{"id":267309,"date":"2022-06-18T10:51:34","date_gmt":"2022-06-18T08:51:34","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=267309"},"modified":"2022-06-18T11:08:59","modified_gmt":"2022-06-18T09:08:59","slug":"russisches-rsocks-botnet-in-internationaler-aktion-ausgehoben","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/18\/russisches-rsocks-botnet-in-internationaler-aktion-ausgehoben\/","title":{"rendered":"Russisches RSOCKS-Botnet in internationaler Aktion ausgehoben"},"content":{"rendered":"

\"Sicherheit[English<\/a>]In einer gemeinsamen Aktion internationaler Ermittler wurde das russische RSOCKS-Botnet ausgehoben. An der Aktion waren Beh\u00f6rden aus der USA, Deutschland, den Niederlanden und Gro\u00dfbritannien beteiligt. Dieses Bot-Netzwerk wurde jahrelang zu Preisen von 30 bis 200 US-Dollar pro Tag an Cyberkriminelle vermietet, um Cyberangriffe und Phishing-Wellen auf Zielen in aller Welt zu starten.<\/p>\n

<\/p>\n

\"\"Auf der Webseite von RSOCKS findet sich nur noch die nachfolgende Meldung, die \u00fcber die Beschlagnahmung durch das FBI informiert und auf diese Meldung<\/a> der U.S. Staatsanwaltschaft im s\u00fcdlichen Bezirk von Kalifornien verweist.<\/p>\n

<\/p>\n

Dort informiert die U.S. Staatsanwaltschaft, dass das US-Justizministerium gemeinsam mit Strafverfolgungspartnern in Deutschland, den Niederlanden und dem Vereinigten K\u00f6nigreich die Infrastruktur eines russischen RSOCKS -Botnetzes zerschlagen hat.<\/p>\n

Das RSOCKS-Botnet<\/h2>\n

Ein Botnetz ist eine Gruppe kompromittierter Ger\u00e4te mit Internetzugang. Diese gehackten Ger\u00e4te werden ohne Wissen des Besitzers kontrolliert und in der Regel f\u00fcr b\u00f6sartige Zwecke genutzt. Laut der Durchsuchungsanordnung der US-Justiz und den eigenen Angaben der Botnet-Betreiber umfasste das von russischen Cyberkriminellen betriebene RSOCKS-Botnetz Millionen gehackter Ger\u00e4te weltweit.<\/p>\n

Das RSOCKS-Botnetz zielte zun\u00e4chst auf Ger\u00e4te des Internets der Dinge (IoT) ab. Zu den IoT-Ger\u00e4ten geh\u00f6rt eine breite Palette von Ger\u00e4ten, darunter Industriesteuerungssysteme, Stechuhren, Router, Audio-\/Video-Streaming-Ger\u00e4te und intelligente Garagentor\u00f6ffner, die mit dem Internet verbunden sind und dar\u00fcber kommunizieren k\u00f6nnen und denen daher IP-Adressen zugewiesen sind. Mit der Zeit weitete sich das RSOCKS-Botnet aber aus und kompromittierte weitere Ger\u00e4tetypen. Dazu geh\u00f6riten auch Android-Ger\u00e4te und herk\u00f6mmliche Computer.<\/p>\n

