 |
# taz.de -- Botnetz-Betreiber "Koobface" enttarnt: Virtuelle Verfolgungsjagden |
|
|
|
> Jahrelang nutzte die Koobface-Gang tausende infizierte Rechner für |
|
> illegale Geschäfte. Nun wurde die Gang enttarnt - weil ihre eigenen |
|
> Rechner schlecht geschützt waren. |
|
|
 |
Bild: Freizügige Selbstdarstellung im Netz: Eines der Koobface-Mitglieder mit … |
|
|
|
KÖLN taz | Es beginnt mit einem harmlosen Link auf Facebook. Ein lustiges |
|
oder gar erotisches Video soll sich dahinter verbergen, der Absender ist |
|
vermeintlich ein Freund. Wer darauf klickt, landet auf einer neuen Website, |
|
die auch scheinbar den versprochenen Inhalt bereithält – alleine der |
|
Flash-Player muss aktualisiert werden. Wer dieses vermeintliche Update |
|
annimmt, steht fortan unter Kontrolle der Kriminellen. |
|
|
|
Denn anstatt eine neue Version von Flash spielt die Seite ein |
|
Kontrollprogramm auf den Rechner, das alle für Kriminelle interessanten |
|
Daten ins Netz überspielt und obendrein weitere Rechner mit dem |
|
Schadprogramm infiziert. Sie agieren wie Roboter, die die Befehle von einem |
|
Fremden beziehen. Sie können Spam versenden, Werbung auf den Bildschirmen |
|
ihrer Wirte austauschen oder gar Daten-Attacken starten, um Online-Händler |
|
zu erpressen. |
|
|
|
Koobface – ein Anagramm auf "Facebook" – war seit Jahren eines der |
|
erfolgreichsten Botnetze der letzten Jahre. Bis zu 800.000 Computer |
|
weltweit waren in den Diensten der Bande – von den Besitzern oft unbemerkt. |
|
Für die Betreiber eines Botnetzes ist das essentiell: Die infizierten |
|
Computer schicken die Daten der Kriminellen hin- und her und verschleiern |
|
so die Spuren zu den tatsächlich Verantwortlichen. Die zentralen |
|
Kommandoserver müssen nicht einmal direkt mit jedem infizierten Rechner in |
|
Kontakt treten. Ermittlungen gegen die Betreiber sind daher oft schwer. |
|
|
|
Dass die Verantwortlichen diesmal enttarnt werden konnten, liegt an ihrer |
|
Arroganz und der [1][unermüdlichen Arbeit von Sicherheitsforschern], |
|
darunter der Deutsche Jan Drömer. Zusammen mit dem Sicherheitsdienstleister |
|
Sophos lieferte der 32jährige Hinweise an die Strafverfolgungsbehörden in |
|
Deutschland und den USA. Die Daten-Ermittler profitierten vor allem von den |
|
Fehlern, die die Kriminellen machten. |
|
|
|
Auf einem der Kommando-Server, der die infizierten Rechner steuerte, ließen |
|
sie zum Beispiel eine öffentlich einsehbare Statistiksoftware laufen – und |
|
gaben damit den Ermittlern erste Einblicke in die Funktionsweise ihres |
|
Netzes. Insgesamt, so schätzen die Ermittler, hätte der Betrieb des Netzes |
|
jedes Jahr zwei Millionen Dollar eingespielt. |
|
|
|
## Wohlfühlen im sozialen Netz |
|
|
|
Einmal entdeckt, offenbarten die Kommandoserver immer neue Informationen. |
|
So hatten die Betreiber offenbar für Kunden, die das Botnetz zu ihren |
|
Zwecken mieten wollten, eine komfortable Kontaktmöglichkeit geschaffen: |
|
Nachrichten wurden über das Netz direkt an die Mobiltelefone der fünf |
|
Betreiber geschickt. Dumm nur, dass das verwendete Programm einfach |
|
auslesbar war und so die verwendeten Handynummern offenbarte. |
|
|
|
Auch Sicherheitskopien anderer Daten waren ungeschützt auf den Servern |
