Hacker knacken das Sality-Botnetz: Feuer mit Feuer bekämpfen

KÖLN taz | Es ist eine ungewöhnliche Nachricht, die in dieser Woche in der Internet-Sicherheitsliste „Full disclosure“ aufgetaucht wird. „Bitte zerstört das Sality Botnetz nicht“, schreibt der Autor mit dem Pseudonym „gesetzestreuer Bürger“. Was folgt ist eine genaue Beschreibung, wie man das Botnetz, das Hunderttausende infizierter Rechner umfasst, konkret bekämpfen kann: Man identifiziert die Kommandoserver des illegalen Rechnernetzes und hackt einen nach dem anderen, um den Virus zu entfernen.

„Leider würden diese Schritte einen Gesetzesbruch darstellen“, schreibt der Hacker. Damit zeigt er auf, wie die Sicherheitslage im Internet und die Gesetzgebung zum vermeintlichen Schutz der lebenswichtigen Infrastruktur aufeinanderprallen. Kriminelle kapern mit immer ausgefeilteren Virusprogrammen Hunderttausende Rechner und nutzen sie zu allen möglichen Zwecken – wer dahinter steckt, ist nur manchmal nach jahrelangen Ermittlungen auszumachen. Doch will man Feuer mit Feuer bekämpfen, stößt man schnell an die Grenzen des Erlaubten.

Über Jahre ist das Sality-Botnetz immer weiter gewachsen: Der Anti-Virus-Spezialist Symantec hat die ersten Ursprünge des Netzes bis ins Jahr 2003 //www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/sality_peer_to_peer_viral_network.pdf%E2%80%9C:zurückverfolgt. Das Botnetz funktioniert nach dem Peer-to-Peer-Prinzip wie Internettauschbörsen. Nachrichten werden von Rechner zu Rechner weitergegeben. Nur ab und an rufen Sie neue Anweisungen von vorher bestimmten Servern ab und verteilen sie weiter.

Durch jahrelange Arbeit und immer neue Versionen des Sality-Virus konnten die Hintermänner ihr Botnetz immer weiter ausbauen, bis Hunderttausende Rechner gleichzeitig verfügbar waren. Doch nie kam das Botnetz in den Fokus der Aufmerksamkeit: Die Kriminellen beschränkten sich im Wesentlichen darauf, ihr Botnetz auszubauen und Spam-Nachrichten von den gekaperten Rechnern zu verschicken.

Für ein paar Hundert Dollar kann man solche Botnetze mieten und sie mit dem Versand von Milliarden Spam-Nachrichten beauftragen. Im Prinzip könnte der Virus sofort auf destruktivere Methoden umschalten: Passwortklau, Online-Attacken oder Verbreitung illegaler Inhalte.

Attacke könnte klappen

Doch ist die Anleitung zur Bekämpfung dieses gewaltigen Netzes wirksam? Die Redaktion von Heise Security //www.heise.de/newsticker/meldung/Bitte-nehmt-das-Sality-Botnetz-nicht-vom-Netz-1485032.html%E2%80%9C:machte den Test und fand heraus, dass die Anleitung wirklich den Weg zu Servern wies, die Schadcode verteilten. „Virenscanner wie Avast, G Data und Ikarus erkannten darin die mit Sality in Verbindung stehende Malware Win32.Elderado.“ Sprich: Der unbekannte Hacker hat offenbar die Verbreitungsroutine des Botnetzes geknackt und Schwachstellen gefunden, um den Virus zu entfernen.

Doch dieser Schuss kann auch nach hinten losgehen. Der anonyme Hacker hat eine Anleitung für quasi jedermann veröffentlicht, wie man die befallenen Kommandoserver attackieren kann. Wohlmeinende Hacker können damit das Botnetz schrumpfen lassen und den Kriminellen das Geschäft etwas schwerer machen.

Wie das britische IT-Magazin The Register anmerkt, könnte diese Attacke auch genutzt werden, um den einen Virus durch einen neuen Virus auszutauschen. Dass sie dabei das Gesetz verletzen könnten, ist für die Kriminellen jedenfalls kein Hindernis.