Das US-Justizministerium (Department of Justice, DoJ) hat am Donnerstag bekannt gegeben, dass es in Zusammenarbeit mit Strafverfolgungsbehörden in Deutschland, den Niederlanden und Großbritannien die Infrastruktur eines russischen Botnetzes mit dem Namen RSOCKS ausgeschaltet hat.
Es wird vermutet, dass das Botnetz, das von einer ausgeklügelten Cybercrime-Organisation betrieben wird, Millionen von mit dem Internet verbundenen Geräten, darunter Internet of Things (IoT)-Geräte, Android-Telefone und Computer, umgarnt hat, um sie als Proxy-Dienst zu nutzen.
Botnets, eine sich ständig weiterentwickelnde Bedrohung, sind Netzwerke von gekaperten Computergeräten, die unter der Kontrolle einer einzigen angreifenden Partei stehen und für eine Vielzahl von groß angelegten Cyberangriffen wie DDoS-Angriffe (Distributed Denial of Service), E-Mail-Spam und Kryptojacking genutzt werden.
„Das RSOCKS-Botnet bot seinen Kunden Zugang zu IP-Adressen, die gehackten Geräten zugewiesen waren“, so das Justizministerium in einer Pressemitteilung. „Die Besitzer dieser Geräte haben den RSOCKS-Betreibern keine Befugnis erteilt, auf ihre Geräte zuzugreifen, um ihre IP-Adressen zu nutzen und den Internetverkehr zu leiten.
Neben privaten Unternehmen und Einzelpersonen wurden bisher auch mehrere große öffentliche und private Einrichtungen, darunter eine Universität, ein Hotel, ein Fernsehstudio und ein Elektronikhersteller, Opfer des Botnetzes, so die Staatsanwaltschaft.
Kunden, die Proxys von RSOCKS nutzen wollten, konnten den Zugang über einen webbasierten Shop für verschiedene Zeiträume zu unterschiedlichen Preisen mieten, die von 30 US-Dollar pro Tag für den Zugang zu 2.000 Proxys bis zu 200 US-Dollar pro Tag für den Zugang zu 90.000 Proxys reichten.
Nach dem Kauf konnten die kriminellen Akteure den bösartigen Internetverkehr über die IP-Adressen umleiten, die mit den kompromittierten Geräten der Opfer verbunden waren, um ihre wahren Absichten zu verschleiern: Angriffe zum Ausfüllen von Zugangsdaten, Zugriff auf kompromittierte Social-Media-Konten und das Versenden von Phishing-Nachrichten.
Die Aktion ist der Höhepunkt einer verdeckten Operation, die das Federal Bureau of Investigation (FBI) Anfang 2017 durchführte, als es verdeckte Käufe bei RSOCKS tätigte, um die Infrastruktur und die Opfer zu kartografieren und so etwa 325.000 infizierte Geräte zu ermitteln.
„Durch die Analyse der Opfergeräte stellten die Ermittler fest, dass das RSOCKS-Botnetz die Geräte der Opfer durch Brute-Force-Angriffe kompromittierte“, so das Justizministerium. „Die RSOCKS-Backend-Server hielten eine ständige Verbindung zu dem infizierten Gerät aufrecht.
Die Zerschlagung von RSOCKS erfolgt weniger als zwei Wochen nach der Beschlagnahmung eines illegalen Online-Marktplatzes namens SSNDOB, auf dem mit persönlichen Daten wie Namen, Geburtsdaten, Kreditkartennummern und Sozialversicherungsnummern von etwa 24 Millionen Menschen in den USA gehandelt wurde.