Operation "Ghost Click" FBI entlarvt riesiges PC-Parasiten-Netzwerk

Die Vorarbeit dauerte fünf Jahre, jetzt ist dem FBI der bisher größte Schlag gegen Betreiber eines sogenannten Botnets gelungen. Die Kriminellen hatten die Kontrolle über Millionen Computer übernommen und mit gezielt platzierter Schadsoftware ein Vermögen gescheffelt. Gebannt ist die Gefahr noch nicht.

Von

Gekaperte Server: 14 Millionen Dollar mit Anzeigenwerbung eingenommen
DPA

Gekaperte Server: 14 Millionen Dollar mit Anzeigenwerbung eingenommen


Hamburg - Dem Sicherheitsunternehmen Trend Micro zufolge ist die Operation "Ghost Click" der bisher größte Schlag gegen Computer-Kriminelle. Im Rahmen einer international koordinierten Aktion haben estnische Behörden sechs mutmaßliche Betreiber eines riesigen sogenannten Botnets festgenommen. Den Männern wird vorgeworfen, Millionen PC mit Schadsoftware infiziert und zu illegalen Zwecken missbraucht zu haben. Gleichzeitig durchsuchte das FBI ein Rechenzentrum in New York, stellte dort mehr als hundert Server sicher, über die das Zombie-Netzwerk ferngesteuert worden sein soll.

Die Kriminellen hatten die Rechner mit einer Software namens DNSChanger infiziert, welche die DNS-Einstellungen der Rechner manipulierte. Das DNS-System wird im Internet dazu benutzt, benutzerfreundliche Web-Adressen (wie www.spiegel.de) in computertaugliche Netzwerkadressen (195.71.11.67) zu übersetzen (siehe Kasten). Indem sie die DNS-Abfragen der betroffenen Rechner auf manipulierte DNS-Server umleiteten, konnten die Kriminellen gezielt Werbeeinblendungen an die Rechner senden, Suchergebnisse manipulieren oder weitere Schadsoftware nachladen lassen.

Ausgenutzt haben die Täter diese Möglichkeiten dem FBI zufolge zum Beispiel so: Anwender, die Apples offizielle iTunes-Seite aufrufen wollten, seien zum Angebot eines Unternehmens umgeleitet worden, das mit Apple in keinerlei Beziehung stehe und vorgab, Apple-Software zu verkaufen.

14 Millionen Dollar Gewinn

Dem FBI zufolge kontrollierten die Betreiber des Botnets auf diese Weise allein in den Vereinigten Staaten eine halbe Million Computer. Betroffen seien neben Privatpersonen auch Firmen, Behörden und die Nasa. Weltweit sollen rund vier Millionen Computer in 100 Ländern Teil des Netzwerks gewesen sein. Über manipulierte Anzeigenplatzierungen haben die Kriminellen laut FBI mindestens 14 Millionen Dollar (umgerechnet etwa 10,4 Millionen Euro) eingenommen.

Die zuständige FBI-Direktorin Janice Fedarcyk erklärte, es habe sich um eine "internationale Verschwörung, geplant und ausgeführt von raffinierten Kriminellen" gehandelt. Durch die Infektion der Rechner mit Schadsoftware seien diese zudem nicht einfach nur zu illegalen Einnahmequellen umgewandelt worden. Indem der Schädling das automatische Einspielen von Updates verhinderte und die Funktion von Anti-Viren-Software beeinträchtigte, seien die betroffenen PC überdies zusätzlichen Bedrohungen durch Schadsoftware ausgesetzt worden.

Schöner Schein

Erst jetzt gab das Sicherheitsunternehmen Trend Micro bekannt, man sei den Botnet-Betreibern bereits seit 2006 auf der Spur gewesen, habe die Informationen aber vor der Öffentlichkeit zurückgehalten, um die Arbeit der Ermittlungsbehörden nicht zu beeinträchtigen. Bereits damals hatte man festgestellt, dass in der Trojanersoftware DNSChanger die Internetadressen einiger Server fest eingegeben waren, die zu dem Netzwerk des estnischen Providers Esthost gehören.

Esthost ist ein Tochterunternehmen von Rove Digital, einer Firma aus der zweitgrößten estnischen Stadt Tartu. Unter den nun Verhafteten soll laut Trend Micro auch eine Führungskraft von Rove Digital sein. Laut Trend Micro sei bereits 2008 bekannt gewesen, dass das Unternehmen diverse kriminelle Kunden habe.

