Operation Endgame

Im Zuge der von ZIT und BKA maßgeblich koordinierten Maßnahmen im Rahmen der internationalen Operation „Endgame“ wurden weltweit über 100 Server beschlagnahmt und über 1.300 kriminell genutzte Domains unschädlich gemacht. Gegen einen identifizierten Betreiber und Administrator wurde ein Vermögensarrest in Höhe von 69 Millionen Euro erwirkt. Weiters wurden 99 Krypto-Wallets mit einem aktuellen Gesamtvolumen von über 70 Millionen Euro bei zahlreichen Kryptobörsen gesperrt. Weiters wurden 10 internationale Haftbefehle erlassen und vier Personen vorläufig festgenommen. Im Rahmen der Gesamtmaßnahme wurden insgesamt 16 Objekte in Armenien, den Niederlanden, Portugal und der Ukraine durchsucht und umfangreiches Beweismaterial sichergestellt.

Die Aktion richtete sich gegen sechs bekannte Schadprogramme: IcedID, SystemBC, Pikabot, SmokeLoader, Bumblebee und Trickbot. Diese Schadprogramme wurden in letzter Zeit von Cyberkriminellen in großem Umfang eingesetzt, um in Systeme einzudringen, sensible Daten zu stehlen und Ransomware zu verbreiten.

Der aus deutscher Sicht gefährlichste Dropper war die Schadsoftware Smokeloader, die bereits seit über zehn Jahren existierte und sich fortlaufend weiterentwickelte. Bei den internationalen Maßnahmen wurde die technische Infrastruktur von Smokeloader sowie fünf weiterer Dropperdienste beschlagnahmt und deren Kontrolle von den Strafverfolgungsbehörden übernommen. Damit wurde den Tätern der Zugriff auf tausende Opfersysteme entzogen. Allein das Botnetz von Smokeloader umfasste im Verlauf des vergangenen Jahres mehrere hunderttausend Systeme. Für die Benachrichtigung der Opfer einer Botnetz-Infektion ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig.

Gegen insgesamt acht Akteure wurden von Deutschland Haftbefehle erlassen. Auf dieser Grundlage fahnden BKA und ZIT gemeinsam nach sieben identifizierten Personen, die im dringenden Verdacht stehen, sich als Mitglied an einer kriminellen Vereinigung zum Zwecke der Verbreitung der Schadsoftware Trickbot beteiligt zu haben. Zudem wird nach einem weiteren Beschuldigten gefahndet, der dringend verdächtig ist, einer der Rädelsführer der Gruppierung hinter der Schadsoftware Smokeloader zu sein.

An der Operation waren auch Sicherheitsexperten aus dem Privatsektor beteiligt, darunter das Cybersicherheitsunternehmen Proofpoint. Sie spielten eine entscheidende Rolle bei der Operation. Die Sicherheitsexperten von Proofpoint lieferten wertvolle Einblicke in die Botnetz-Infrastruktur, identifizierten Muster, wie die Bedrohungsakteure ihre Server aufbauten, und erkannten proaktiv neue Malware-Infrastrukturen, sobald diese erstellt wurden. Darüber hinaus stellten sie ihr Fachwissen im Bereich des Reverse Engineering von Malware zur Verfügung und lieferten den Strafverfolgungsbehörden wichtige Informationen darüber, wie die Bot-Clients konzipiert und geschrieben wurden, um diese Bedrohungen sicher zu beseitigen.

Randy Pargman, Director of Threat Detection bei Proofpoint, kommentiert die Beteiligung des Unternehmens an der gezielten Aktion gegen die organisierte Cyberkriminalität:

„Proofpoint hat es sich zur Aufgabe gemacht, seinen Kunden den bestmöglichen Schutz vor komplexen Bedrohungen zu bieten. Wir haben uns aber auch ein höheres Ziel gesetzt: Wo immer es möglich und angemessen ist, setzen wir unser Wissen und unsere Fähigkeiten ein, um alle Internetnutzer vor weit verbreiteten Malware-Bedrohungen zu schützen. Dies geschieht unter anderem dadurch, dass wir spezifische Informationen über Bedrohungsakteure an Strafverfolgungsbehörden weitergeben, die diese Informationen nutzen können, um gegen die Bedrohungen vorzugehen.

