Aktuell
Home | Lokales | Botnetz Andromeda lahmgelegt: Ermittler ziehen den Stecker
Stefan Mayer leitet die Zentrale Kriminalinspektion Lüneburg. Die Spezialisten werden tätig, wenn es um organisierte Kriminalität geht. Foto: lz/t&w

Botnetz Andromeda lahmgelegt: Ermittler ziehen den Stecker

Lüneburg. Vor einem Jahr hatten die Lüneburger Ermittler ein großes Botnetz mit Schadsoftware namens Avalanche lahmgelegt, jetzt holte die Zentrale Kriminalinspektion Lüneburg gemeinsam mit anderen Spezialisten zu einem weiteren Schlag aus: Die Polizei schaltete das illegale Botnetz Andromeda aus, das weltweit Hunderttausende Rechner infiziert hat. Wie groß der materielle Schaden ist, den die Täter angerichtet haben, kann ZKI-Chef Stefan Mayer noch nicht sagen. Dafür müssten weitere Ermittlungen abgewartet werden.

Avalanche und Andromeda 

Die Lüneburger Fachleute, die in einem unscheinbaren Büro-Komplex an Computern sitzen, haben unter der Leitung der zuständigen Staatsanwaltschaft Verden gemeinsam unter anderem mit Spezialisten der amerikanischen Bundespolizei FBI sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI), dem Fraunhofer Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) in Wachtberg bei Bonn, der internationalen Shadowserver Foundation sowie dem Registrar of Last Resort in Amsterdam zusammengearbeitet.

Staatsanwaltschaft und ZKI erklären in einer Mitteilung wie die Schadsoftware „Andromeda“ funktioniert: Die Täter verschicken E-Mails, die schadhafte Links enthalten. Wer sie anklickt, startet den Download eines infizierten Dokuments. Die Nutzer können ihren Rechner aber auch über sogenannte Drive-by-Exploits infizieren. Dabei setzen die Angreifer vor allem manipulierte Werbebanner oder Websites ein, auf denen vor allem für zweifelhafte Inhalte wie Pornografie oder illegales Videostreaming geworben wird.

Windows-Systeme sind infiziert

Die Schadsoftware sei unter anderem in der Lage, einen Banking-Trojaner nachzuladen, der persönlich auf den Rechner des Opfers zugeschnitten ist. Den Tätern sei es mit der Schadsoftware in den vergangenen Jahren gelungen, mehrere Millionen Windows-PC-Systeme zu infizieren. Hauptangriffsziele der Schadsoftware waren Nordamerika, Asien und in Europa vor allem die Länder Rumänien, Italien, Deutschland und Polen.

Andromeda war in den vergangenen Jahren nicht nur in der Infrastruktur Avalanche festgestellt worden, sondern wurde auch über ein weiteres Botnetz verteilt. Das FBI hat bereits ein gesondertes Verfahren geführt, als Avalanche im letzten Jahr abgeschaltet worden war. „Im Zuge der gewonnenen Erkenntnisse aus dem Avalanche-Komplex konnten im weiteren Verlauf der Ermittlungen die Polizeibeamten der ZKI Lüneburg die US-amerikanischen Kollegen unterstützen und gemeinsam die Abschaltung des weiteren Botnetzes planen und vorbereiten“, heißt es in einer Mitteilung.

Ein Spur führte nach Weißrussland, die dortige Polizei nahm vergangenen Mittwoch einen Verdächtigen fest, der als hauptverantwortlich für die Attacken gilt. Die Behörden haben zudem sieben Steuerserver in sechs Ländern beschlagnahmt beziehungsweise abgeschaltet. Und: „Es werden 1500 Domains der Schadsoftware Andromeda mit einer ‚Sinkholing-Maßnahme‘ belegt. Dadurch wurden allein am 30. November weltweit 1,35 Millionen IT-Systeme identifiziert, die mit der Andromeda Schadsoftware befallen waren. Eine Benachrichtigung der Betroffenen über die Infizierung hat noch am selben Tage begonnen.“

Behörden in 27 Staaten arbeiten eng zusammen

ZKI-Chef Mayer berichtet, dass seine Kollegen in einem großen Konzert von Ermittler mitgespielt haben: Behörden in 27 Staaten von Finnland bis Taiwan, von Montenegro bis Tonga sind in das Verfahren eingebunden. Der Kriminaldirektor betont, dass der Erfolg auch darauf beruhe, dass die Lüneburger mit anderen Behörden ein gut funktionierendes Netzwerk geknüpft haben. Ziel ist auch jetzt die illegale Software unschädlich zu machen. Dafür seien die Beamten unter anderem auch zu den FBI-Kollegen geflogen.
Abgeschlossen sind beide Verfahren nicht. Zwar habe man in diesem Jahr weitere 750 000 Domains vor Missbrauch sichern können, doch es gebe noch genug Arbeit: „Eine Verlängerung dieser Maßnahmen war notwendig, da bundesweit immer noch 39 Prozent der ursprünglich in Avalanche infizierten Computersysteme bis heute infiziert sind, weltweit sogar 55 Prozent.“

Von Carlo Eggeling

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.