Operation "Ghost Click" FBI entlarvt riesiges PC-Parasiten-Netzwerk

Die Vorarbeit dauerte fünf Jahre, jetzt ist dem FBI der bisher größte Schlag gegen Betreiber eines sogenannten Botnets gelungen. Die Kriminellen hatten die Kontrolle über Millionen Computer übernommen und mit gezielt platzierter Schadsoftware ein Vermögen gescheffelt. Gebannt ist die Gefahr noch nicht.
Gekaperte Server: 14 Millionen Dollar mit Anzeigenwerbung eingenommen

Gekaperte Server: 14 Millionen Dollar mit Anzeigenwerbung eingenommen

Foto: Patrick Pleul/ dpa

Hamburg - Dem Sicherheitsunternehmen Trend Micro zufolge ist die Operation "Ghost Click" der bisher größte Schlag gegen Computer-Kriminelle. Im Rahmen einer international koordinierten Aktion haben estnische Behörden sechs mutmaßliche Betreiber eines riesigen sogenannten Botnets festgenommen. Den Männern wird vorgeworfen, Millionen PC mit Schadsoftware infiziert und zu illegalen Zwecken missbraucht zu haben. Gleichzeitig durchsuchte das FBI ein Rechenzentrum in New York, stellte dort mehr als hundert Server sicher, über die das Zombie-Netzwerk ferngesteuert worden sein soll.

Die Kriminellen hatten die Rechner mit einer Software namens DNSChanger infiziert, welche die DNS-Einstellungen der Rechner manipulierte. Das DNS-System wird im Internet dazu benutzt, benutzerfreundliche Web-Adressen (wie www.spiegel.de) in computertaugliche Netzwerkadressen (195.71.11.67) zu übersetzen (siehe Kasten). Indem sie die DNS-Abfragen der betroffenen Rechner auf manipulierte DNS-Server umleiteten, konnten die Kriminellen gezielt Werbeeinblendungen an die Rechner senden, Suchergebnisse manipulieren oder weitere Schadsoftware nachladen lassen.

Ausgenutzt haben die Täter diese Möglichkeiten dem FBI zufolge zum Beispiel so: Anwender, die Apples offizielle iTunes-Seite aufrufen wollten, seien zum Angebot eines Unternehmens umgeleitet worden, das mit Apple in keinerlei Beziehung stehe und vorgab, Apple-Software zu verkaufen.

14 Millionen Dollar Gewinn

Dem FBI zufolge kontrollierten die Betreiber des Botnets auf diese Weise allein in den Vereinigten Staaten eine halbe Million Computer. Betroffen seien neben Privatpersonen auch Firmen, Behörden und die Nasa. Weltweit sollen rund vier Millionen Computer in 100 Ländern Teil des Netzwerks gewesen sein. Über manipulierte Anzeigenplatzierungen haben die Kriminellen laut FBI mindestens 14 Millionen Dollar (umgerechnet etwa 10,4 Millionen Euro) eingenommen.

Die zuständige FBI-Direktorin Janice Fedarcyk erklärte , es habe sich um eine "internationale Verschwörung, geplant und ausgeführt von raffinierten Kriminellen" gehandelt. Durch die Infektion der Rechner mit Schadsoftware seien diese zudem nicht einfach nur zu illegalen Einnahmequellen umgewandelt worden. Indem der Schädling das automatische Einspielen von Updates verhinderte und die Funktion von Anti-Viren-Software beeinträchtigte, seien die betroffenen PC überdies zusätzlichen Bedrohungen durch Schadsoftware ausgesetzt worden.

Schöner Schein

Erst jetzt gab das Sicherheitsunternehmen Trend Micro bekannt, man sei den Botnet-Betreibern bereits seit 2006 auf der Spur gewesen, habe die Informationen aber vor der Öffentlichkeit zurückgehalten, um die Arbeit der Ermittlungsbehörden nicht zu beeinträchtigen. Bereits damals hatte man festgestellt, dass in der Trojanersoftware DNSChanger die Internetadressen einiger Server fest eingegeben waren, die zu dem Netzwerk des estnischen Providers Esthost gehören.

Esthost ist ein Tochterunternehmen von Rove Digital, einer Firma aus der zweitgrößten estnischen Stadt Tartu. Unter den nun Verhafteten soll laut Trend Micro auch eine Führungskraft von Rove Digital sein. Laut Trend Micro sei bereits 2008 bekannt gewesen, dass das Unternehmen diverse kriminelle Kunden habe.

Log-Dateien gaben weitere Hinweise

Es dauerte allerdings noch Jahre, für diese Vermutungen stichhaltige Beweise zu finden. Inwieweit die Ermittler von Trend Micro dabei selbst die Grenzen der Legalität überschritten haben, ist nicht klar. Im Firmenblog  schildern sie, unter anderem in den Besitz von Serverdaten und sogar kompletten Kopien von Festplatten zweier Server aus dem Netzwerk von Rove Digital gekommen zu sein. Von diesen Servern seien Werbeeinblendungen auf die befallenen Rechner ausgeliefert worden.

Schlüsseldateien auf den Festplatten lieferten zudem Hinweise darauf, dass die Schadsoftware-Server tatsächlich vom Rove-Digital-Büro in Tartu aus gesteuert wurden. Zudem wurden Log-Dateien sichergestellt, in denen die Daten von Opfern festgehalten waren, die auf gefälschte Anti-Viren-Software hereingefallen waren. Zwischen diesen Einträgen waren immer wieder auch Vermerke zu offensichtlichen Testkäufen durch Mitarbeiter von Rove Digital zu finden.

Darüber hinaus habe man noch viel weiteres Beweismaterial gegen Rove Digital zusammengetragen und das Botnet bis zum 8. November beobachtet. An diesem Tag wurden die Verdächtigen festgenommen und ihre Server außer Betrieb gesetzt.

Das Problem ist noch nicht gelöst

Entwarnung könne man trotzdem nicht geben, erklärt Janice Fedarcyk vom FBI. Zwar seien die manipulierten DNS-Server mittlerweile durch korrekt arbeitende Maschinen ersetzt worden, das Problem sei damit aber noch nicht gelöst. Schließlich habe man die Schadsoftware nicht von den betroffenen Rechnern entfernen können. Zwar kann die nun nicht mehr mit ihren Kontroll-Servern kommunizieren, halte aber immer noch ein Tor für weitere Schadprogramme offen.

Anwendern, die fürchten, ihre Rechner könnten infiziert sein, rät das FBI, sich professionelle Hilfe zu suchen, um den PC zu überprüfen. Für eine schnelle Überprüfung, ob man vom DNSChanger-Trojaner betroffen ist, hat die Behörde eine Seite eingerichtet, auf der man die DNS-Einstellungen seines Rechners kontrollieren kann . Dort findet man auch ein Dokument mit Hinweisen (PDF) , wie man die aktuellen DNS-Einstellungen auf PC und Mac auslesen kann.

Die Wiedergabe wurde unterbrochen.