Web

 

Sunbelt deckt gefährliche Spyware-Attacke auf

08.08.2005

MÜNCHEN (COMPUTERWOCHE) - Die US-amerikanische Bundeskriminalpolizei Federal Bureau of Investigation (FBI) ermittelt in einem Fall weltweiten Datenklaus.

Spyware-Hacker haben sich nach den vorliegenden Informationen offenbar mittels Keylogger-Software (siehe Kasten Soft- und Hardware-Keylogger) brisante Informationen von Internetnutzern überall in der Welt zu Passwörtern, Bankkontodaten, Ebay-Konteninformationen, Chatlogs und sexuellen Vorlieben angeeignet.

Bei Versuchen, die in einer 20 MB großen Klartextdatei minutiös und nach Schlagworten geordneten Daten zu benutzen, war es Mitarbeitern der Antispyware-Firma Sunbelt Software ohne Probleme gelungen, online auf Bankkonten fremder Unternehmen zuzugreifen. Sie informierten sowohl die Kontoinhaber als auch die Banken von ihrem Test.

Sunbelt-President Alex Eckelberry sagte, was jetzt entdeckt wurde, sei so ziemlich das Schlimmste, was seine Mitarbeiter je gesehen hätten. "Wir wissen, dass solcherlei Daten immer wieder entwendet werden und "am Markt" verfügbar sind. Aber es ist das erste Mal, das wir die Originaldaten gefunden haben, die Kriminelle dann für ihre Betrügereien benutzen."

Der kriminelle Akt flog auf, als Sunbelt-Forscher Patrick Jordan eines der gefährlichsten am Markt verfügbaren Spyware-Tools untersuchte, die unter der Klassenbezeichnung "CoolWebSearch" (CWS) firmieren. Jordan hatte dazu absichtlich einen PC mit Spyware infiziert. Der Sunbelt-Mann konnte beobachtet, wie die Maschine sich in einen Spam-Zombie (siehe Kasten "Spam-Zombie") verwandelte und sich bei einem Remote-Server anmeldete. Durch eine Rückverfolgung des Servers kam Jordan dem kriminellen Diebesring auf die Spur.

CWS-Tools sind deshalb so gefährlich, weil sie nur extrem schwer zu finden und wieder zu löschen sind. Sie lenken Anwender auf Webseiten um, die wiederum Spyware-Werkzeuge nutzen, um sich von infizierten Rechnern Informationen abzusaugen. Spyware fängt aber von Privat- oder Firmenrechnern nicht nur Daten ab. Sie schickt diese auch an Server, auf denen die Daten dann gespeichert werden.

Genau dies war auch im vorliegenden Fall geschehen. Einige dieser so genannten Callbacks hatte Jordan ausfindig gemacht. Er verfolgte sie zurück und stieß auf den Web-Server, dessen Domäne ursprünglich in China registriert zu sein scheint, der aber physisch in den Vereinigten Staaten steht. Die Textdatei, die von Jordan und seinen Mitarbeitern unverschlüsselt herunter geladen werden konnte, enthielt die sensiblen Daten. Unter anderem entdeckten die Sunbelt-Mitarbeiter auch die Daten eines Surfers, der sich für Kinderpornografie interessiert.

In der Klartextdatei waren die Tastaturbewegungen von Hunderten von Anwendern weltweit verzeichnet. Diese Informationen waren vermittels einer Keylogger-Software festgehalten worden, die heimlich auf PCs installiert wurde.

Jordan konnte während der Untersuchung auch sehen, wie die Textdatei ständig größer wurde. Pro Stunde seien zirka 200 KB an Daten, die in Englisch, Deutsch und Niederländisch abgefasst waren, hinzugekommen.

Als zunächst ersten Schutz empfehlen die Sicherheitsexperten von Sunbelt jedem, der noch

keine Firewall installiert hat, dies schnellstmöglich nachzuholen. (jm)

Spam-Zombie

Hacker nutzen die Sicherheitslücken unter anderem von Betriebssystemen, um heimlich auf Privat- oder Firmen-Rechnern Software zu installieren, die den PC in einen Mail- oder Proxy-Server verwandeln. Hacker versenden Massen-E-Mails dann über solche infizierten Rechner, die Spam-Zombies genannt werden. So können Kriminelle die wahre Herkunft der Spam-Sendungen verschleiern.

Soft- und Hardware-Keylogger

Keylogger sind Software-Tools, die zwischen die Tastatur und das Betriebssystem geschaltet wurden. Alle Tastatureingaben werden gelesen und an das Betriebssystem weitergegeben. Je nachdem, wie ein Keylogger programmiert ist, speichert die Software diese Angaben auf der Festplatte des infizierten Rechnerns oder gibt sie an einen Rechner im Internet weiter.

Ein Hardware-Keylogger wird direkt zwischen die Tastatur und den PC gesteckt. Er hat den Vorteil, dass er keine Spuren auf dem infizierten Rechner hinterlässt, allerdings sieht man ihn natürlich sofort.

Key-Logger sind deshalb so perfide, weil sie noch vor etwaigen Verschlüsselungsaktionen sämtliche eingegebenen Daten abfangen und in Dateien speichern.