

Laut einem Analyse Aufgrund der Deaktivierungsbemühungen des Cybersicherheitsunternehmens Secureworks begann die Auslieferung des FBI-Moduls am 25. August um 19:27 Uhr in Washington DC.

Das FBI schickte dann Befehle, die diese Tier-1-Computer anwiesen, stattdessen mit einem Server zu kommunizieren, der vom FBI kontrolliert wurde, und nicht mit den Tier-2-Servern von Qakbot. Wenn sich ein mit Qakbot infizierter Computer das nächste Mal etwa alle ein bis vier Minuten bei seinen Servern meldete, kommunizierte er von dort aus nahtlos mit einem FBI-Server.

Nachdem Qakbot-infizierte Computer an den FBI-Server weitergeleitet wurden, wies der Server den Computer an, ein Deinstallationsprogramm herunterzuladen, das die Qakbot-Malware vollständig entfernt. (Die Deinstallationsdatei war hochgeladen an VirusTotal, einen Online-Malware- und Virenscanner von Google.) Dadurch wird keine von Qakbot übermittelte Malware gelöscht oder behoben, sondern es wird eine weitere anfängliche Qakbot-Infektion blockiert und verhindert.

Das FBI sagte, dass sein Server „eine Sackgasse sein wird“ und dass er „keine Inhalte von den infizierten Computern erfassen wird“, mit Ausnahme der IP-Adresse des Computers und der zugehörigen Routing-Informationen, damit das FBI Qakbot-Opfer kontaktieren kann.

„Der Qakbot-Schadcode wird von den Computern der Opfer gelöscht, um zu verhindern, dass er noch mehr Schaden anrichtet“, erklärten die Staatsanwälte am Dienstag.

Dies ist der jüngste operative Angriff, den das FBI in den letzten Jahren durchgeführt hat.

Im Jahr 2021 führten die Bundesbehörden die erste Operation ihrer Art durch, um von chinesischen Hackern auf gehackten Microsoft Exchange-E-Mail-Servern installierte Hintertüren zu entfernen. Ein Jahr später störte das FBI ein riesiges Botnetz, das von russischen Spionen genutzt wurde, um mächtige und zerstörerische Cyberangriffe zu starten, die darauf abzielten, Netzwerke offline zu schalten, und Anfang des Jahres schaltete es ein weiteres russisches Botnetz offline, das seit mindestens 2004 aktiv war.

tch-1-tech