Cyclops Blink: FBI legt Botnet des russischen Geheimdienstes lahm

Die US-amerikanische Bundespolizei FBI ist nach eigenen Angaben erfolgreich gegen ein Botnet vorgegangen, das von der russisch-staatlichen Cybergang Sandworm betrieben wurde. Über das Botnet "Cyclops Blink" wurde Malware verteilt, die bekannt ist für gezielte Sabotage-Akte. So geht der von Cyberkriminellen herbeigeführte Blackout 2015 in der Ukraine auf Sandworm zurück. Dahinter steckt der russische Militärgeheimdienst GRU, sagen Sicherheitsbehörden in den USA und Großbritannien.

Das nun ausgehobene Botnet bestand vor allem aus Firewall- und Router-Appliances, Geräten, die als Ausgangspunkt für Sabotageaktivitäten prädestiniert sind. Das FBI teilt weiter mit, der GRU habe über das Botnet tausende infizierte Netzwerk-Geräte weltweit kontrollieren können. Das habe die US-Polizei nun unterbunden. Die Betroffenen sollten jetzt zusätzliche Schritte unternehmen, um zu verhindern, dass ihre Geräte erneut befallen werden. Dazu stellen die Hersteller WatchGuard und Asus Anleitungen und Tools zur Diagnose und Reinigung infizierter Systeme bereit.

Das FBI gibt an, bei der Aktion gegen das GRU-Botnet im März 2022 unter anderem eng mit dem Firewall-Hersteller WatchGuard zusammengearbeitet zu haben. Über "Cyclops Blink" waren auch Geräte des Herstellers befallen worden, wie im Februar dieses Jahres bekannt wurde. Zu der Zeit gab es bereits Warnungen vor Sandworm-Angriffen.

Mit Gerichtsbeschluss gegen das Botnet

Als Mitte März die Mehrzahl der befallenen Firewalls/Router immer noch infiziert waren, erwirkte das FBI von einem US-amerikanischen Gericht einen Beschluss, das Botnet lahmzulegen. Dabei entfernte es nach eigenen Angaben von außen und ohne Wissen oder Mitwirkung der Eigentümer die Schadsoftware von den Kontrollservern und schloss den missbrauchten Administrations-Port der WatchGuard-Firewalls. Dies betraf nur die als Command&Control-Server missbrauchten Geräte; die normalen Botnet-Zombies wurden dabei nicht angefasst. Sandworm kann sie nun nicht mehr fernsteuern.

Die aktuelle Malware sei vermutlich schon im Juni 2019 aufgetreten, schildert das FBI. Vorläufer war offensichtlich die Malware VPNFilter, die 2018 über 500.000 Router und NAS infiziert hatte und im selben Jahr vom FBI hochgenommen wurde.

"Solche Aktivitäten sind nicht nur kriminell, sondern bedrohen auch die nationale Sicherheit der Vereinigten Staaten und ihrer Verbündeten", erläutert die zuständige Staatsanwältin Cindy K. Chung vom Western District of Pennsylvania.

"Problematisches, aber gerechtfertigtes Vorgehen"

"Natürlich bleibt die Aktion problematisch, weil sich Kollateralschaden nicht gänzlich ausschließen lassen und die rechtliche Grundlage wackelig sein dürfte. Viele der betroffenen Systeme unterstehen wohl nicht der US-Jurisdiktion", kommentiert Jürgen Schmidt, Senior Fellow Security bei Heise Medien. Bei der Aktion gegen Sandworm sei es aber nicht um Vergeltung oder Hackbacks, allgemeine Prävention oder gar Abschreckung gegangen, sondern um die Abwehr einer sehr konkreten Gefahr.

"Das Vorgehen demonstriert, dass man sich nach Kräften bemüht, minimal-invasiv vorzugehen und Schaden so weit irgend möglich auszuschließen", analysiert Schmidt. "Das waren keine Militärs oder Geheimdienste, sondern im weitesten Sinne Polizei, die sich dieses Vorgehen auch von einem Gericht genehmigen ließ." Für solche Aktionen würden weder Cyber-Einheiten bei der Bundeswehr noch Gesetzesänderungen benötigt, sondern lediglich eine besser auf die Gefahren des Cyberspace vorbereitete Polizei und gesunder Menschenverstand.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.

YouTube-Video immer laden YouTube-Video jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(anw)