Das Justizministerium gab heute umfangreiche Bemühungen zur Störung und Demontage des Kelihos–Botnetzes bekannt – ein globales Netzwerk von Zehntausenden infizierter Computer unter der Kontrolle eines Cyberkriminellen, das zur Erleichterung böswilliger Aktivitäten wie dem Sammeln von Anmeldeinformationen, der Verteilung von Hunderten von Millionen Spam-E-Mails und der Installation von Ransomware und anderer schädlicher Software verwendet wurde.
Stellvertretender Generalstaatsanwalt Kenneth A. Blanco von der Strafabteilung des Justizministeriums, der amtierende US-Anwalt Bryan Schroder für den Distrikt Alaska, der stellvertretende Direktor Scott Smith für die Cyber-Abteilung des FBI und der zuständige FBI-Spezialagent Marlin Ritzman von der AnchorageDivision gaben die Ankündigung bekannt.
„Die heute angekündigte Operation zielte auf ein laufendes internationales System ab, das Hunderte Millionen betrügerischer E-Mails pro Jahr verteilte, die Anmeldeinformationen für Online- und Finanzkonten von Tausenden von Amerikanern abfing und Ransomware in unseren Netzwerken verbreitete. Die Fähigkeit von Botnetzen wie Kelihos, schnell für große und vielfältige Arten von Schäden als Waffe eingesetzt zu werden, ist eine gefährliche und tiefe Bedrohung für alle Amerikaner und bildet den Kern unserer Kommunikation, Vernetzung, unseres Lebensunterhalts und unseres Alltags „, sagte der stellvertretende Generalstaatsanwalt Blanco. „Unser Erfolg bei der Störung des Kelihos-Botnetzes war das Ergebnis einer engen Zusammenarbeit zwischen Experten der Privatwirtschaft und Strafverfolgungsbehörden sowie des Einsatzes innovativer rechtlicher und technischer Taktiken. Das Justizministerium ist bestrebt, die Cyberkriminalität zu bekämpfen, unabhängig von der Größe oder Raffinesse des Systems, und diejenigen zu bestrafen, die an solchen Verbrechen beteiligt sind.“
„Cyberkriminalität ist ein weltweites Problem, aber eines, das seine Opfer direkt über die Computer und persönlichen elektronischen Geräte infiziert, die wir jeden Tag benutzen“, sagte der amtierende US-Anwalt Bryan Schroder für den Bezirk Alaska. „Der Schutz des amerikanischen Volkes vor einer solchen weltweiten Bedrohung erfordert eine weitreichende Reaktion, und die Demontage des Kelihos-Botnetzes war eine solche Operation. Wir haben das Glück, dass wir talentierte FBI-Agenten und Bundesanwälte mit den Fähigkeiten haben, die Amerikaner vor dieser allgegenwärtigen Cyberkriminalität zu schützen.“
„Am 8. April 2017 haben wir mit der außergewöhnlichen Aufgabe begonnen, bösartige Domänen zu blockieren, die mit dem Khelios-Botnetz verbunden sind, um weitere Infektionen zu verhindern“, sagte der zuständige FBI-Sonderermittler Ritzman. „Dieser Fall zeigt das Engagement des FBI, Cyber-Bedrohungen zu finden und auszurotten, egal wo sie sich auf der Welt befinden.“
Kelihos Malware zielte auf Computer ab, auf denen das Microsoft Windows-Betriebssystem ausgeführt wurde. Infizierte Computer wurden Teil eines Netzwerks kompromittierter Computer, die als Botnetz bekannt sind, und wurden über ein dezentrales Befehls- und Kontrollsystem ferngesteuert. Laut der Zivilklage soll Peter Yuryevich Levashov das Kelihos-Botnetz seit etwa 2010 betrieben haben. Die Kelihos-Malware sammelte Benutzeranmeldeinformationen, indem sie infizierte Computer nach Benutzernamen und Passwörtern durchsuchte und den Netzwerkverkehr abfing. Levashov nutzte angeblich die Informationen, die er aus dieser Ernteoperation für Anmeldeinformationen erhielt, um seine illegale Spamming-Operation voranzutreiben, die er in verschiedenen kriminellen Online-Foren bewarb. Das Kelihos-Botnet erzeugte und verteilte enorme Mengen an unerwünschten Spam-E-Mails, in denen gefälschte Medikamente beworben, Aktien täuschend beworben wurden, um ihren Preis betrügerisch zu erhöhen (sogenannte „Pump-and-Dump“ -Aktienbetrugsprogramme), Work-at-Home-Betrug und andere Betrügereien. Kelihos war auch für die direkte Installation zusätzlicher Malware auf den Computern der Opfer verantwortlich, einschließlich Ransomware und Malware, die die Bankkontopasswörter der Benutzer abfängt.