Log-Dateien gaben weitere Hinweise

Es dauerte allerdings noch Jahre, für diese Vermutungen stichhaltige Beweise zu finden. Inwieweit die Ermittler von Trend Micro dabei selbst die Grenzen der Legalität überschritten haben, ist nicht klar. Im Firmenblog schildern sie, unter anderem in den Besitz von Serverdaten und sogar kompletten Kopien von Festplatten zweier Server aus dem Netzwerk von Rove Digital gekommen zu sein. Von diesen Servern seien Werbeeinblendungen auf die befallenen Rechner ausgeliefert worden.

Schlüsseldateien auf den Festplatten lieferten zudem Hinweise darauf, dass die Schadsoftware-Server tatsächlich vom Rove-Digital-Büro in Tartu aus gesteuert wurden. Zudem wurden Log-Dateien sichergestellt, in denen die Daten von Opfern festgehalten waren, die auf gefälschte Anti-Viren-Software hereingefallen waren. Zwischen diesen Einträgen waren immer wieder auch Vermerke zu offensichtlichen Testkäufen durch Mitarbeiter von Rove Digital zu finden.

Darüber hinaus habe man noch viel weiteres Beweismaterial gegen Rove Digital zusammengetragen und das Botnet bis zum 8. November beobachtet. An diesem Tag wurden die Verdächtigen festgenommen und ihre Server außer Betrieb gesetzt.

Das Problem ist noch nicht gelöst

Entwarnung könne man trotzdem nicht geben, erklärt Janice Fedarcyk vom FBI. Zwar seien die manipulierten DNS-Server mittlerweile durch korrekt arbeitende Maschinen ersetzt worden, das Problem sei damit aber noch nicht gelöst. Schließlich habe man die Schadsoftware nicht von den betroffenen Rechnern entfernen können. Zwar kann die nun nicht mehr mit ihren Kontroll-Servern kommunizieren, halte aber immer noch ein Tor für weitere Schadprogramme offen.

Anwendern, die fürchten, ihre Rechner könnten infiziert sein, rät das FBI, sich professionelle Hilfe zu suchen, um den PC zu überprüfen. Für eine schnelle Überprüfung, ob man vom DNSChanger-Trojaner betroffen ist, hat die Behörde eine Seite eingerichtet, auf der man die DNS-Einstellungen seines Rechners kontrollieren kann. Dort findet man auch ein Dokument mit Hinweisen (PDF), wie man die aktuellen DNS-Einstellungen auf PC und Mac auslesen kann.

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 98 Beiträge
Alle Kommentare öffnen
Seite 1
Zweck-Los 10.11.2011
1. Werbeeinnahmen
Was unterscheidet die Täter eigentlich von "facebook"? Dass sie nicht von vornherein mit dem FBI kooperiert haben?
Crom 10.11.2011
2. ...
"Dort findet man auch ein Dokument mit Hinweisen (PDF), wie man die aktuellen DNS-Einstellungen auf PC und Mac auslesen kann." 1. Ein Mac ist auch nur ein PC. 2. Angeblich gibt's doch gar keine Viren auf Macs. ;)
Reiner_Habitus 10.11.2011
3. --
Zitat aus dem SPON artikel: " Für einen schnelle Überprüfung, ob man vom DNSChanger-Trojaner betroffen ist, hat die Behörde eine Seite eingerichtet, auf der man die DNS-Einstellungen seines Rechners kontrollieren kann. Dort findet man auch ein Dokument mit Hinweisen (PDF), wie man die aktuellen DNS-Einstellungen auf PC und Mac auslesen kann." Soviel zum Thema APPLE Computer sind grundsätzlich Virenfrei.....
eu-sklave 10.11.2011
4. Sind das jetzt die US Server mit dem Bundestrojaner?
Zitat von sysopDie Vorarbeit dauerte fünf Jahre, jetzt ist dem FBI der bisher größte Schlag gegen Betreiber eines sogenannten Botnets gelungen. Die Kriminellen hatten die Kontrolle über Millionen Computer übernommen und mit gezielt plazierter Schadsoftware*ein Vermögen gescheffelt.*Gebannt ist die Gefahr noch nicht. http://www.spiegel.de/netzwelt/web/0,1518,796965,00.html
Sind das jetzt die US Server mit dem Bundestrojaner? Müssen wir jetzt mit eine Invasion rechnen? Es ist schon interessant, daß US amerikanische Server immer dabei sind wenn es um solche Verseuchungen geht. Hat man in den USA vielleicht einfach die falschen Sicherheits- oder Schwerpunkte seit dem 11/9 gesetzt?
jenzy 10.11.2011
5. peanuts
soso, 10 mio euro in 5 jahren ergaunert. lächerlich! das machen unsere banker in 5 minuten...
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.