Aktualisiert 17.03.2009 13:24

Cyber-Kriminelle

Reiche Beute im Botnet

Wenn der eigene PC von einer Bot-Software gekapert wird, verwandelt er sich zum Verräter. Er spioniert alle vertraulichen Daten aus und schickt diese an die Absender der Schadsoftware. Was dabei so alles zusammengetragen wird, haben jetzt Experten der britischen Sicherheitsfirma Prevx entdeckt.

Auf einem Server in der Ukraine fanden die Experten die Daten von 160 000 infizierten Computern, zusammengeschlossen zu einem Botnet. Der Zugang zu den Daten auf dem Botnet-Server war mit einem Passwort gesichert, dass die Prevx-Fahnder aufgrund einer relativ schwachen Verschlüsselung knacken konnten. Was sie fanden, wirft ein seltenes Schlaglicht auf ein Botnet aus der Perspektive der Cyber-Kriminellen.

Ausserdem zeigt der Fall, wie lange es dauert, bis grenzüberschreitende Zusammenarbeit in Gang kommt, um etwas gegen die Betreiber eines Botnets zu unternehmen. Nachdem Prevx den von dem Botnet genutzten Provider und die ukrainischen Behörden alarmiert hatte, dauerte es noch fast einen Monat, bis der Server abgeschaltet wurde. In dieser Zeit kamen jeden Tag rund 5000 neu infizierte Computer hinzu, deren Daten abgesaugt wurden.

Betroffen waren in diesem Fall zumeist ganz gewöhnliche Internet-Nutzer. Ohne dass sie es wussten, fanden sich in der Botnet-Beute jede Menge Passwörter für vertrauliche Web-Sites, vom Facebook-Account bis zu den Zugangsdaten fürs Online-Banking, zusammen mit Liebesgeflüster und anderen E-Mails. Neben den Daten von privaten Computern fanden sich aber auch Informationen aus dem infizierten Computer einer Bank.

Logs von Internet-Verbindungen gesammelt

Solche Datenverstecke gibt es mehrere im Internet. Das von Prevx entdeckte Botnet sammelte alle möglichen Informationen. Es hätte aber auch weiterentwickelt werden können, etwa zu einer Spam-Schleuder. Die Rechner sind mit einer Schadsoftware infiziert, die immer wieder Kontakt mit ihrem Absender aufnimmt und dessen Anweisungen ausführt.

Das ukrainische Botnet sammelte die Logs (Protokolle) von Internet-Verbindungen. Darunter war etwa die eines 22-jährigen Mannes aus Kalifornien, der eine Internet-Domain registrierte, sein Yahoo-Passwort änderte und online eine Pizza bestellt hat. Seine Kreditkartendaten, seine Passwörter, sein Geburtsdatum, seine Telefonnummern und Adresse sind jetzt alle in der Hand von Kriminellen. Quälend ist die Unsicherheit, dass niemand sagen kann, ob die Botnet-Betreiber die Daten schon verwendet haben und auf welche Weise.

In der Botnet-Beute waren auch die Kundendaten einer Bank im US-Staat Georgia, zusammen mit den E-Mails der Bankangestellten, die über denselben infizierten Rechner abgeschickt wurden. Betroffen waren auch zwei Computer von Regierungsbehörden in Texas und North Carolina.

«Das gibt den Kriminellen die Schlüssel zum Schloss», sagte der Leiter der Prevx-Forschungsabteilung, Jacques Erasmus. «Sobald sie in diesem System sind, sieht das noch nicht wie der grösste Datenraub des Jahrhunderts aus. Aber das ist ihr Einfallstor in ein internes Netz. Das ist ihr Spiel - und sie betreiben das jeden Tag.» Die Kriminellen fangen klein an, setzen sich auf einem ersten Computer fest. Diesen nutzen sie dann als Ausgangspunkt für weitere Angriffe in sensiblere Systeme.

Einstiegsbarrieren immer niedriger

Die Sicherheitsexperten haben nicht die Kapazitäten, um alle Betroffenen zu informieren, dass sie einem Botnet zum Opfer gefallen sind. Stattdessen unterrichten sie die Behörden. Im Fall des ukrainischen Botnets informierten sie auch die Metro City Bank in Georgia, die daraufhin den infizierten Rechner nach Angaben von Prevx entfernte.

Ein Bankkunde, der 22-jährige Student Yoon-Kee Hong, hatte sein Konto gerade erst einen Monat bei der Metro City, als er von der Nachrichtenagentur AP erfuhr, dass seine Daten in die Hände von Cyber-Kriminellen gelangt sind, darunter die in den USA für viele Vorgänge sehr wichtige Sozialversicherungsnummer. Yoon-Kee Hong beschwerte sich bei seiner Bank, dass sie ihn nicht davon unterrichtet habe und erhielt von ihr ein neues Konto und die Zusicherung, künftig so schnell wie möglich von Sicherheitspannen unterrichtet zu werden. Metro City gab eine öffentliche Erklärung heraus, wonach alle Kunden unterrichtet worden seien und der Einbruch untersucht werde.

Die Einstiegsbarrieren in die Internet-Kriminalität werden offenbar immer niedriger. Trojaner für den Aufbau eines Botnets gibt es bereits für weniger als 1000 Dollar (775 Euro). Der Botnet-Experte Joe Stewart von der Sicherheitsfirma SecureWorks erklärte, er sei im vergangenen Jahr an der Schliessung eines Servers beteiligt gewesen, über den ein riesiges Botnet mit mehr als 378 000 Computern gesteuert worden sei. Dabei seien mehr als 460 000 Zugangsdaten aller Art gestohlen worden.

Es gibt zahllose kleinere Botnets, und es entstehen immer wieder neue, aufgesetzt mit Schadprogrammen, die noch von keiner Sicherheitssoftware erfasst sind. «Die hohe Beteiligung von Amateuren zeigt, wie weit verbreitet das ist», sagt Stewart. «Buchstäblich jeder mit ein bisschen Computerwissen und krimineller Neigung kann sich einen Zugang zu einem dieser Trojaner verschaffen und damit auf Datenklau gehen.»

Was tun gegen das Botnet-Risiko?

Und wie kann man sich schützen? Die Sicherheitssoftware immer aktuell zu halten, reiche unter Umständen nicht aus, erklärt Prevx. Dessen Experten empfehlen, jeder PC-Anwender sollte misstrauisch werden, wenn die Internet-Verbindung ohne erkennbaren Grund plötzlich deutlich langsamer wird.

Dann ist es an der Zeit, den Netzwerkverkehr des Computers zu überprüfen - etwa indem man mit «Steuerung», «Alt» und «Entfern» den Task-Manager von Windows aufruft und dort im Bereich «Netzwerk» die Werte und die Kurve der «Netzwerkauslastung» überprüft. Wird dort ohne eigenes Zutun ein verdächtiger Datenverkehr sichtbar, sollte man ruhigen Kopf bewahren und mit speziellen Software-Werkzeugen in die genauere Analyse einsteigen. (dapd)

Deine Meinung

Fehler gefunden?Jetzt melden.