5102709

Botnetz-Betreiber "Koobface" enttarnt: Virtuelle Verfolgungsjagden

Jahrelang nutzte die Koobface-Gang tausende infizierte Rechner für illegale Geschäfte. Nun wurde die Gang enttarnt - weil ihre eigenen Rechner schlecht geschützt waren.

Freizügige Selbstdarstellung im Netz: Eines der Koobface-Mitglieder mit Katze. Bild: Screenshot sophos.com

KÖLN taz | Es beginnt mit einem harmlosen Link auf Facebook. Ein lustiges oder gar erotisches Video soll sich dahinter verbergen, der Absender ist vermeintlich ein Freund. Wer darauf klickt, landet auf einer neuen Website, die auch scheinbar den versprochenen Inhalt bereithält – alleine der Flash-Player muss aktualisiert werden. Wer dieses vermeintliche Update annimmt, steht fortan unter Kontrolle der Kriminellen.

Denn anstatt eine neue Version von Flash spielt die Seite ein Kontrollprogramm auf den Rechner, das alle für Kriminelle interessanten Daten ins Netz überspielt und obendrein weitere Rechner mit dem Schadprogramm infiziert. Sie agieren wie Roboter, die die Befehle von einem Fremden beziehen. Sie können Spam versenden, Werbung auf den Bildschirmen ihrer Wirte austauschen oder gar Daten-Attacken starten, um Online-Händler zu erpressen.

Koobface – ein Anagramm auf "Facebook" – war seit Jahren eines der erfolgreichsten Botnetze der letzten Jahre. Bis zu 800.000 Computer weltweit waren in den Diensten der Bande – von den Besitzern oft unbemerkt. Für die Betreiber eines Botnetzes ist das essentiell: Die infizierten Computer schicken die Daten der Kriminellen hin- und her und verschleiern so die Spuren zu den tatsächlich Verantwortlichen. Die zentralen Kommandoserver müssen nicht einmal direkt mit jedem infizierten Rechner in Kontakt treten. Ermittlungen gegen die Betreiber sind daher oft schwer.

Dass die Verantwortlichen diesmal enttarnt werden konnten, liegt an ihrer Arroganz und der unermüdlichen Arbeit von Sicherheitsforschern, darunter der Deutsche Jan Drömer. Zusammen mit dem Sicherheitsdienstleister Sophos lieferte der 32jährige Hinweise an die Strafverfolgungsbehörden in Deutschland und den USA. Die Daten-Ermittler profitierten vor allem von den Fehlern, die die Kriminellen machten.

Auf einem der Kommando-Server, der die infizierten Rechner steuerte, ließen sie zum Beispiel eine öffentlich einsehbare Statistiksoftware laufen – und gaben damit den Ermittlern erste Einblicke in die Funktionsweise ihres Netzes. Insgesamt, so schätzen die Ermittler, hätte der Betrieb des Netzes jedes Jahr zwei Millionen Dollar eingespielt.

Wohlfühlen im sozialen Netz

Einmal entdeckt, offenbarten die Kommandoserver immer neue Informationen. So hatten die Betreiber offenbar für Kunden, die das Botnetz zu ihren Zwecken mieten wollten, eine komfortable Kontaktmöglichkeit geschaffen: Nachrichten wurden über das Netz direkt an die Mobiltelefone der fünf Betreiber geschickt. Dumm nur, dass das verwendete Programm einfach auslesbar war und so die verwendeten Handynummern offenbarte.

Auch Sicherheitskopien anderer Daten waren ungeschützt auf den Servern verfügbar – darunter zum Beispiel Fotos des Arbeitsplatzes eines der Beteiligten. Sein iPhone hatte zudem die genauen Koordinaten des Büros abgespeichert. Die Kriminellen, die routiniert in andere Rechner einbrachen, rechneten offenbar nicht damit, dass ihre Rechner selbst genau so verwundbar waren.

Das Kuriose: Obwohl die Kriminellen millionenfach die Nutzer auf Facebook hereingelegt haben, fühlten sie sich selbst wohl in der Welt der sozialen Netze. So war es den Privatermittlern auch möglich, die Orte zu finden, an denen die Bande ihre Urlaube verbrachte – als ob die Beteiligten die Gründer eines ganz normalen Startup-Unternehmens wären.

Einer der Beteiligten nutzte gar den Dienst Foursquare, um immer zeitnah zu veröffentlichen, wo er sich gerade befand. Und so konnte Facebook am Mittwoch die Identität von fünf Männern enthüllen, die offenbar in Sankt Petersburg bekannt geben – samt Fotos und zahlreicher weiterer Details.

Mit der Enttarnung der Namen wollen Facebook und Sicherheitsforscher das Geschäftsmodell der Bande, die sich auch "Ali Baba + 4" nannte, nachhaltig stören. Zumindest zeitweilig hat das Erfolg: Seit ihrer Enttarnung jedoch bemühen sich die Beschuldigten, ihre Spuren im Netz zu verwischen. Auch das Koobface-Botnetz verhält sich seitdem ruhig. Ob die beschuldigten Männer noch weitere Konsequenzen zu befürchten haben, ist aber unklar. Laut einer Meldung der Nachrichtenagentur Reuters wurden die russischen Behörden noch gar nicht informiert.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Den ersten Beitrag schreiben

Geben Sie Ihren Kommentar hier ein