Vermietung der Infrastruktur<\/h2>\n

Das RSOCKS-Botnet stellte \"seinen Kunden\" Zugang zu IP-Adressen bereit, die gehackten Ger\u00e4ten zugewiesen waren. Die Ger\u00e4te wurden ohne Wissen der Besitzer von den RSOCKS-Betreibern missbraucht, um den Internetverkehr weiterzuleiten. Ein Cyberkrimineller, der die RSOCKS-Plattform nutzen wollte, konnte \u00fcber eine \u00f6ffentliche Website per Browser einen Zugang zum Botnetz mieten. Die Cyberkriminellen konnten dabei den Zugang zu einem Pool von Proxys f\u00fcr einen bestimmten t\u00e4glichen, w\u00f6chentlichen oder monatlichen Zeitraum mieten. Die Kosten f\u00fcr den Zugang zu einem Pool von RSOCKS-Proxys reichten von 30 Dollar pro Tag f\u00fcr den Zugang zu 2.000 Proxys bis zu 200 Dollar pro Tag f\u00fcr den Zugang zu 90.000 Proxys. Ein Proxy entspricht dabei einem kompromittierten IoT-Ger\u00e4t, welches f\u00fcr kriminelle Zwecke missbraucht werden konnte.<\/p>\n

Nach dem Kauf konnte der Kunde eine Liste von IP-Adressen und Ports herunterladen, die mit einem oder mehreren Backend-Servern des Botnetzes verbunden waren. Der Kunde konnte dann b\u00f6sartigen Internetverkehr \u00fcber die kompromittierten Ger\u00e4te der Opfer leiten, um die wahre Quelle des Datenverkehrs zu verschleiern oder zu verbergen. Die Ermittler vermuten, dass die Cyberkriminellen \u00fcber dieser Art von Proxy-Diensten gro\u00df angelegte Angriffe auf Authentifizierungsdienste durchf\u00fchrten. Diese Methode ist auch als Credential Stuffing bekannt, bei dem Sammlungen von gestohlenen oder geleakten Zugangsdaten zur Anmeldung an Onlinekonten verwendet werden. Die Angreifer anonymisierten ihre Zugriffe auf derart kompromittierte Social-Media-Konten \u00fcber die Proxys oder den Ursprung, wenn sie b\u00f6swillige E-Mails, z. B. Phishing-Nachrichten, versendeten.<\/p>\n

Ermittler verschafften sich Zugriff<\/h2>\n

Aus den Beschlagnahmedokumenten geht hervor, dass sich die FBI-Ermittler durch verdeckte K\u00e4ufe Zugang zum RSOCKS-Botnet verschafften. Anschlie\u00dfend versuchten die Ermittler die Backend-Infrastruktur des RSOCKS-Botnet und seine Opfer zu identifizieren. Bei dem ersten verdeckten Kauf Anfang 2017 wurden etwa 325.000 kompromittierte Opferger\u00e4te auf der ganzen Welt identifiziert, darunter zahlreiche Ger\u00e4te in San Diego County.<\/p>\n

Bei der Analyse der Opferger\u00e4te stellten die Ermittler fest, dass das RSOCKS-Botnetz die Opferger\u00e4te durch Brute-Force-Angriffe kompromittierte. Die RSOCKS-Backend-Server unterhielten eine dauerhafte Verbindung zu dem kompromittierten Ger\u00e4t. Mehrere gro\u00dfe \u00f6ffentliche und private Einrichtungen wurden Opfer des RSOCKS-Botnets, darunter eine Universit\u00e4t, ein Hotel, ein Fernsehstudio und ein Elektronikhersteller, aber auch private Unternehmen und Einzelpersonen.<\/p>\n

Bei drei der Opfer ersetzten die Ermittler mit deren Einverst\u00e4ndnis die kompromittierten Ger\u00e4te durch von der Regierung kontrollierte Computer (d. h. Honeypots), und alle drei wurden anschlie\u00dfend von RSOCKS infiziert. Das FBI identifizierte mindestens sechs Opfer in San Diego.<\/p>\n

\"Mit dieser Operation wurde eine hochentwickelte, in Russland ans\u00e4ssige Cybercrime-Organisation zerschlagen, die Cyberangriffe in den Vereinigten Staaten und im Ausland durchf\u00fchrte\", sagte die verantwortliche FBI-Sonderagentin Stacey Moy. \"Unser Kampf gegen cyberkriminelle Plattformen ist eine entscheidende Komponente bei der Gew\u00e4hrleistung der Cybersicherheit in den Vereinigten Staaten. Die Ma\u00dfnahmen, die wir heute ank\u00fcndigen, sind ein Beweis f\u00fcr das anhaltende Engagement des FBI, ausl\u00e4ndische Bedrohungsakteure in Zusammenarbeit mit unseren internationalen und privatwirtschaftlichen Partnern zu verfolgen.\"<\/p>\n

