Dipl.-Inform. Carsten Eilers

GameOver Zeus selbst ist schon schlimm genug, da darüber das Onlinebanking angegriffen wird. Allein in den USA wurden so vermutlich mehr als 100 Millionen US-Dollar erbeutet. Allein einer Bank in Florida wurden 7 Millionen US-Dollar gestohlen. Außerdem kann die Schadsoftware als "Man-in-the-Browser" alle möglichen weiteren Zugangsdaten ausspähen. Was sich nebenbei auch ausnutzen lässt, um infizierte Rechner mit einer einfachen Testseite (zum Beispiel von F-Secure) zu erkennen. Denn der Bot wird schon aktiv, wenn zum Beispiel Amazon in der URL vorkommt. Der dann in die Seite eingeschleuste Schadcode zum Ausspähen der Zugangsdaten kann wiederum vom Code auf der Testseite erkannt werden.

Das US-CERT hat einen Alert zu GameOver Zeus veröffentlicht, der auch Links zu Erkennungs- und Entfernungstools enthält.

Verschlimmert wird die Infektion, wenn darüber auch noch die Ransomware CryptoLocker auf dem infizierten Rechner installiert wird. Nachdem die Cyberkriminellen alles gestohlen haben, was sie stehlen konnten, gab es oft quasi als Zugabe eine Infektion mit CryptoLocker. Der verschlüsselt wichtige Dateien und gibt sie erst nach Zahlung eines Lösegelds wieder frei. Beispielsweise musste eine Polizeistation in Massachusetts 750 US-Dollar zahlen, um wieder an von CryptoLocker verschlüsselte Verwaltungsdaten, Ermittlungsmaterial und digitale Fahndungsfotos zu gelangen. Insgesamt sollen die Cyberkriminellen allein zwischen September und Dezember 2013 30 Millionen US-Dollar Lösegeld kassiert haben.

GameOver Zeus - Ein Peer-to-Peer-Botnet

Im Gegensatz zum normalen Schädlingsbaukasten Zeus verwendet GameOver Zeus eine Peer-to-Peer-Kommunikation. Um das Botnet lahm zu legen reicht es also nicht aus, einen oder einige wenige zentrale Command&Control-Server aus dem Verkehr zu ziehen. Jeder infizierte Rechner verwaltet eine eigene Liste mit weiteren infizierten Rechnern, mit denen er jederzeit Kontakt aufnehmen kann, um Daten auszutauschen. Werden einige der Rechner aus dem Botnet entfernt, behalten die Cyberkriminellen trotzdem die Kontrolle über das restliche Botnet bzw. können es sich jederzeit wieder verschaffen.

CrowdStrike, eines der an der Aktion beteiligten Sicherheitsunternehmen, hat beschrieben, wie das GameOver Zeus Botnet lahm gelegt wurde:

Wie schon beschrieben verwaltet jeder infizierte Rechner eine Liste mit weiteren infizierten Rechnern, mit denen er Konfigurationsdateien, Aufgaben, Listen mit infizierten Rechnern oder Updates austauschen kann. Diese Daten werden teilweise digital signiert, um die Verbreitung unautorisierter Daten über das P2P-Protokoll zu verhindern.

Kann ein infizierter Rechner das P2P-Netzwerk über die ihn bekannten Peers nicht erreichen, kommt als Fallback-Lösung ein Domain Generating Algorithm (DGA) zum Einsatz. Der erzeugt pro Woche bis zu 1.000 Domain-Namen für eine vorgegebene Menge von Top Level Domains, die natürlich auch den Cyberkriminellen hinter dem Botnet bekannt sind. Die können diese Domains zum passenden Zeitpunkt registrieren und dann darüber das Botnet steuern.

Um das Botnet lahm zu legen waren also drei Schritte nötig:

1. Die Nutzung des DGA als Fallback-Lösung musste verhindert werden.
2. Die P2P-Kommunikation musste unterbrochen werden.
3. Das Backend der Cyberkriminellen musste aus dem Verkehr gezogen werden.

1. Nutzung der Fallback-Lösung verhindern

Um die Nutzung des DGA als Fallback-Lösung zu verhindern wurde der für die Erzeugung der Domainnamen verwendete Algorithmus über Reverse Engineering ermittelt. Danach konnten zwei lange Listen mit Domains (eine für die TLD .ru, eine für die anderen TLDs wie .com, .net, .org, info und .biz) erstellt werden, die dann von den Mitgliedern der "Operation Tovar" registriert wurden (das wird als "sinkholing" bezeichnet). Dadurch wird verhindert, dass die Cyberkriminellen diese Domainnamen selbst registrieren und darüber die Kontrolle über das Botnet zurück erlangen.

2. P2P-Kommunikation unterbrechen

Um die P2P-Kommunikation zu unterbrechen wurde eine Peer-Liste in das P2P-Netzwerk eingeschleust, die nur Rechner unter der Kontrolle der Mitglieder der "Operation Tovar" enthielt. Dadurch wurden die infizierten Rechner nach und nach vom noch jeweils unter der Kontrolle der Cyberkriminellen stehenden Teil des Botnets isoliert, die dadurch die Kontrolle über sie verloren. Und da die Liste immer weiter verbreitet wurde, schrumpfte der von den Cyberkriminellen kontrollierte Rest des Botnets immer weiter.

