Acht Jahre an aufwendiger Detailarbeit und zeitaufwendigen Ermittlungen hat es gedauert, bis Microsoft und seine Partner dem Spam-System „Necurs“ nunmehr endlich das Handwerk legen konnten.
Das Bot-Netzwerk „Necurs“ verbreitete zwar nicht Angst und Schrecken, aber unzählige unerwünschte Spam-Mails. Nunmehr gehört dieses Botnet der Vergangenheit an. Wie der Software-Riese Microsoft in einem vielzitierten Blog-Eintrag verlautbarte, ist es ihm gemeinsam mit anderen Partnern nunmehr endlich gelungen, die volle Kontrolle über das gigantische Netzwerk zu erlangen und die Infrastruktur des Bots zu verstehen. Damit ist dem Giganten der Computerwelt ein echter Coup gelungen: Denn „Necurs“ zeigte sich mit einem zusammengeschlossenen Netz aus 9 Millionen Rechnern auf der ganzen Welt dafür verantwortlich, Login-Daten zu kopieren, Ransomware zu verbreiten, Spam-Mails zu versenden und Cryptomining zu betreiben.
Internationale Kooperation auf höchstem Niveau
Die gesamte Operation rund um die Stillegung des Botnets „Necurs“ beschäftigte den Software-Giganten Microsoft über acht Jahre lang. Gemeinsam mit unterschiedlichen Partnern aus rund 35 Ländern ermittelte man über diesen langen Zeitraum in sämtlichen Richtungen und verfolgte jeden noch so kleinen Hinweis auf die Urheber und Betreiber des Bot-Netzwerks.
Erst nach einiger Zeit und vielen Übersee-Telefonaten gelang es endlich das Prinzip zu entschlüsseln, wie die Erstellung der Domains durch die Hintermänner von „Necurs“ funktioniert. Als Reaktion darauf registrierten Microsoft und seine Kooperationspartner binnen der darauffolgenden zwei Jahre über sechs Millionen unterschiedlicher Domains bei verschiedenen Registraren, um diese der Verfügungsgewalt der Bote von „Necurs“ zu entreißen. Gleich nach der Anmeldung und Prüfung der erschlossenen Domains wurden diese sogleich von den zuständigen Registrierungsstellen gesperrt und damit dem Zugriff durch „Necurs“ entzogen. Diese Vorgangsweise sorgte dafür, dass dem Bot-Netzwerk das zur Arbeit notwendige „Werkzeug“ förmlich entrissen wurde und damit die Arbeitsgrundlage wegfiel.
Als Tüpfelchen auf dem i zeigte sich der Software-Riese Microsoft im Anschluss an die gelungene Operation dazu bereit, in Zukunft die Zusammenarbeit mit internationalen Internet-Providern und staatlichen Institutionen wie der CERTs zu vertiefen, um die Rechner auf der ganzen Welt von den Hinterlassenschaften des Botnets „Necurs“ zu befreien.
Hintergründe zum Botnet Necurs
Das Botnet „Necurs“ tauchte zum ersten Mal zu Beginn des Jahres 2012 auf dem Radar der IT-Ermittler auf. Das Besondere an diesem Netzwerk war die schier unglaubliche Verbindung von über sechs Millionen unterschiedlicher Zombie-Rechner, die dazu genutzt wurden, um Banking-Trojaner einzuschleusen oder auch Ransomware per E-Mail zur selben Zeit an Millionen unterschiedlicher Nutzer zu versenden. Schon nach kurzer Zeit gelangten die Spezialisten zur Erkenntnis, dass sich „Necurs“ für einen bedeutenden Großteil von Internet-Kriminalität und die damit verbundenen finanziellen Verluste verantwortlich zeigt. Internen Berichten zufolge schätzte man zu Beginn der Operation gegen das Bot-Netzwerk „Necurs“ den dadurch verursachten Schaden bis zum Jahr 2021 auf etwa 6 Billionen US-Dollar. Damit sprengte diese Prognose die Vorstellungskraft vieler Experten und ließ diese acht Jahre lang auf den gefährlichen Spuren des Bot-Netzwerkes wandeln.
