RSOCKS

Internationales Ermittlerteam zerschlägt russisches Botnet

In einer gemeinsamen Aktion haben Strafverfolgungsbehörden in den USA, Deutschland, den Niederlanden und Großbritannien ein großangelegtes Botnet zerschlagen. Dahinter sollen russische Hacker stecken.
Von 
CSO | 22. Juni 2022 16:25 Uhr
Die Website der RSOCKS-Betreiber wurde von den US-Strafverfolgungsbehörden beschlagnahmt.
Die Website der RSOCKS-Betreiber wurde von den US-Strafverfolgungsbehörden beschlagnahmt.
Foto: IDG

Wie das US-Justizministerium vergangene Woche mitteilte, wurde das als RSOCKS bekannte Botnet durch eine europäisch-amerikanische Zusammenarbeit unschädlich gemacht. Das Netzwerk soll Millionen gehackte Computer und vernetzte Geräten weltweit umfasst haben. Nach den Angaben der Justizbehörde handelt es sich bei den Drahtziehern um russische Cyberkriminelle.

Botnet als Mietservice für Cyberkriminelle

Ursprünglich hätte das Botnet vor allem aus IoT-Devices (Internet of Things) bestanden, später seien unter anderem Android-Geräte und PCs dazugekommen, heißt es. Nach den Angaben der US-Behörde vermieteten die kriminellen Betreiber ihr Netzwerk gegen Gebühren zwischen 30 und 200 US-Dollar pro Tag. Demnach ermöglichte der günstigste Tarif die Steuerung von 2.000 Geräten pro Tag, der teuerste erweiterte den Zugriff auf 90.000 Geräte.

RSOCKS-Kunden konnten damit anonym Schadsoftware verbreiten. Der Mitteilung zufolge wurde das Botnet auch für sogenannte Credential-Stuffing-Angriffe genutzt, um sich Zugang zu verschiedenen Webseiten zu verschaffen. Bei dieser Methode setzten die Täter darauf, dass viele Menschen ihre Passwörter mehrfach verwenden. Zudem sei das Netzwerk auch für Zugriffe auf kompromittierte Social-Media-Konten und zum Versand von Phishing-Mails verwendet worden.

Ermittlungen laufen seit 2017

Im Rahmen der Ermittlungen haben sich Mitarbeiter der US-Bundespolizei (FBI) als Kunden getarnt , um Zugang zum RSOCKS-Botnet zu erhalten sowie seine Backend-Infrastruktur und seine Opfer zu identifizieren. Laut US-Justizministerium konnten durch den ersten Undercover-Kauf im Jahr 2017 rund 325.000 kompromittierte Opfergeräte auf der ganzen Welt identifiziert werden. Dabei stellten die Ermittler fest, dass die betroffenen Geräte durch Brute-Force-Angriffe gekapert wurden.

Mehrere große öffentliche und private Einrichtungen sollen zu den Opfern des RSOCKS-Botnetzes zählen, darunter eine Universität, ein Hotel, ein Fernsehstudio und ein Elektronikhersteller sowie Privatunternehmen und Privatpersonen.

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.