CH: Cyberkriminalität: Erfolgreiche Zerschlagung einer aggressiven Schadsoftware

DMZ –  DIGITAL / TECHNIK / MM ¦ AA ¦                      

Cyberkriminalität: Erfolgreiche Zerschlagung einer aggressiven Schadsoftware, die auf Android-Telefone abzielte, dank internationaler Kooperation unter Beteiligung der Schweizer Strafverfolgungsbehörden und weiteren Partnern

Ende Mai gelang es in einer gross angelegten Aktion unter der Leitung von Europol und der niederländischen Polizei sowie mit der Beteiligung von weiteren Strafverfolgungsbehörden, eine sich rasant verbreitende Schadsoftware (Malware «FluBot») zu stoppen. Die Malware, welche über Textnachrichten wie SMS Mobiltelefone mit dem Betriebssystem Android infizierte, hat auch in der Schweiz bereits erheblichen Schaden angerichtet. fedpol und die Bundesanwaltschaft waren als operative und strategische Partner direkt an der Aktion beteiligt.

Im Zusammenhang mit einer Serie von Smishing-Fällen (Phishing über SMS), die mit der Malware FluBot ursprünglich zwischen April und Juli 2021 begangen wurden, eröffnete die Bundesanwaltschaft (BA) im April 2022 ein Strafverfahren gegen Unbekannt wegen Unbefugter Datenbeschaffung (Art. 143 StGB), Unbefugtem Eindringen in ein Datenverarbeitungssystem (Art. 143bis StGB), Datenbschädigung (Art. 144bis StGB) und Betrügerischem Missbrauch einer Datenverabreitungsanlage (Art. 147 StGB). Nebst dem Ziel, die Täter zu identifizieren, sollen die Ermittlungen auch die Funktionsweise der Malware aufdecken, Fälle und Opfer in der Schweiz erfassen sowie laufende Ermittlungen im Ausland unterstützen. Dank den intensiven gemeinsamen Vorermittlungen von fedpol und BA, konnte die Schweiz im Rahmen dieser Aktion einen wesentlichen Beitrag zur Zerschlagung dieser Malware und damit einen wichtigen Etappensieg im Kampf gegen dieses Phänomen der Cyberkriminalität leisten.

Malware am «Action Day» deaktiviert – weitere Ermittlungen im Gang

Im Zuge einer internationalen Operation koordiniert von Europol, einem sogenannten «Action Day», an dem elf Länder beteiligt waren, konnte die Malware FluBot erfolgreich gestoppt werden. Die Infrastruktur konnte von der niederländischen Polizei gestört und der Malware-Stamm deaktiviert werden. Die Ermittlungen Zwecks Identifikation der mutmasslichen Täterschaft sind indes noch im Gang.

Dem Action Day waren in der Schweiz Vorermittlungen von fedpol unter der Leitung der Bundesanwaltschaft vorausgegangen. In enger Zusammenarbeit mit den Kantonspolizeien, dem Nationalen Zentrum für Cybersicherheit (NCSC), Telekomanbietern sowie dem Digitalisierungsdienstleister Switch wurden Informationen zur Funktionsweise der Malware,  und zu Fällen und Geschädigten durch FluBot gesammelt und ausgewertet. fedpol koordinierte den internationalen Informationsaustausch, insbesondere mit Europol.

Eine einzige Malware-SMS kann eine zerstörerische Lawine auslösen

Die Attacken via SMS welche weltweit mehrere Millionen Nutzer von Mobiltelefonen betrifft, darunter auch viele aus der Schweiz, liefen bei den betroffenen Nutzern von Geräten laufend auf dem Betriebssystem Android wie folgt ab; die Täter infizierten Mobiltelefone mit einer Schadsoftware, die über SMS-Nachrichten verbreitet wurden. Die SMS enthielt einen Link, der das Opfer angeblich zu einem Paketnachverfolgungsseite, einem sogenannten Tracking weiterleitete. Durch das Anklicken des Links wurde direkt die Malware installiert, welche den Tätern den direkten Zugriff auf Kontaktdaten, Passwörter, E-Banking-Informationen, SMS und Daten von Online-Konten gab. Die Hacker nutzten dann diesen Zugang, um Anmeldedaten für Bankanwendungen oder Kontodaten für Kryptowährungen zu stehlen und integrierte Sicherheitsmechanismen zu deaktivieren. Der Malware-Stamm konnte sich wie ein Lauffeuer verbreiten, da er auf die Kontakte eines infizierten Smartphones zugreifen konnte. An diese Nummern wurden dann Nachrichten mit Links zur FluBot-Malware gesendet, die zur weiteren Verbreitung der Malware beitrugen. Dank der koordinierten Aktion von Europol konnte diese Infrastruktur nun unter die Kontrolle der Strafverfolgungsbehörden gebracht und die zerstörerische Spirale gestoppt werden.

Fruchtbare Kooperation unter Staaten, Behörden und Wirtschaft

Angesichts des internationalen Charakters der Cyberkriminalität erfordern die Lösung solcher Fälle und die Identifikation der Täter eine verstärkte internationale Zusammenarbeit aller involvierten Staaten. In diesem Fall führten zahlreiche Untersuchungsmassnahmen der Schweizer Strafverfolgungsbehörden, unter Mitwirkung des Nationalen Zentrums für Cybersicherheit NCSC und Partnern aus der Wirtschaft, namentlich der betroffenen Telekomanbieter und Switch zum Erfolg, und damit dazu, dass sich diese Malware nicht weiterverbreiten konnte.

Je mehr Verbrechen, auch im Bereich Cyberkriminalität zur Anzeige gebracht werden, desto besser können die Strafverfolgungsbehörden diese Phänomene verfolgen, da sie dadurch mehr Beweise sammeln und verwerten können. Sowohl für Private, als auch für Organisationen, welche Opfer von Cyberattacken geworden sind, lohnt es sich solche Fälle zu melden, respektive direkt bei der Staatsanwaltschaft oder Polizei Anzeige zu erstatten.

Das Schweizer Strafverfahren wird weitergeführt. Das Hauptziel ist, die Täterschaft mithilfe von gerichtsverwertbaren Beweismitteln zu identifizieren.

Da es sich bei Strafverfahren um dynamische Prozesse handelt, die nicht von der BA alleine beeinflusst werden, kann über deren zeitlichen Rahmen oder Verlauf keine Prognose gemacht werden.

Für sämtliche Verfahrensbeteiligten gilt die Unschuldsvermutung. Weitere Angaben zum Strafverfahren und/oder zu konkreten Verfahrensschritten macht die BA zurzeit nicht.

Herausgeber

Bundesanwaltschaft

http://www.ba.admin.ch/ba/de/home.html 

Bundesamt für Polizei

http://www.fedpol.admin.ch/fedpol/de/home.html