Das Botnet, dessen Controller-Software "Pony" getauft wurde, konnte nach Recherchen der Security-Experten nicht nur Nutzerinformationen von beliebten Web-Diensten wie Facebook, Twitter und Google entwenden. Betroffen sei auch das Personaladministrations-Unternehmen ADP, das Finanzbuchhaltungs- und HR-Software anbietet, schreibt SpiderLabs-Forscher Daniel Chechik in einem Blogpost. Dass Cyberkriminelle sich auf breitgenutzte Online-Services stürzten, sei durchaus bekannt - der Angriff auf Nutzerkonten einer Lohnbuchungs-Software hingegen könne unmittelbare finanzielle Schäden für diverse Unternehmen nach sich ziehen, so Chechik. In den USA setzte ADP im Fiskaljahr 2013 beispielsweise 1,4 Milliarden Dollar um - jede sechste Gehaltsabrechnung wird den Unternehmensangaben nach dort über ein ADP-System vorgenommen.
Was die Zahl der auf dem Server entdeckten Facebook-Logins angeht, beläuft sich diese nach Informationen von Trustwave Spiderlabs auf über 318.000. Dazu kommen knapp 60.000 Yahoo- und 54.000 Google-Konten. Der Rest der knapp 1,6 Millionen gestohlenen Website-Logins verteilt sich auf diverse weitere Anbieter wie LinkedIn oder auch zwei russische Social Networks, VKontakte und Odnoklassniki. Hinzu kommen 320.000 E-Mail-Kontodaten, 41.000 FTP-Logins sowie je rund 3000 Remote-Desktop- und Secure-Shell-Accounts. Insgesamt seien Rechner in mindestens 102 Ländern infiziert und bestohlen worden, schreibt Chechik in seinem Blogpost.
Reverse Proxy als Tarnmittel
Die genaue Ursache, wie sich die von "Pony" gesteuerten Bots mit Malware infiziert haben, ist noch nicht klar. Die Sicherheitsforscher von Trustwave entdeckten die Datensätze, nachdem es ihnen gelungen war, die administrative Kontrolle über das Botnet zu erlangen. Dies sei über die - gewollte oder ungewollte - Veröffentlichung des Quellcodes für die Steuerungs-Software möglich geworden, schreibt Chechik.
Der Server, auf den die gestohlenen Login-Daten gespeichert wurden, erhielt sämtliche Informationen von einer einzigen IP-Adresse aus den Niederlanden. Demnach nutzten die Cyberkriminellen ein Gateway oder einen Reverse Proxy, den sie zwischen die infizierten Clients und den Command-and-Control-Server (C&C-Server) geschaltet hatten, mutmaßt Chechik. "Viele Angreifer setzen einen Reverse Proxy ein, um die Entdeckung ihrer C&C-Server zu verhindern. Der ausgehende Datenverkehr von einem infizierten Rechner lässt sich so nur bis zum Proxy-Server nachvollziehen - wird dieser entdeckt und abgeschaltet, wird eben der nächste eröffnet", so der Sicherheitsforscher.
Facebook reagiert
In einem schriftlichen Statement an die COMPUTERWOCHE stellt ein Facebook-Sprecher noch einmal klar, dass keine Login-Daten von Facebook direkt gestohlen worden seien. "Offensichtlich haben Hacker mithilfe einer Schadsoftware Computer angegriffen und dabei Informationen und Login-Daten über den Internet-Browser abgeschöpft. Es wurden also keine Daten direkt von Facebook gestohlen. Wir haben unmittelbar darauf reagiert und die betroffenen Nutzerkonten gesichert – Nutzer müssen nun ihr Passwort neu einrichten", schrieb er. Dabei werde geprüft, ob eine IP-Adresse verwendet werde, die in der Vergangenheit bereits zum Einsatz kam. Außerdem erfolge die Bestätigung des Vorgangs gegebenenfalls per SMS an das Handy der Nutzer. Zusätzlich sei es möglich, dass Facebook darum bitten würde, Freunde aus einer Auswahl von Fotos zu identifizieren. Mit all diesen Maßnahmen wolle Facebook einen zusätzlichen Schutz gewährleisten, für den Fall, dass die E-Mail-Konten der Nutzer ebenfalls gehackt wurden.