Webshop für Schadsoftware Cyberwaffen im Sonderangebot

Ausspähen, manipulieren, abzocken - und das für ein paar hundert Dollar. Die Kaspersky-Virenjäger warnen vor einem Webshop, mit dessen Produkten selbst Laien beinahe zu Onlinekriminellen werden können.

Von

Remote Administration Tool: Tastatureingaben mitschneiden, Passwörter stehlen, Kameras und Mikrofone einschalten

Remote Administration Tool: Tastatureingaben mitschneiden, Passwörter stehlen, Kameras und Mikrofone einschalten


Die E-Mail an den Bankmitarbeiter in Singapur wirkte vollkommen unverdächtig. Abgeschickt hatten sie scheinbar Kollegen von einem malaysischen Geldhaus, um vor einem vermeintlichen Fall von Geldwäsche zu warnen. Tatsächlich aber kam sie von einem völlig Fremden. Mit einem manipulierten Anhang, der wichtige Informationen versprach, verführte er den Banker zum Klick. Statt der erhofften wertvollen Infos lud er sich unbemerkt einen Trojaner auf den PC, der heimlich die Kontrolle über den Rechner übernahm.

Einen solchen Angriff nennt man Spear-Phising-Attacke und er ist keine Seltenheit. Was die Virenjäger der russischen IT-Sicherheitsfirma Kaspersky Labs bei dem geschilderten Fall Ende 2015 alarmierte, war der Urheber der Nachricht. Sie konnten den vermutlich echten Absender der Mail identifizieren. Es handelte sich um einen Nigerianer mit Wohnsitz in Malaysia.

"Nigerianische Onlinekriminelle kannten wir bislang nur als Absender relativ simpler Betrugs-Mails", sagt Kaspersky-Analyst Vitaly Kamluk, den das Unternehmen gerade an Interpol in Singapur ausgeliehen hat. "Derart ausgefeilte Attacken kannten wir von diesen Gruppierungen bislang nicht."

Die Analysten forschten weiter und fanden die Lösung: Die Angreifer hatten die Schadsoftware nicht selbst entwickelt, sondern schlicht gekauft. Kamluk und seine Kollegen entdeckten eine Art Online-Supermarkt, der Möchtegern-Cyberkriminellen ein Rundumpaket mächtiger Angriffswerkzeuge anbietet. Kaspersky-Analysten präsentierten ihren Fund am Montag auf der jährlichen Sicherheitskonferenz des Unternehmens.

Kaspersky nennt den Onlineshop nach dem Spitznamen seines mutmaßlichen Gründers und seines wichtigsten Werkzeugs: Adwind. Die Sicherheitsspezialisten identifizierten allein von 2013 bis zum Anfang 2016 mehr als 440.000 Attacken, die sie mit Cyberwaffen aus dem Adwind-Arsenal in Zusammenhang bringen.

Spuren dieser Angriffe entdeckten die Experten vor allem auf Rechnern in Russland, danach folgen Deutschland und die Vereinigten Arabischen Emirate. Zuletzt habe die Frequenz der Attacken erheblich zugenommen - im Zeitraum von Oktober 2015 bis zum Januar 2016 hätten sie ein "Allzeit-Hoch" erreicht.

Kaspersky Labs

Angebot in diversen Abopaketen

Die Webseite, auf der Möchtegern-Cyberkriminelle die kriminellen Services einkaufen können, ist im offenen Internet zu erreichen und professionell aufgemacht. Das unterscheidet sie von vielen anderen Angeboten der Untergrundwirtschaft, die oft strikte Zugangskontrollen durchführen und Einlass nur gewähren, wenn andere Onlinekriminelle für einen Neuen bürgen.

Derzeit geht Kaspersky von rund 2000 zahlenden Accounts aus - wobei Kamluk zufolge dahinter neben Einzelkunden offenbar auch zahlreiche Banden stehen. Den Jahresumsatz des Plattformbetreibers schätzt er auf einen sechsstelligen Dollarbetrag.

Das Angriffsarsenal, das die Adwind-Betreiber anbieten, hat es technologisch gesehen in sich: Die Schadsoftware wird als Java-Archiv (.jar) ausgeliefert und funktioniert weitgehend unabhängig davon, welches Betriebssystem auf dem befallenen Computer läuft. Die "Abonnenten" können, wenn der Rechner ihres Opfers erst einmal infiziert ist, jede Tastatureingabe mitschneiden, Passwörter stehlen, integrierte Kameras und Mikrofone einschalten sowie Dateien kopieren und manipulieren. Remote Administration Tool, kurz RAT nennt man solche Angriffswerkzeuge.

Nach den Befunden der Kaspersky-Experten wird dieser Hacker-Werkzeugkasten von klassischen Onlinebetrügern wie der berüchtigten Nigeria-Connection genutzt. Banden wie diese wollen sich mit den neuen Tools professionalisieren und ihren Wirkungsgrad erhöhen. Zu den Nutzern gehören aber auch Unternehmen, die sich Wettbewerbsvorteile von der Konkurrenzspionage versprechen, sowie Einzelpersonen, die Bekannte ausspionieren wollen.

