Operation Ghost Click

FBI schaltet riesiges Botnetz ab

10.11.2011 von Simon Hülsbömer

Über vier Millionen gekaperte Rechner in 100 Ländern: Die US-Ermittlungsbehörde FBI ließ in Zusammenarbeit mit diversen IT-Unternehmen eines der größten Botnetze der Welt auffliegen. Die Hintermänner, die mit Online-Werbung illegal Millionen verdienten, kommen aus Estland.

Nach mehr als zweijähriger Ermittlungsarbeit konnten sechs estnische Staatsbürger im Rahmen der Polizeiaktion "Ghost Click" am Dienstag verhaftet werden. "Diese konzertierte Aktion gegen eine kriminelle Bande ist höchst bedeutsam. Denn noch nie zuvor wurden cyberkriminelle Aktivitäten dieses Ausmaßes unterbunden", sagte Martin Rösler, "Director Threat Research" bei Trend Micro. Der IT-Sicherheitsspezialist hatte das Botnetz bereits seit rund fünf Jahren beobachtet, die Struktur der Kontroll- und Befehlsserver (C&C-Server) identifiziert und den Ermittlungsbehörden damit genau wie andere IT-Unternehmen entscheidende Hinweise zur Abschaltung des Netzes verschafft.

Das FBI bedankte sich in einer am gestrigen Mittwoch (Ortszeit) in New York veröffentlichten Erklärung ausdrücklich bei "den Partnern aus der Industrie, die unter anderem mitgeholfen haben, die kompromittierten DNS-Server durch 'saubere' Server zu ersetzen." Dadurch habe man es geschafft, den zumeist unwissenden Nutzern der infizierten Rechner auch nach der Abschaltung des Botnetzes unterbrechungsfreien Zugang zum Internet zu ermöglichen.

Illegal umgeleitet, traditionell abkassiert

Seit 2007 hatten die Betreiber des Botnetzes nach und nach vier Millionen Computer in über 100 Ländern (darunter 500.000 Rechner in den USA) mit einer sogenannten DNSChanger-Malware infiziert. Betroffen waren Privatpersonen, Unternehmen und Regierungsbehörden wie beispielsweise die NASA. Mithilfe der Malware waren die Hintermänner in der Lage, die DNS-Einstellungen des Rechners zu manipulieren und damit die Ziel-Adressen von Web-Aufrufen zu verändern. So konnten Anwender beim Surfen nahezu unbemerkt auf infizierte Websites umgelenkt werden. Mithilfe von selbstgeschalteten Display-Ads auf diesen Seiten gelang es der Bande anschließend, über die Jahre mindestens 14 Millionen Dollar an Werbekostenerstattungen für sich abzuzwacken.

"Sie waren organisiert und arbeiteten letzten Endes wie jedes normale werbende Unternehmen auch. Dabei profitierten sie jedoch von der Zuhilfenahme illegaler Malware", berichtete ein Cyberagent des FBI. Der Fall lege einen Level an Komplexität an den Tag, der bisher nicht bekannt gewesen sei.

Neben den estischen Behörden, der NASA und Trend Micro hatten auch die Georgia Technical University, das Internet Systems Consortium, Mandiant, die National Cyber-Forensics & Training Alliance, Neustar, Spamhaus, Team Cymru, die University of Alabama at Birmingham und Mitglieder der DNS Changer Working Group (DCWG) zur Abschaltung des Botnetzes und Festnahme der Hintermänner in Estland beigetragen.

Bot-Netze
Wie das Cloud-Computing für Böse grundsätzlich arbeitet: Diese Skizze der Microsoft Digital Crime Unit (DCU) zeigt das Grundprinzip, bei dem ein Netzwerk von infizierten Computern von einem Angreifer kontrolliert und gesteuert wird. (Quelle: Microsoft)

Bot-Netze
Baukasten für Botnetze erhöhten auch 2010 die Gefahr: Ein Ergebnis einer Untersuchung der amerikanischen Firma Damballa, die sich auf die Bekämpfung von Botnetzen spezialisiert hat. In dieser Statistik von 2010 ist es beispielsweise „SpyEye“, mit dessen Hilfe auch Angreifer ohne Programmierkenntnisse ein solches Netz „bauen“ können. (Quelle: Damballa Inc.)

Bot-Netze
Die unterschiedlichen Botnetz-Architekturen: Bei Botnetzen mit einem Steuerungsrechner (Command & Control Server – CC) spricht man von einer zentralisierten Topologie des Botnetzes. (Quelle: Symantec)

Bot-Netze
Die aufwändigerer Botnetz-Architektur: Hier kommen die bekannten Techniken der P2P-Netze (Peer-to-Peer – P2P) zum Einsatz, um eine dezentralisierte Topologie zu ermöglichen. (Quelle: Kaspersky Labs)

Bot-Netze
Online-Service als Alternative: Auch Microsoft stellte eine Zeit lang einen Online-Dienst zur Verfügung, der die Anwender unter anderem vor den Gefahren der Botnetze schützen sollte. Dieser wird aber nicht mehr fortgeführt, der Hersteller rät nun zum Einsatz der „Microsoft Security Essentials“ direkt auf den Endsystemen.

Bot-Netze
Der „Ernstfall“ kann durch Schutzsoftware festgestellt werden: Viele Hersteller von Antiviren-Lösungen stellen kostenlose Programme zur Verfügung, die feststellen können, ob sich auf einem Windows-System ein Bot befindet.

Bot-Netze
Beeindruckende und erschreckende Zahlen: Allein 2009 identifizierte die Firma Symantec 17.432 neue Botnet-Command-and-Control-Server, ein Anstieg gegenüber 15.197 im Jahr 2008. Von diesen wurden 31 Prozent über IRC-Channels und 69 Prozent über HTTP gesteuert (Quelle: Symantec Global Security Threat Report, Volume XV)

Bot-Netze
Deutschland ist an der Spitze mit dabei: In Deutschland hat Symantec 2009 durchschnittlich 1.856 aktive Bots pro Tag erfasst. Dabei wurden im gesamten Beobachtungszeitraum wurden in Deutschland insgesamt 456.203 verschiedene Computer verzeichnet, die mit Bot-Programmen infiziert waren (Quelle: Symantec Global Security Threat Report, Volume XV)