3. Backend der Cyberkriminellen lahm legen

Parallel zum Angriff auf das Botnet wurden die Backend-Systeme der Cyberkriminellen lahm gelegt, indem die verwendeten Server beschlagnahmt wurden. Das nahm den Cyberkriminellen die Möglichkeit, die Kontrolle über das Botnet zurück zu erlangen.

Der zeitliche Ablauf

Vereinfacht lief der Schlag gegen die Cyberkriminellen so ab:

7. Mai 2014

In Kiew und Donetsk werden von ukrainischen Behörden Command&Control-Server beschlagnahmt und kopiert. Damit wird den Cyberkriminellen die Möglichkeit genommen, neue Befehle an das Botnet zu schicken.

19. Mai 2014

In den USA wird vom Justizministerium ein russischer Staatsbürger wegen verschiedener Vergehen angezeigt.

28. Mai 2014

Ein US-amerikanisches Gericht erlässt eine Verfügung gegen den angezeigten Russen und vier weitere, nicht genannte Mittäter. Damit ist es den Strafverfolgern erlaubt, den GameOver-Traffic zu einem vom Gericht bestimmten Server umzuleiten.

Damit konnte der eigentliche Schlag gegen das Botnet beginnen. Dabei wurden zentrale Rechner in der Kontroll-Infrastruktur des Botnets identifiziert und Server in Kanada, Frankreich, Deutschland, Luxemburg, den Niederlanden, der Ukraine und Großbritannien beschlagnahmt.

Durch diese Methoden wurden mehr als 2.000.000 infizierte Rechner aus dem Botnet und damit der Kontrolle der Cyberkriminellen befreit. Laut Microsoft wurden bzw. werden die Benutzer aller befreiten Rechner informiert, so dass sie die Schadsoftware von ihren Rechnern löschen können. Das CERT Polska, dass die Aktivitäten des Botnets überwacht, hat nach dem Schlag gegen des Botnets einen deutlichen Rückgang der Aktivität bis fast auf Null beobachtet.

Das Lahmlegen von CryptoLocker

CryptoLocker verschlüsselt auf infizierten Systemen (und allen von dort erreichbaren Massenspeichern einschließlich Netzwerklaufwerken) alle wichtigen Dateien mit RSA und gibt sie erst nach Zahlung eines Lösegelds wieder frei. Da CryptoLocker vor allem über das GameOver Zeus Botnet verbreitet wurde, wurde diesem Schädling und seinen Hintermännern mit dessen Lahmlegen ebenfalls ein empfindlicher Schlag versetzt.

Der für die Verschlüsselung mit RSA benötigte öffentliche Schlüssel eines jeweils individuell erzeugten asymmetrischen Schlüsselpaars wurde von Domains geladen, deren Namen ebenfalls über einen Domain Generating Algorithm erzeugt wurden. Auch dieser Algorithmus wurde über Reverse Engineering ermittelt und die relevanten Domains über Sinkholing aus dem Verkehr gezogen. Dadurch kann CryptoLocker keine RSA-Schlüssel mehr anfordern und keine Dateien mehr verschlüsseln.

Parallel wurde außerdem die Infrastruktur von CryptoLocker angegriffen. Zeitgleich mit der Beschlagnahme zentraler Server der Botnet-Kontroll-Infrastruktur wurden auch für den Betrieb von CryptoLocker kritische Server beschlagnahmt.

RSA ist sicher - in diesem Fall zu sicher

Die Verwendung von RSA zur Verschlüsselung sorgt dafür, dass eine Entschlüsselung ohne Mitwirkung der Cyberkriminellen unmöglich ist. Der dafür nötige private Schlüssel bleibt bis zur Zahlung des Lösegelds unter der Kontrolle der Cyberkriminellen. Im Gegensatz zu vielen von anderen Ransomware-Schädlingen verwendeten Verfahren ist ein Brechen der Verschlüsselung bei RSA nicht möglich. Auch ist es nicht möglich, aus dem für die Verschlüsselung verwendeten öffentlichen Schlüssel (der ja auf dem Rechner vorhanden ist) auf den privaten Schlüssel zu schließen oder ihn gar daraus zu berechnen. Und da der private Schlüssel bis zur Zahlung des Lösegelds nie auf dem infizierten Rechner gespeichert wird kann er auch nicht ausgespäht werden.

Die rechtliche Seite...

... tut hier nichts zu Sache. Daher hier nur ein paar Infoseiten:

• FBI: GameOver Zeus Botnet Disrupted
• Europol: International action against 'Gameover Zeus' botnet and 'CryptoLocker' ransomware
• USDOJ: OPA: Documents and Resources from the June 2, 2014 Announcement in U.S. v Evgeniy Mikhailovich Bogachev et al and Disruption of Gameover Zeus and Cryptolocker

Weitere Hintergrundinformationen liefert ein Artikel von Brian Krebs, der auch zwei an der "Operation Tovar" beteiligte Personen interviewt hat: "Backstage with the Gameover Botnet Hijackers".

Carsten Eilers