Das Ganze geht auf den September 2020 zur\u00fcck, als der FBI-Direktor Christopher Wray die neue Strategie des FBI zur Bek\u00e4mpfung von Cyberbedrohungen verk\u00fcndigte. Die Strategie konzentriert sich darauf, den Cyberkriminellen die Infrastruktur zu entziehen und, sofern m\u00f6glich, die Cyberkriminellen auch zu verhaften. In der Vergangenheit wurden bereits zahlreiche Cyberkriminelle verhaftet und deren Infrastruktur beschlagnahmt. Inzwischen wurden zahlreiche solcher Ma\u00dfnahmen durchgef\u00fchrt (siehe folgende Link-Liste).<\/p>\n

\u00c4hnliche Artikel<\/strong>
\nInterpol verhaftet nigerianischen Kopf einer BEC-Betr\u00fcgerbande<\/a>
\nInterpol verhaftet 3 nigerianische BEC-Cyberkriminelle (2. Juni 2022)<\/a>
\nOperation Falcon II: Interpol und nigerianische Polizei verhaften 11 Cyberkriminelle<\/a>
\nEuropol verhaftet 1.803 Geldw\u00e4scher\/-kuriere von Internet-Betr\u00fcgern<\/a>
\nF\u00fcnf Mitglieder der Sodinokibi\/REvil Ransomware-Gruppe verhaftet<\/a>
\nEuropol & Co. lassen 2 Ransomware-Operatoren in der Ukraine festnehmen<\/a>
\nInterpol verhaftet 2.000 Cyber-Betr\u00fcger in Operation \"First Light 2022\"<\/a>
\nCyber-News 8. April 2022: Kreml-TV gehackt, Strontium-Domains durch Microsoft \u00fcbernommen<\/a>
\nUkraine-Sicherheits-News: Doxing des FSB, Botfarm aufgeflogen, Cyberangriff auf Telefongesellschaft<\/a>
\nEuropol schaltet von Cyberkriminellen genutzten VPN-Dienst VPNLab.net ab<\/a>
\nDrei VPN-Dienste von Strafverfolgern beschlagnahmt<\/a>
\nOnlinebanking-Betrug: Polizei verhaftet drei Cyber-Kriminelle<\/a>
\nNetwalker Ransomware Darknet Webseite beschlagnahmt, erste Anklage<\/a>
\nNeues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt<\/a>
\nLKA hebt Cyber-Bunker des Darknet in Rheinland-Pfalz aus<\/a>
\nDeutsche Polizei f\u00fchrt Hausdurchsuchung beim OmniRAT-Entwickler durch, Ger\u00e4te beschlagnahmt<\/a>
\nWannaCry: Tor-Server in Frankreich beschlagnahmt<\/a>
\nCyber-Kriminalit\u00e4t: Avalanche Infrastruktur ausgehoben, Betreiber verhaftet<\/a>
\nInfrastruktur des Flubot-Android-Trojaners durch Europol abgeschaltet<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]In einer gemeinsamen Aktion internationaler Ermittler wurde das russische RSOCKS-Botnet ausgehoben. An der Aktion waren Beh\u00f6rden aus der USA, Deutschland, den Niederlanden und Gro\u00dfbritannien beteiligt. Dieses Bot-Netzwerk wurde jahrelang zu Preisen von 30 bis 200 US-Dollar pro Tag an Cyberkriminelle … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-267309","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/267309","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=267309"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/267309\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=267309"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=267309"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=267309"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}