SANS, Google, CIA, Mozilla Labs

Pushdo-Botnet flutet Websites mit SSL-Anfragen

Das Pushdo-Botnet hat allem Anschein nach SSL- Massenanfragen auf zahlreiche Webseiten gestartet. Zu den Opfern gehören neben dem SANS scheinbar auch Mozilla Labs, Google oder die CIA gehört.

Die Hintermänner des Pushdo-Botnets, auch bekannt als Cutwail und Pandex, haben die infizierten Rechner allem Anschein nach für einen großflächigen SSL-Angriff genutzt. Wie die Shadowserver-Foundation meldet, erhielten die Zombie-PCs der Botnets die Anweisung, manipulierte SSL-Verbindungen zu 315 verschiedenen Websites aufzubauen. Die Bots bauen die Verbindung auf, schickt einige defekte Pakete und unterbricht die Verbindung anschließend wieder. Durch die fehlformatierten Pakete kann die SSL-Verbindung nicht zustande kommen.

Den Forschern ist derzeit noch nicht klar, was Pushdo mit diesen Wellen an erzeugtem SSL-Traffic erreichen will, ein Denial-of-Service-Angriff ist es in jedem Fall nicht. Möglicherweise will das Botnet mit diesem erhöhten Aufkommen die eigenen Verbindungen in der Masse der fehlerhaften Anfragen verstecken. Dadurch könnten sich die Command & Control Server von Pushdo einer Entdeckung entziehen, so Joe Stewart von Secureworks. (mja)