Operation Ghost Click

FBI schaltet riesiges Botnetz ab

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Über vier Millionen gekaperte Rechner in 100 Ländern: Die US-Ermittlungsbehörde FBI ließ in Zusammenarbeit mit diversen IT-Unternehmen eines der größten Botnetze der Welt auffliegen. Die Hintermänner, die mit Online-Werbung illegal Millionen verdienten, kommen aus Estland.

Nach mehr als zweijähriger Ermittlungsarbeit konnten sechs estnische Staatsbürger im Rahmen der Polizeiaktion "Ghost Click" am Dienstag verhaftet werden. "Diese konzertierte Aktion gegen eine kriminelle Bande ist höchst bedeutsam. Denn noch nie zuvor wurden cyberkriminelle Aktivitäten dieses Ausmaßes unterbunden", sagte Martin Rösler, "Director Threat Research" bei Trend Micro. Der IT-Sicherheitsspezialist hatte das Botnetz bereits seit rund fünf Jahren beobachtet, die Struktur der Kontroll- und Befehlsserver (C&C-Server) identifiziert und den Ermittlungsbehörden damit genau wie andere IT-Unternehmen entscheidende Hinweise zur Abschaltung des Netzes verschafft.

Das FBI bedankte sich in einer am gestrigen Mittwoch (Ortszeit) in New York veröffentlichten Erklärung ausdrücklich bei "den Partnern aus der Industrie, die unter anderem mitgeholfen haben, die kompromittierten DNS-Server durch 'saubere' Server zu ersetzen." Dadurch habe man es geschafft, den zumeist unwissenden Nutzern der infizierten Rechner auch nach der Abschaltung des Botnetzes unterbrechungsfreien Zugang zum Internet zu ermöglichen.

Illegal umgeleitet, traditionell abkassiert

Seit 2007 hatten die Betreiber des Botnetzes nach und nach vier Millionen Computer in über 100 Ländern (darunter 500.000 Rechner in den USA) mit einer sogenannten DNSChanger-Malware infiziert. Betroffen waren Privatpersonen, Unternehmen und Regierungsbehörden wie beispielsweise die NASA. Mithilfe der Malware waren die Hintermänner in der Lage, die DNS-Einstellungen des Rechners zu manipulieren und damit die Ziel-Adressen von Web-Aufrufen zu verändern. So konnten Anwender beim Surfen nahezu unbemerkt auf infizierte Websites umgelenkt werden. Mithilfe von selbstgeschalteten Display-Ads auf diesen Seiten gelang es der Bande anschließend, über die Jahre mindestens 14 Millionen Dollar an Werbekostenerstattungen für sich abzuzwacken.

"Sie waren organisiert und arbeiteten letzten Endes wie jedes normale werbende Unternehmen auch. Dabei profitierten sie jedoch von der Zuhilfenahme illegaler Malware", berichtete ein Cyberagent des FBI. Der Fall lege einen Level an Komplexität an den Tag, der bisher nicht bekannt gewesen sei.

Neben den estischen Behörden, der NASA und Trend Micro hatten auch die Georgia Technical University, das Internet Systems Consortium, Mandiant, die National Cyber-Forensics & Training Alliance, Neustar, Spamhaus, Team Cymru, die University of Alabama at Birmingham und Mitglieder der DNS Changer Working Group (DCWG) zur Abschaltung des Botnetzes und Festnahme der Hintermänner in Estland beigetragen.