|
verfügbar – darunter zum Beispiel Fotos des Arbeitsplatzes eines der |
|
Beteiligten. Sein iPhone hatte zudem die genauen Koordinaten des Büros |
|
abgespeichert. Die Kriminellen, die routiniert in andere Rechner |
|
einbrachen, rechneten offenbar nicht damit, dass ihre Rechner selbst genau |
|
so verwundbar waren. |
|
|
|
Das Kuriose: Obwohl die Kriminellen millionenfach die Nutzer auf Facebook |
|
hereingelegt haben, fühlten sie sich selbst wohl in der Welt der sozialen |
|
Netze. So war es den Privatermittlern auch möglich, die Orte zu finden, an |
|
denen die Bande ihre Urlaube verbrachte – als ob die Beteiligten die |
|
Gründer eines ganz normalen Startup-Unternehmens wären. |
|
|
|
Einer der Beteiligten nutzte gar den Dienst Foursquare, um immer zeitnah zu |
|
veröffentlichen, wo er sich gerade befand. Und so konnte Facebook am |
|
Mittwoch die Identität von fünf Männern enthüllen, die offenbar in Sankt |
|
Petersburg bekannt geben – samt Fotos und zahlreicher weiterer Details. |
|
|
|
Mit der Enttarnung der Namen wollen Facebook und Sicherheitsforscher das |
|
Geschäftsmodell der Bande, die sich auch "Ali Baba + 4" nannte, nachhaltig |
|
stören. Zumindest zeitweilig hat das Erfolg: Seit ihrer Enttarnung jedoch |
|
bemühen sich die Beschuldigten, ihre Spuren im Netz zu verwischen. Auch das |
|
Koobface-Botnetz verhält sich seitdem ruhig. Ob die beschuldigten Männer |
|
noch weitere Konsequenzen zu befürchten haben, ist aber unklar. Laut einer |
|
[2][Meldung der Nachrichtenagentur Reuters] wurden die russischen Behörden |
|
noch gar nicht informiert. |
|
|
|
20 Jan 2012 |
|
|
|
## LINKS |
|
|
 |
[1] http://nakedsecurity.sophos.com/koobface/ |
|
[2] http://ca.reuters.com/article/technologyNews/idCATRE80I05720120119?sp=true |
|
|
|
## AUTOREN |
|
|
|
Torsten Kleinz |
|
|
|
## TAGS |
|
|
|
Ausbeutung |
|
Schwerpunkt Meta |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Billigarbeiter in der Spamindustrie: Werbung aus dem Sweatshop |
|
|
|
Captchas sind Rätsel, die kein Computer lösen kann und Spammails verhindern |
|
sollen. Doch die Spamindustrie weicht geschickt aus: Sie nutzt |
|
Billigarbeiter aus Asien. |
|
|
|
Hacker knacken das Sality-Botnetz: Feuer mit Feuer bekämpfen |
|
|
|
Weitgehend unbeachtet haben Kriminelle tausende Rechner durch einen Virus |
|
übernommen. Hacker haben nun eine Methode entwickelt, sie zu bekämpfen – |
|
doch legal ist das nicht. |
|
|
|
Facebook und personalisierte Werbung: 40 Mitarbeiter stehen auf "Kinky Sex" |
|
|
|
Das Online-Netzwerk Facebook erlaubt es Werbetreibenden, ihre Zielgruppe |
|
bis ins Detail zu bestimmen - Wohnort, Interessen und mehr. Das kann |
|
peinlich werden. |
|
|
|
IT-Sicherheitsforscher über Müll-E-Mails: "Spam lohnt sich immer" |
|
|
|
Thorsten Holz von der Uni Bochum forscht im Bereich Datenschädlinge und |
|
drang mit Kollegen in einen Spam-Ring vor. Elektroschrott-Mails kosten |
|
Kriminelle kaum Geld. |
|
|
|
Social Hacking bei Facebook: Vermeintliche Updates sind Viren |
|
|
|
PC-Nutzer laden sich die meisten Computerviren selbst herunter. Mit „Social |
|
Hacking“ will ein Virus auch den 120 Millionen Mitgliedern von Facebook |
|
ihre Kontodaten entlocken. |
