Die spanische Polizeieinheit Guardia Civil hat am Mittwoch Einzelheiten zur Festnahme von drei mutmaßlichen Hauptverantwortlichen eines unter dem Namen "Mariposa" bekannten Botnetzes (PDF-Datei) mitgeteilt. Festgenommen wurden in den vergangenen Wochen demnach drei Spanier, denen vorgeworfen wird, seit Ende 2008 über 13 Millionen Computer unter ihre Kontrolle gebracht und damit eines der größten Botnetze weltweit betrieben zu haben. Bei Hausdurchsuchungen in Valmaseda, Santiago de Compostela und Molina de Segura beschlagnahmten die Behörden den Angaben zufolge umfangreiches Beweismaterial, darunter Zugangsdaten zu Unternehmensnetzen, Online-Banking-Accounts und E-Mail-Konten von mehr als 800.000 Nutzern.
Unterstützt wurde die "Grupo de Delitos Telemáticos" der Guardia Civil vom amerikanischen FBI, dem Georgia Tech Information Security Center, dem spanischen Hersteller von Sicherheitssoftware Panda Security und dem Defense Intelligence Team, das im Mai 2009 auf "Mariposa" aufmerksam wurde und anschließend zahlreiche Master-Server identifizierte, von denen die gekaperten Windows-Rechner Befehle zum Herunterladen von weiteren Schadprogrammen wie Key-Loggern erhielten. Aufgebaut wurde das Netz offenbar vor allem über das Versenden von Links auf präparierte Webseiten in Instant Messages. Rief der Empfänger eine der Seiten auf, wurde eine nicht näher spezifizierte Sicherheitslücke im Internet Explorer zur Infizierung des Rechners ausgenutzt.
Zum Mariposa-Botnetz, dessen "Command and Control Server" bereits am 23. Dezember vergangenen Jahres vom Netz genommen worden sein sollen, gehörten den Angaben zufolge PCs in 190 Ländern, darunter Rechner in Schulen, Regierungsinstitutionen und hunderten Großunternehmen. Den entstandenen Schaden vermag die Guardia Civil derzeit nicht zu beziffern. Offenbar wurde das Botnetz aber auch an andere Interessengruppen vermietet: So verzeichnete das Defense Intelligence Team (dessen Name selbst für Master-Server-Domains wie "defintelsucks.com" missbraucht wurde) Anfang November massive DOS-Attacken auf mehrere arabische Websites. Die Mariposa-Hauptverantwortlichen erwarten bei einer Verurteilung in Spanien mehrjährige Haftstrafen wegen Computersabotage und Betrugs.
Mariposa_Analysis.pdf
News-Meldung vom 03.03.2010 15:15
Symantec Analysen
Jailing the Butterfly
The Mariposa Butterfly
The Mariposa / Butterfly Bot Kit