Rsocks: US-Justiz zerschlägt russisches Botnet

Stefan Beiersmann,
Linkedin
Botnet (Bild: Shutterstock.com/kentoh)

Es besteht überwiegend aus gehackten IoT-Geräten. Die Hintermänner vermieten deren IP-Adressen an andere Cyberkriminelle. Die wiederum leiten ihren schädlichen Internettraffic über diese Adressen.

Das US-Justizministerium hat die Kontrolle über die Infrastruktur des mutmaßlich von Russland aus betriebenen Botnets Rsocks übernommen. Es soll aus Millionen von gehackten Internet-of-Things-Geräten (IoT) bestehen und als Proxy-Service genutzt worden sein. Die Hintermänner boten anderen Cyberkriminellen die IP-Adressen der gehackten Geräte für ihre Aktivitäten an.

Der Schlag gegen die Botnet-Betreiber gelang in Zusammenarbeit mit Behörden in den Niederlanden, Großbritannien und Deutschland. Den Ermittlern zufolge wurden die IP-Adressen vor allem benutzt um Anmeldedaten für Websites zu kapern.

„Es wird vermutet, dass die Nutzer dieser Art von Proxy-Diensten groß angelegte Angriffe auf Authentifizierungsdienste, auch bekannt als Credential Stuffing, durchführen und sich anonymisieren, wenn sie auf kompromittierte Social-Media-Konten zugreifen oder bösartige E-Mails wie Phishing-Nachrichten versenden“, teilte das Department of Justice mit.

Die US-Bundespolizei FBI beschlagnahmte zudem die Rsocks-Website. Dort boten die Hacker ihre Dienste an zahlende Kunden an. So kostete 2000 Proxies 30 Dollar pro Tag. Für einen Pool von 9000 Proxies verlangten die Cyberkriminellen 200 Dollar pro Tag.

Zum Botnetz gehören auch Android-Geräte und Computer

Kunden erhielten neben einer Liste mit IP-Adressen auch die benötigen Ports, um auf einen oder mehrere Backend-Server des Botnets zugreifen zu können. Anschließend waren sie in der Lage, ihren schädlichen Internetdatenverkehr über die kompromittierten Geräte der Opfer zu leiten und so die eigentliche Herkunft das Traffics zu verschleiern.

Das Botnet wiederum sollen die Betreiber mithilfe von Brute-Force-Angriffen auf IoT-Geräte aufgebaut haben. Viele solcher Geräte sind nur durch voreingestellte oder schwache Kennwörter geschützt.

Später erweiterten die Betreiber ihr Botnetz auf Android-Geräte und Computer. Zu den Opfer zählen laut den Ermittlern unter anderem eine Universität, ein Hotel, ein Fernsehstudio und ein Elektronikhersteller. Betroffen waren aber auch Kleinunternehmen und Einzelpersonen.

„Mit dieser Operation wurde eine hochentwickelte, in Russland ansässige Cybercrime-Organisation zerschlagen, die Cyberangriffe in den Vereinigten Staaten und im Ausland durchführte”, sagte die verantwortliche FBI-Sonderagentin Stacey Moy. “Unser Kampf gegen cyberkriminelle Plattformen ist eine entscheidende Komponente bei der Gewährleistung der Cybersicherheit in den Vereinigten Staaten. Die Maßnahmen, die wir heute ankündigen, sind ein Beweis für das anhaltende Engagement des FBI, ausländische Bedrohungsakteure in Zusammenarbeit mit unseren internationalen und privatwirtschaftlichen Partnern zu verfolgen.”