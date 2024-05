Der Trojaner war derart effektiv, dass die betroffene Hardware getauscht werden musste. AP

Ende Oktober 2023 gingen innerhalb von nur 72 Stunden 600.000 Router offline. Die Hardware war danach unbrauchbar und musste getauscht werden. Betroffen war exklusiv der Internetprovider (ISP) Windstream – und zahlreiche Haushalte und kleinere Firmen in ländlichen Gegenden.

Dieser Fall hat die Expertengruppe Lumen Technologies Black Lotus Labs neugierig gemacht, da ein solch zerstörerischer Event nur selten bis gar nicht in diesem Ausmaß auftritt. Gefunden wurde am Ende der Trojaner Chalubo, der bereits seit sechs Jahren sein Unwesen treibt.

Inhalte gelöscht

Bei Chalubo handelt es sich passenderweise um einen RAT, einen Remote Access Trojan. Die Vorgehensweise ist äußerst effektiv. Eine ausgeklügelte Technik sorgt dafür, dass durch die Installation des Trojaners alle Dateien von der Festplatte gelöscht werden. Chalubo sucht sich dann einen zufälligen Prozessnamen aus, der bereits vorhanden ist und so nicht weiter auffällt. Währenddessen verschlüsselt er die gesamte Kommunikation (Command and Control Server) auf dem Gerät. Dokumentierte Fälle von Chalubo gibt es nur wenige, wohl auch aufgrund der komplexen Funktionsweise, vermuten die Experten.

Was während der Recherche ebenfalls auffiel, ist, dass der Trojaner nicht ausschließlich für zerstörerische Angriffe verwendet wird. Aufgrund der sehr individuellen Kommunikation von Chalubo konnte die Forscherinnengruppe eine hohe Aktivität Ende 2023 und auch Anfang 2024 feststellen. "Basierend auf einer 30-Tage-Beobachtung im Oktober identifizierte Lumen über 330.000 eindeutige IP-Adressen, die mindestens zwei Tage lang mit einem der 75 beobachteten C2-Knoten kommunizierten, was auf eine bestätigte Infektion hindeutet", schreibt die Gruppe in ihrem Blog.

Man ziehe daraus den Schluss, dass bei dem zerstörerischen Angriff in den USA zwar die Software benutzt wurde, Chalubo zusätzlich aber auch rein zur Spionage genutzt werden kann. Interessant finden die Forscher, dass bei dieser großen Attacke so gezielt vorgegangen wurde, obwohl der Trojaner keinesfalls auf bestimmte Routermarken oder -modelle beschränkt sei.

Kaum Schutz

Den Angriff bezeichnen sie als "sehr beunruhigend". In diesem Falle habe es beispielsweise eine ländliche, generell unterversorgte Community getroffen. Durch den Ausfall des Internets hätten hier viele Menschen keinen Zugang mehr zu Notrufzentralen, der technisch gestützten Beobachtung ihrer Erntemaschinen und vielem mehr gehabt. Ob man den Vorfall ganz hätte verhindern können – dahingehend sind sich die Forscher unsicher. Sie raten unabhängig von diesem Fall dazu, immer Updates einzuspielen und voreingestellte Passwörter zu ändern.

Vonseiten des Providers Windstream gibt es bis heute kein öffentliches Statement. Wie das Unternehmen so schnell 360.000 Router tauschen konnte, wollte man den Forschern von Lumen ebenfalls nicht verraten. 2006 durch die Zusammenführung der zwei Anbieter Alltel und Valor Communications gegründet, wurde Windstream 2019 zahlungsunfähig. Seit 2020 befindet man sich in privater Hand. (red, 31.5.2024)