Botnetz-Betreiber "Koobface" enttarnt: Virtuelle Verfolgungsjagden
Jahrelang nutzte die Koobface-Gang tausende infizierte Rechner für illegale Geschäfte. Nun wurde die Gang enttarnt - weil ihre eigenen Rechner schlecht geschützt waren.
KÖLN taz | Es beginnt mit einem harmlosen Link auf Facebook. Ein lustiges oder gar erotisches Video soll sich dahinter verbergen, der Absender ist vermeintlich ein Freund. Wer darauf klickt, landet auf einer neuen Website, die auch scheinbar den versprochenen Inhalt bereithält – alleine der Flash-Player muss aktualisiert werden. Wer dieses vermeintliche Update annimmt, steht fortan unter Kontrolle der Kriminellen.
Denn anstatt eine neue Version von Flash spielt die Seite ein Kontrollprogramm auf den Rechner, das alle für Kriminelle interessanten Daten ins Netz überspielt und obendrein weitere Rechner mit dem Schadprogramm infiziert. Sie agieren wie Roboter, die die Befehle von einem Fremden beziehen. Sie können Spam versenden, Werbung auf den Bildschirmen ihrer Wirte austauschen oder gar Daten-Attacken starten, um Online-Händler zu erpressen.
Koobface – ein Anagramm auf "Facebook" – war seit Jahren eines der erfolgreichsten Botnetze der letzten Jahre. Bis zu 800.000 Computer weltweit waren in den Diensten der Bande – von den Besitzern oft unbemerkt. Für die Betreiber eines Botnetzes ist das essentiell: Die infizierten Computer schicken die Daten der Kriminellen hin- und her und verschleiern so die Spuren zu den tatsächlich Verantwortlichen. Die zentralen Kommandoserver müssen nicht einmal direkt mit jedem infizierten Rechner in Kontakt treten. Ermittlungen gegen die Betreiber sind daher oft schwer.
Dass die Verantwortlichen diesmal enttarnt werden konnten, liegt an ihrer Arroganz und der unermüdlichen Arbeit von Sicherheitsforschern, darunter der Deutsche Jan Drömer. Zusammen mit dem Sicherheitsdienstleister Sophos lieferte der 32jährige Hinweise an die Strafverfolgungsbehörden in Deutschland und den USA. Die Daten-Ermittler profitierten vor allem von den Fehlern, die die Kriminellen machten.
Auf einem der Kommando-Server, der die infizierten Rechner steuerte, ließen sie zum Beispiel eine öffentlich einsehbare Statistiksoftware laufen – und gaben damit den Ermittlern erste Einblicke in die Funktionsweise ihres Netzes. Insgesamt, so schätzen die Ermittler, hätte der Betrieb des Netzes jedes Jahr zwei Millionen Dollar eingespielt.
Wohlfühlen im sozialen Netz
Einmal entdeckt, offenbarten die Kommandoserver immer neue Informationen. So hatten die Betreiber offenbar für Kunden, die das Botnetz zu ihren Zwecken mieten wollten, eine komfortable Kontaktmöglichkeit geschaffen: Nachrichten wurden über das Netz direkt an die Mobiltelefone der fünf Betreiber geschickt. Dumm nur, dass das verwendete Programm einfach auslesbar war und so die verwendeten Handynummern offenbarte.
Auch Sicherheitskopien anderer Daten waren ungeschützt auf den Servern verfügbar – darunter zum Beispiel Fotos des Arbeitsplatzes eines der Beteiligten. Sein iPhone hatte zudem die genauen Koordinaten des Büros abgespeichert. Die Kriminellen, die routiniert in andere Rechner einbrachen, rechneten offenbar nicht damit, dass ihre Rechner selbst genau so verwundbar waren.
Das Kuriose: Obwohl die Kriminellen millionenfach die Nutzer auf Facebook hereingelegt haben, fühlten sie sich selbst wohl in der Welt der sozialen Netze. So war es den Privatermittlern auch möglich, die Orte zu finden, an denen die Bande ihre Urlaube verbrachte – als ob die Beteiligten die Gründer eines ganz normalen Startup-Unternehmens wären.
Einer der Beteiligten nutzte gar den Dienst Foursquare, um immer zeitnah zu veröffentlichen, wo er sich gerade befand. Und so konnte Facebook am Mittwoch die Identität von fünf Männern enthüllen, die offenbar in Sankt Petersburg bekannt geben – samt Fotos und zahlreicher weiterer Details.
Mit der Enttarnung der Namen wollen Facebook und Sicherheitsforscher das Geschäftsmodell der Bande, die sich auch "Ali Baba + 4" nannte, nachhaltig stören. Zumindest zeitweilig hat das Erfolg: Seit ihrer Enttarnung jedoch bemühen sich die Beschuldigten, ihre Spuren im Netz zu verwischen. Auch das Koobface-Botnetz verhält sich seitdem ruhig. Ob die beschuldigten Männer noch weitere Konsequenzen zu befürchten haben, ist aber unklar. Laut einer Meldung der Nachrichtenagentur Reuters wurden die russischen Behörden noch gar nicht informiert.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
Starten Sie jetzt eine spannende Diskussion!