Unter anderem seien Spuren des Schadprogramms auf Computern von Regierungsvertretern, bei Unternehmen im Energiesektor, bei Telekommunikationsfirmen und Medienbetrieben gefunden worden.

Auch in einem mysteriösen Todesfall in Argentinien spielt die Schadsoftware eine Rolle: IT-Experten entdeckten sie auf dem Mobiltelefon eines argentinischen Staatsanwalts, der im vergangenen Sommer mit einer Schussverletzung tot aufgefunden wurde - sowie auf Geräten eines argentinischen Journalisten.

Die Spur führt nach Mexiko

Kamluk vermutet den Entwickler des Schadprogramms in Mexiko. Die ersten Spuren seien in spanischsprachigen Foren aufgetaucht, als ein gewisser "Adwind" nach Testern für die von ihm entwickelte Schadsoftware suchte. Über frühere Versionen der Malware hatten auch andere IT-Sicherheitsunternehmen wie Symantec bereits berichtet. Die Software ist auch unter den Namen "Frutas", "JSocket" und "AlienSpy" bekannt.

Der Webshop ist demnach im Zusammenwirken mit Internetprovidern schon mehrfach geschlossen worden. Beispielsweise im Sommer 2015, als das Angebot noch als "AlienSpy" firmierte. "Wenige Wochen später war es mit einem neuen Logo, einem neuen Design und neuer Netzadresse wieder aktiv und ist es bis heute", so Kamluk.

Kaspersky habe internationale Sicherheitsbehörden über den neuen Fund vorab informiert. "Ein reines Abschalten der Adresse wird auch diesmal keinen nachhaltigen Erfolg haben, wir brauchen eine internationale Kooperation von Sicherheitsbehörden um an den oder die Urheber heranzukommen."

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 6 Beiträge
Alle Kommentare öffnen
Seite 1
criticalsitizen 08.02.2016
1. Das passt doch gut zur Digitalen Agenda, Breitband für Alle
Und in DE sind die Leute dank u.A des wunderbaren gegliederten Schulsystems kaum in der Lage, Spam und Betrug und E-Kommerz-Kriminalität von vermeintlichen Schnäppchen zu unterscheiden. Geschweige denn das E-KOmmetz-Netz verstehen nutzen zu können...
widatec24 08.02.2016
2. Hacker in der Hosentasche
Wenn man bedenkt, dass auch die Geräte zum Hacken immer kleiner werden: Auf ein normales Smartphone lässt sich eine komplette Hackerumgebung installieren - schon krass! Hier gelesen: http://bit.ly/HackenMitSmartPhone
managerbraut 09.02.2016
3. Leider zeigt die Geschichte
das jede neue technische Errungenschaft zwei Seiten seiner Nutzen hat. Selbst für die Menschenheit äußerst nützliche technische Errungenschaften welche zum positiven Nutzen erfunden wurden, wurden auch zum Schaden der Menschheit verwendet. Nicht anders verhält es sich mit der Digitaltechnik - Computertechnik - Datenverarbeitung - Vernetzung und Internet. Es hängt einzig an den Nutzern technischer Errungenschaften, wie er sie anwendet zum Guten oder Schaden einsetzt. Daran wird sich selbst in 100 Jahren nichts ändern. Nur Bildung - Aufklärung - Schutzmechanismen, gesundes Mißtrauen können jeden vor Schäden bewahren.
managerbraut 09.02.2016
4. Wieso im Sonderangebot?
Adwind R.A.T. erhält man auf tausenden Netzseiten kostenlos zum Download! Nur nutzt die Software allein wenig, wenn man über keine tieferen Computer - Internet - Netzwerkkenntnisse verfügt. Ein OneClick Hackertool ist Adwin R.A.T. und Derivate nicht und für Möchtegernhacker ebenso nichts! Der Artikel vermittelt ein Bild, das es sich bei diesem Hacker Tools um einfachst zu bedienende Anfängertools handelt. Dieses Bild und Eindruck ist völlig falsch!
GrinderFX 09.02.2016
5.
Zitat von managerbrautAdwind R.A.T. erhält man auf tausenden Netzseiten kostenlos zum Download! Nur nutzt die Software allein wenig, wenn man über keine tieferen Computer - Internet - Netzwerkkenntnisse verfügt. Ein OneClick Hackertool ist Adwin R.A.T. und Derivate nicht und für Möchtegernhacker ebenso nichts! Der Artikel vermittelt ein Bild, das es sich bei diesem Hacker Tools um einfachst zu bedienende Anfängertools handelt. Dieses Bild und Eindruck ist völlig falsch!
Weil da wohl kaum nur Adwind R.A.T. erhältlich sein wird ne?
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.