Eine kritische Sicherheitslücke im berüchtigten DanaBot-Botnet ermöglichte es Cybersicherheitsforschern über einen Zeitraum von drei Jahren, unbemerkt sensible Informationen über Cyberkriminelle zu sammeln. Die als DanaBleed bezeichnete Schwachstelle spielte eine entscheidende Rolle bei der erfolgreichen internationalen Strafverfolgungsoperation gegen das kriminelle Netzwerk.
Entwicklung und Expansion des DanaBot-Botnets
DanaBot etablierte sich 2018 als spezialisierter Banking-Trojaner mit anfänglichem Fokus auf Nutzer in der Ukraine, Polen, Österreich, Italien, Deutschland und Australien. Die Malware erweiterte ihre Reichweite kontinuierlich und dehnte ihre Aktivitäten schließlich auf Nordamerika aus.
Das Botnet operierte nach dem Malware-as-a-Service (MaaS) Geschäftsmodell, wodurch Cyberkriminelle Zugang zu der Infrastruktur mieten konnten, um eigene Angriffe durchzuführen. Während DanaBot ursprünglich auf den Diebstahl von Bankdaten spezialisiert war, entwickelte es sich zu einer vielseitigen Plattform für die Verbreitung verschiedener Malware-Typen, einschließlich Ransomware.
Die Betreiber erweiterten ihre kriminellen Aktivitäten durch eine zweite DanaBot-Version, die gezielt Cyberspionage gegen militärische, diplomatische und Regierungsorganisationen in Nordamerika und Europa betrieb.
Technische Details der DanaBleed-Schwachstelle
Forscher von Zscaler identifizierten die kritische Schwachstelle, die im Juni 2022 mit der DanaBot-Version 2380 eingeführt wurde. Der Fehler entstand durch die Implementierung eines neuen Command-and-Control (C&C) Protokolls, das einen gravierenden Logikfehler enthielt.
Die Schwachstelle basierte auf unsachgemäßer Speicherinitialisierung bei der Generierung von Server-Antworten an Clients. Das System sollte zufällig generierte Padding-Bytes in Antworten einbinden, jedoch versäumten es die Entwickler, neu allokierten Speicher vor der Verwendung zu löschen.
Die Bezeichnung DanaBleed wurde in Anlehnung an die berüchtigte Heartbleed-Schwachstelle gewählt, die 2014 in der OpenSSL-Bibliothek entdeckt wurde und Millionen von Webservern weltweit betraf.
Umfang der gesammelten Intelligence-Daten
Durch die Ausnutzung der DanaBleed-Schwachstelle erhielten Cybersicherheitsexperten Zugang zu einem breiten Spektrum vertraulicher Informationen. Dazu gehörten Fragmente interner Kommunikation zwischen Botnet-Betreibern, technische Infrastrukturdetails und Informationen über Angriffsziele.
Die über drei Jahre gesammelten Intelligence-Daten bildeten die Grundlage für die internationale Operation „Endgame“, die zur Zerschlagung der DanaBot-Infrastruktur und zur Ausstellung von Haftbefehlen gegen 16 russische Staatsangehörige führte, die mutmaßlich mit dem Botnet in Verbindung stehen.
Ergebnisse der Strafverfolgungsoperation
Die Operation „Endgame“ resultierte in der Beschlagnahmung von Botnet-Servern, der Sperrung von 2.650 Domainnamen und der Sicherstellung von Kryptowährungsbeständen im Wert von fast 4 Millionen US-Dollar. Obwohl die Verdächtigen nur in Abwesenheit angeklagt wurden und keine physischen Verhaftungen stattfanden, verursachte die Operation erhebliche Schäden an der kriminellen Infrastruktur.
Zukünftige Bedrohungseinschätzung
Die Beschlagnahmung von Servern und Domains wird die DanaBot-Bedrohung vorübergehend neutralisieren. Erfahrungen zeigen jedoch, dass solche Cybercrime-Gruppen über hohe Anpassungsfähigkeit verfügen und ihre Aktivitäten mit neuer Infrastruktur und korrigierten Malware-Versionen wieder aufnehmen können.
Der Fall DanaBleed unterstreicht die Bedeutung kontinuierlicher Bedrohungsüberwachung und enger Zusammenarbeit zwischen Cybersicherheitsexperten und Strafverfolgungsbehörden. Organisationen sollten regelmäßige Sicherheitsupdates implementieren, Security-Audits durchführen und mehrschichtige Erkennungsmechanismen einsetzen, um sich gegen ähnliche Bedrohungen zu schützen.