Das „Necurs“-Netzwerk betrat das World Wide Web im Jahre 2012 mit einem lauten Knall, als verlautbart wurde, dass plötzlich rund 83.000 Attacken auf Rechner auf der ganzen Welt verzeichnet worden sind. Den Experten, die sich sofort auf die Jagd nach den Hintermännern begaben, war von Anfang an klar, dass diese zur absoluten IT-Elite gehörten. Denn sie waren nicht nur mit sämtlichen Mechanismen der Betriebssicherheit vertraut, sondern auch mit zahlreichen kriminellen Netzwerken in Osteuropa.
Zu Beginn der Tätigkeit konzentrierte sich „Necurs“ auf eine bestimmte Dot-Bit-Domain, die dazu genutzt wurde, ein gewaltiges Peer-to-Peer-Netzwerk aufzubauen, das sich der Nachverfolgung und Erkennung auf eine wundersame Art und Weise entzog. Denn die eigentliche Bit-Top-Level-Domain war außerhalb des Domain-Namen-Systems erstellt worden, so dass eine Steuerung durch die von der Intenet Cooperation for Assigned Names and Numbers (ICANN) ausgeschlossen war.
In den darauffolgenden Jahren etablierte „Necurs“ ein beeindruckendes Netzwerk aus Computern, die von den Cyberkriminellen mit schädlicher Software infiziert wurden. Dadurch konnten diese aus der Ferne gesteuert und auch zur Begehung von Verbrechen genutzt werden. Die größte Bekanntheit unter der eingesetzten Malware erlangte der GameOver Zeus Trojaner, der den Bankensektor in helle Aufruhr versetzte.
Damit positionierte sich das Necurs-Botnetz als eines der größten Netzwerke, das mit seinen verseuchten E-Mails Opfer in der ganzen Welt angreift. Um sich die Zahlen vor Augen zu führen, lohnt es sich, auf die interne Untersuchung Microsofts zurückzugreifen: Hier wurde binnen eines Zeitraumes von 58 Tagen konstatiert, dass es nur einen einzigen mit Necurs infizierten Rechner braucht, um 3,8 Millionen Spam-Nachrichten per E-Mail an etwa 40,6 Millionen Personen in vielen unterschiedlichen Ländern zu versenden.
Derzeit nehmen die Gerichte an, dass das Botnet Necurs von Cyberkriminellen aus Russland betrieben wird. Fest steht auf jeden Fall, dass das Netzwerk zur Begehung zahlreicher Straftaten im Cyberspace eingesetzt worden ist. Darunter sind Pump-and-Dump-Betrugsmaschen, Spam-Mails aus dem Bereich des Pharmasektors und andere Betrugsvorgänge mit einer klar erkennbaren “russischen DAtierung” zu finden. Ebenso verwendete man dem heutigen Kenntnisstand nach das Bot-Netzwerk “Necurs” auch dazu, um Login-Informationen für unterschiedliche Online-Konten zu erlangen und dadurch an gesetzlich geschützte personenbezogene Informationen und andere als vertraulich zu behandelnde Daten der Opfer zu gelangen. Auch auf finanzielle Ziele gerichtete Malware und schädliche Ransomware wurde von dem “Necurs”-System verbreitet. Als außergewöhnlich kann man die Praxis von “Necurs” einstufen, nach der die Kriminellen die infizierten Zugänge zu fremden Rechnern an andere IT-Verbrecher weiterverkauften bzw. -vermieteten (Botnet-for-hire-Dienst). Auch die DDoS-Funktionen (Distributed Denial of Service) erscheinen den IT-Spezialisten aus dem Kriminallabor als durchaus interessant – denn diese waren trotz Vorhandenseins im Laufe der Jahre nie aktiviert worden.