In diesem Fall stellten die Sicherheitsexperten von Proofpoint ihr technisches Fachwissen über Botnet-Infrastrukturen zur Verfügung, identifizierten Muster, wie die Täter ihre Server einrichten, und halfen proaktiv bei der Erkennung neuer Malware-Infrastrukturen, sobald diese auftauchten.

Wir haben unsere Expertise im Reverse Engineering von Malware eingebracht, um genaue und aufschlussreiche Informationen darüber zu liefern, wie die Bot-Clients entwickelt und geschrieben wurden. Und wir haben unsere einzigartige Perspektive genutzt, um die größten und effektivsten Kampagnen zur Verbreitung von Malware zu identifizieren, was den Strafverfolgungsbehörden dringend benötigte Einblicke liefert, um die größten Bedrohungen für die Gesellschaft zu priorisieren.“

Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf

kommentiert: „Das Bundeskriminalamt hat in einer internationalen Operation über 100 Server beschlagnahmt und 1.300 kriminelle Domains deaktiviert. Dabei wurden zehn Haftbefehle ausgestellt und vier Personen festgenommen. Vermögenswerte in Höhe von 69 Millionen Euro und Kryptowährungen im Wert von 70 Millionen Euro wurden eingefroren. Die Aktion, unterstützt von Europol und anderen Behörden, gilt als „großer Schlag“ gegen Cyberkriminalität.

Die gesuchten Personen kommen aus Russland. Was nicht verwundert, da die meisten kriminellen Gruppen in Ländern ihren Sitz haben, in denen mit keiner Strafverfolgung zu rechnen ist.

Hochspezialisierte Angriffe

Der internationale Einsatz hat sich hauptsächlich gegen kriminelle Gruppierungen mit Dropper-Schadsoftware gerichtet. Dropper, also eigenständig ausführbare Computerprogramme, die zur Freisetzung eines Schadcodes bzw. einer Schadsoftware dienen und die zweite Angriffs-Phase nach Phishing darstellen. Es gibt verschiedene Dropper-Familien, von denen es wiederum unterschiedliche Ausprägungen bzw. Varianten gibt. Das zeigt, dass die Cyberangriffe extrem spezialisiert sind und jede Stage mit spezialisierten Gruppen und Tools umgesetzt wird. Die jeweiligen Angreifergruppen stehen dabei regelrecht miteinander in Konkurrenz. Und alle möchten das beste Angriffstool mit der höchsten Erfolgsquote und die beste Infrastruktur entwickeln, um viele zahlende „Kunden“ zu gewinnen – sprich: Angreifer, die diese angebotenen Services nutzen.

Zerstörte Infrastruktur (die schnell wieder aufgebaut wird)

Der Downtake von 100 Servern und 1.300 Domains ist als ein entscheidender Erfolg zu werten. Das Problem ist jedoch, dass hauptsächlich Infrastruktur der Angreifer zerstört wurde. Die eigentlich Verantwortlichen dahinter wurden nicht ergriffen. Hinzu kommt, dass der Wiederaufbau neuer Infrastrukturen recht schnell geht. Und das selbst dann, wenn ein Teil der kriminellen Beute der Bedrohungsakteure beschlagnahmt wurde. Es ist nicht davon auszugehen ist, dass bei dem aktuellen Schlag tatsächlich das gesamte Vermögen der Angreifer gefunden wurde. Dennoch: Ermittlungserfolge wie diese schädigen die Reputation der beteiligten Angreifergruppen in cyberkriminellen Kreisen.

