Skip to main content

Iranische Cyberarmee zieht in Botnets

Eine Gruppe böswilliger Hacker, die Twitter und die chinesische Suchmaschine Baidu angegriffen haben, betreiben laut einer neuen Untersuchung offenbar auch ein fernes Botnet.

Auch die sogenannte iranische Cyber-Armee hat sich letzten Monat einen Kredit verdient Angriff auf die europäische Website von TechCrunch. Bei diesem Vorfall installierte die Gruppe eine Seite auf der TechCrunch-Website, die Besucher an einen Server weiterleitete, der ihre Computer mit Exploits bombardierte, um Schadsoftware zu installieren.

Forscher mit einem Sicherheitssystem namens Seculert haben den bösartigen Server hinter diesen Angriffen ausfindig gemacht und fand Hinweise darauf, dass die iranische Cyberarmee möglicherweise auch ein Botnet betreibt.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Sie haben eine Verwaltungsschnittstelle gefunden, wo Leute das Botnet mieten können Beschreiben Sie die Maschinen, die sie infizieren möchten, und laden Sie ihre eigene Malware zur Verbreitung durch das Botnetz hoch, sagte Aviv Raff, CTO und Mitbegründer von Seculert. Das Unternehmen betreibt einen Cloud-basierten Dienst, der seine Kunden auf neue Malware, Exploits und andere Cyber-Bedrohungen aufmerksam macht.

"Sie stellen die Anzahl der Maschinen und ihrer Region zur Verfügung", sagte Raff. "Sie stellen dann die Malware-Download-URL bereit und sie übernehmen die Malware-Installation für Sie."

Es gibt viele Computerkriminalitätsbanden, die Botnetze oder Netzwerke kompromittierter Computer erstellen, die dann in der Cyberkriminalität an andere Spieler vermietet werden können Industrie, wie Spammer.

Raff sagte Seculert war in der Lage, die Verwaltungspanel zu sehen, wie es ungeschützt gelassen wurde. Sein Unternehmen hat seitdem den Provider darüber informiert, wo die Seite gehostet und mit der Strafverfolgungsbehörde in Verbindung gebracht wird.

Die iranische Cyberarmee ist vermutlich hinter dem Botnet, da das Administrations-Panel die gleiche E-Mail-Adresse wie Twitter und Baidu zeigte Defacement-Angriffe. Auf einer Seite mit Statistiken zur Anzahl der infizierten Computer wurde der Name der Gruppe im HTML-Quellcode entsprechend den von Seculert veröffentlichten Screenshots angezeigt.

Die Statistikseite zeigte, dass bis zu 14.000 PCs pro Stunde infiziert waren. Da der Server seit August aktiv ist, schätzt Seculert, dass er möglicherweise bis zu 20 Millionen PCs infiziert hat.

Die Administrationskonsole zeigt außerdem, dass das zur Bereitstellung von Malware verwendete Exploit-Kit Exploits auf die Java-Laufzeitumgebung, Produkte von Adobe, ausübt Systeme, Microsoft-Betriebssysteme und Internet Explorer-Browser.

Keine der vom Exploit-Kit verwendeten Sicherheitslücken scheint unbekannt zu sein oder wurde in einigen Fällen sogar erst kürzlich entdeckt. Eine Schwachstelle stammt beispielsweise aus dem Jahr 2006.

"Es ist gruselig zu sehen, dass die Leute wegen dieser Sicherheitslücke immer noch infiziert werden", sagte Raff.

Das Botnetz wurde zur Verbreitung einiger der bekannteren bösartigen Softwareprogramme verwendet einschließlich Zeus, mit dem man sich in Online-Banking-Konten hacken lässt, und den Datendiebstahl-Trojanern Gozi und Carberp, sagte Raff.

Eine E-Mail-Adresse verknüpft das Botnet mit früheren Angriffen der iranischen Cyberarmee.

Als Twitter im Dezember 2009 angegriffen wurde, waren Nutzer direkt auf eine andere Website mit einer grünen Flagge und der Meldung "Diese Seite wurde von der iranischen Cyberarmee gehackt" sowie der mutmaßlichen E-Mail-Adresse der Gruppe.

Der Angriff gegen Twitter und eine andere gegen Baidu.com manipuliert DNS-Einträge (Domain Name System), die dazu führen können, dass Benutzer auf eine andere Website umgeleitet werden, selbst wenn der richtige Domainname eingegeben wurde.