Wie bei anderen Botnetzen ist Kelihos so konzipiert, dass es automatisch und unentdeckt auf den Computern der Opfer arbeitet, wobei der bösartige Code heimlich Anfragen nach Anweisungen an den Botnetzbetreiber sendet. Um die Computer der Opfer aus dem Botnetz zu befreien, erwirkten die Vereinigten Staaten im Distrikt Alaska zivil- und strafgerichtliche Anordnungen. Diese Befehle autorisierten Maßnahmen zur Neutralisierung des Kelihos-Botnetzes, indem (1) Ersatzserver eingerichtet wurden, die die automatisierten Anweisungsanforderungen empfangen, sodass infizierte Computer nicht mehr mit dem kriminellen Betreiber kommunizieren, und (2) alle Befehle blockiert wurden, die vom kriminellen Betreiber gesendet wurden, um die Kontrolle über die infizierten Computer wiederzugewinnen.
Bei der Beantragung der Genehmigung zur Störung und Demontage des Kelihos-Botnetzes erhielten die Strafverfolgungsbehörden einen Haftbefehl gemäß den jüngsten Änderungen von Regel 41 der Bundesstrafprozessordnung. Eine Kopie dieses Haftbefehls zusammen mit den anderen Gerichtsbeschlüssen wird unten erstellt. Der von der Regierung erhaltene Haftbefehl ermächtigt die Strafverfolgungsbehörden, Kelihos-infizierte Computer auf einen Ersatzserver umzuleiten und die Internetprotokolladressen dieser Computer aufzuzeichnen, wenn sie eine Verbindung zum Server herstellen. Auf diese Weise kann die Regierung die IP-Adressen von Kelihos-Opfern an diejenigen weitergeben, die bei der Entfernung der Kelihos-Malware helfen können, einschließlich Internetdienstanbietern.
Die Bemühungen, das Kelihos-Botnetz zu stören und zu demontieren, wurden vom Anchorage Office und dem New Haven Office des FBI geleitet; Senior Counsel Ethan Arenson und Harold Chun und Prozessanwalt Frank Lin von der Computer Crime and Intellectual Property Section; und die stellvertretenden US-Anwälte Yvonne Lamoureux und Adam Alexander vom District of Alaska. Kritische Unterstützung wurde auch von ausländischen Partnern geleistet, und Crowd Strike und die Shadow Server Foundation leisteten bei der Durchführung dieser Operation unschätzbare technische Hilfe.
Die in der Zivilbeschwerde und den damit verbundenen Schriftsätzen enthaltenen Angaben sind lediglich Anschuldigungen, und der Angeklagte gilt als unschuldig, es sei denn und bis seine Schuld bewiesen ist.
Die Regierung hat und wird weiterhin Beispiele der Kelihos-Malware mit der Internet Security Community teilen, damit Antiviren-Anbieter ihre Programme aktualisieren können, um Kelihos zu erkennen und zu entfernen. Eine Reihe kostenloser und kostenpflichtiger Antivirenprogramme können Kelihos bereits erkennen und entfernen, darunter der Microsoft Safety Scanner, ein kostenloses Produkt.