Positiv ist: Wir sehen ganz klar, dass die Zusammenarbeit der internationalen Ermittlungsbehörden Früchte trägt, und das, obwohl Cybercrime ein sehr anonymes und weltweit erfolgreiches Business ist.“

In the course of the measures coordinated by ZIT and BKA as part of the international operation „Endgame“, more than 100 servers were seized worldwide and more than 1,300 criminally used domains were rendered harmless. An asset freeze of 69 million Euros was obtained against an identified operator and administrator. In addition, 99 crypto wallets with a current total volume of over 70 million euros were blocked on numerous crypto exchanges. In addition, 10 international arrest warrants were issued and four individuals were provisionally arrested. As part of the overall operation, a total of 16 properties in Armenia, the Netherlands, Portugal and Ukraine were searched and extensive evidence was seized.

The operation targeted six known malware programs: IcedID, SystemBC, Pikabot, SmokeLoader, Bumblebee and Trickbot. These malicious programs have recently been widely used by cybercriminals to infiltrate systems, steal sensitive data and spread ransomware.

The operation also involved security experts from the private sector, including the cybersecurity company Proofpoint. They played a critical role in the operation. Proofpoint’s security experts provided valuable insight into the botnet infrastructure, identifying patterns in how the threat actors set up their servers and proactively detecting new malware infrastructures as they were created. They also shared their expertise in reverse engineering malware, providing law enforcement with critical information on how the bot clients were designed and written to safely eliminate these threats.

Randy Pargman, director of threat detection at Proofpoint, commented on the company’s participation in this targeted effort against organized cybercrime:

„Proofpoint is committed to providing our customers with the best possible protection against sophisticated threats. But we also have a larger goal: to use our knowledge and skills, wherever possible and appropriate, to protect all Internet users from widespread malware threats. One of the ways we do this is by sharing specific information about threat actors with law enforcement, who can use this information to take action against the threats.

In this case, Proofpoint’s security experts provided technical expertise on botnet infrastructures, identifying patterns in how the perpetrators set up their servers and proactively helping to detect new malware infrastructures as they emerged.

We brought our expertise in reverse engineering malware to provide accurate and insightful information about how the bot clients were designed and written. And we used our unique perspective to identify the largest and most effective malware distribution campaigns, giving law enforcement the insight they need to prioritize the biggest threats to society.”

Dr. Sebastian Schmerl, Vice President Security Services EMEA at Arctic Wolf
comments: “The Federal Criminal Police Office has seized over 100 servers and deactivated 1,300 criminal domains in an international operation. Ten arrest warrants were issued and four people were arrested. Assets amounting to 69 million euros and cryptocurrencies worth 70 million euros were frozen. The operation, supported by Europol and other authorities, is considered a “major blow” against cybercrime.

The wanted persons come from Russia. This is not surprising, as most criminal groups are based in countries where no prosecution is to be expected.

Highly specialized attacks

The international operation has mainly targeted criminal groups with dropper malware. Droppers are independently executable computer programs that are used to release malicious code or malware and represent the second attack phase after phishing. There are different dropper families, of which there are in turn different forms or variants. This shows that cyber attacks are extremely specialized and that each stage is carried out with specialized groups and tools. The respective attacker groups are in real competition with each other. And they all want to develop the best attack tool with the highest success rate and the best infrastructure in order to gain lots of paying “customers” – i.e. attackers who use the services on offer.

Destroyed infrastructure (which is quickly rebuilt)

The downtake of 100 servers and 1,300 domains can be considered a decisive success. The problem, however, is that it was mainly the attackers‘ infrastructure that was destroyed. The people actually responsible were not caught. In addition, the reconstruction of new infrastructures is quite fast. Even if some of the criminal prey of the threat actors has been confiscated. It cannot be assumed that all of the attackers‘ assets were actually found in the current attack.

Nevertheless, successful investigations such as these damage the reputation of the attacking groups involved in cybercriminal circles.

On the positive side, we can clearly see that cooperation between international investigative agencies is bearing fruit, even though cybercrime is a very anonymous and successful global business.“