Sunbelt deckt Spyware-Attacke auf

09.08.2005
Die US-amerikanische Bundeskriminalpolizei FBI ermittelt in einem Fall weltweiten Datenklaus.

Spyware-Hacker haben sich nach den vorliegenden Informationen offenbar mittels Keylogger-Software (siehe Kasten "Soft- und Hardware-Keylogger") brisante Informationen von Internet-Nutzern überall in der Welt zu Passwörtern, Bankkontodaten, Ebay-Konten, Chatlogs und sexuellen Vorlieben angeeignet.

Spam-Zombie

Hacker nutzen die Sicherheitslücken unter anderem von Betriebssystemen, um heimlich auf Privat- oder Firmenrechnern Software zu installieren, die den PC in einen Mail- oder Proxy-Server verwandelt. Die Eindringlinge versenden Massen-E-Mails dann über solche infizierten Rechner, die Spam-Zombies genannt werden. So können Kriminelle die wahre Herkunft der Spam-Sendungen verschleiern.

Soft- und Hardware-Keylogger

Keylogger sind Software-Tools, die zwischen die Tastatur und das Betriebssystem geschaltet werden. Alle Tastatureingaben werden gelesen und an das Betriebssystem weitergegeben. Je nachdem, wie ein Keylogger programmiert ist, speichert die Software diese Angaben auf der Festplatte des infizierten Rechners oder gibt sie an einen Rechner im Internet weiter.

Ein Hardware-Keylogger wird direkt zwischen die Tastatur und den PC gesteckt. Er hat den Vorteil, dass er keine Spuren hinterlässt.Key-Logger sind deshalb so perfide, weil sie noch vor etwaigen Verschlüsselungsaktionen sämtliche eingegebenen Daten abfangen und in Dateien speichern.

Bei Versuchen, die in einer 20 MB großen Klartextdatei minutiös und nach Schlagworten geordneten Daten zu benutzen, war es Mitarbeitern der Antispyware-Firma Sunbelt Software (http://www.sunbelt-software. com/) ohne Probleme gelungen, online auf Bankkonten fremder Unternehmen zuzugreifen. Sie informierten sowohl die Kontoinhaber als auch die Banken von ihrem Test.

Sunbelt-President Alex Eckelberry sagte, was jetzt entdeckt wurde, sei so ziemlich das Schlimmste, was seine Mitarbeiter je gesehen hätten. "Wir wissen, dass solcherlei Daten immer wieder entwendet werden und ‘am Markt’ verfügbar sind. Aber es ist das erste Mal, dass wir die Originaldaten gefunden haben, die Kriminelle dann für ihre Betrügereien benutzen."

Der kriminelle Akt flog auf, als Sunbelt-Forscher Patrick Jordan eines der gefährlichsten Spyware-Tools untersuchte, die unter der Klassenbezeichnung "Coolwebsearch" (CWS) firmieren. Jordan hatte dazu absichtlich einen PC mit Spyware infiziert. Der Sunbelt-Mann konnte beobachtet, wie die Maschine sich in einen Spam-Zombie (siehe Kasten "Spam-Zombie") verwandelte und sich bei einem Remote-Server anmeldete. Durch eine Rückverfolgung des Servers kam Jordan dem kriminellen Diebesring auf die Spur.

CWS-Tools sind deshalb so gefährlich, weil sie nur extrem schwer zu finden und wieder zu löschen sind. Sie lenken Anwender auf Web-Seiten um, die wiederum Spyware-Werkzeuge nutzen, um sich von infizierten Rechnern Informationen abzusaugen. Spyware fängt aber von Privat- oder Firmenrechnern nicht nur Daten ab. Sie schickt diese auch an Server, auf denen die Daten dann gespeichert werden.

Genau dies war auch im vorliegenden Fall geschehen. Einige dieser so genannten Callbacks hatte Jordan ausfindig gemacht. Er verfolgte sie zurück und stieß auf den Web-Server, dessen Domäne ursprünglich in China registriert zu sein scheint, der aber physisch in den Vereinigten Staaten steht. Die Textdatei, die von Jordan und seinen Mitarbeitern unverschlüsselt heruntergeladen werden konnte, enthielt die sensiblen Daten. Unter anderem entdeckten die Sunbelt-Mitarbeiter auch die Daten eines Surfers, der sich für Kinderpornografie interessiert.

In der Klartextdatei waren die Tastaturbewegungen von Hunderten von Anwendern weltweit verzeichnet. Diese Informationen waren vermittels einer Keylogger-Software festgehalten worden, die heimlich auf PCs installiert wurde.

Jordan konnte während der Untersuchung auch sehen, wie die Textdatei ständig größer wurde. Pro Stunde seien zirka 200 KB an Schriftlichem, das in Englisch, Deutsch und Niederländisch abgefasst war, hinzugekommen.

Als ersten Schutz empfehlen die Sicherheitsexperten von Sunbelt jedem, der noch keine Firewall installiert hat, dies schnellstmöglich nachzuholen. (jm)