Ein Sicherheitsunternehmen aus den USA ist einem neuen Botnetz auf die Spur gekommen, welches bereits gut 74.000 infiltrierte Rechner in über 2.500 Unternehmen und Behörden umfassen soll. Das Zeus-Botnetz existiert zwar bereits schon seit längerem, aber offenbar haben die Hintermänner neue Ziele und Absichten und setzen hierfür auch auf Waledac.
Während Zeus bisher vor allem durch den Versand von SPAM auffiel, verfolgen die Hintermänner jetzt offenbar andere Ziele. Im Rahmen erster Untersuchungen wurde festgestellt, dass das neue Botnetz vor allem sensible Daten ausspähen soll. Dazu zählen vor allem geheime Dokumente von Behörden und Unternehmen, aber auch private Informationen wie Zugangsdaten zu sozialen Netzwerken und E-Mail-Konten. Letztere dienen vermutlich vor allem zur einfacheren Verbreitung der Schadsoftware und Infiltrierung neuer Zielrechner. Die Angriffe richten sich gezielt gegen Unternehmen und Regierungsbehörden und dienen in erster Linie der Spionage.
Auffällig ist auch das häufige Vorkommen des Waledac-Bots. Dieser multifunktionale Bot verbreitet sich ebenfalls über SPAM und spioniert infizierte Rechner umfangreich aus und wird anschließend zu einem FastFlux Bot. Unter anderem liest er die Adressbücher der Rechner aus, um beispielsweise neue E-Mail-Adressen zu sammeln. Die Software kann zudem Informationen zum Online-Banking und Passwörter mitschneiden und den Botnetz-Betreibern zur Verfügung stellen. Darüberhinaus lassen sich infizierte Rechner für einen gemeinsamen DoS-Angriff ausnutzen. Ein solcher Angriff hat schließlich auch dazu geführt, dass das Botnetz nach weiteren Kontrollen jetzt identifiziert werden konnte. Wurde ein Rechner erfolgreich ausspioniert, wird der Bot zudem für den Betrieb von infizierten Webseiten genutzt. Die Bots kommunizieren zudem untereinander und dezentral über das Protokoll HTTP, weshalb gezielte Sperren – beispielsweise über eine IP-Sperre in der Firewall – erfolglos bleiben.
Laut dem Bericht von NetWitness stammen die Betreiber überwiegend aus Osteuropa und China. Bereits Ende 2008 soll mit dem Aufbau des Botnetzes Kneber begonnen worden sein und sich darüber mittlerweile gut 70 GB an Informationen angesammelt haben. Unternehmen können auch weiterhin nicht aufatmen, denn das Botnetz ist immer noch aktiv und unter der Kontrolle der Betreiber. Falls die Ausbreitung überhaupt eingedämmt werden kann, werden bis dahin noch viele Informationen aus Unternehmen und Privatrechnern gestohlen. In Mitteleuropa ist die Verbreitung bisher vergleichsweise gering, während sich in den USA dagegen die meisten infizierten Rechner befinden.
