Lade Daten...
26.02.2010
Schrift:
-
+

Botnetz zerstört

Spam-Jäger knipsen riesiges Zombie-Netzwerk aus

Von Uli Ries
picture-alliance/ obs

IT-Experten von Microsoft ist ein spektakulärer Schlag gegen ein kriminelles Web-Netzwerk geglückt: Mit Hilfe eines bislang einzigartigen juristischen Winkelzugs ließen sie ein berüchtigtes Botnetz aus dem Internet entfernen. Entscheidende Hilfe kam aus Deutschland.

Der Vorgang ist ein spektakulärer Erfolg im Kampf gegen illegale Aktivitäten im Internet: Experten des US-Software-Riesen Microsoft haben es geschafft, eines der gefährlichsten Botnetze auszuschalten. Ein Botnetz ist ein Verbund gekaperter Rechner, die zur Durchführung verschiedener Aufgaben ferngesteuert werden - beispielsweise für den Versand von Spam-Mails (zur technischen Erläuterung siehe die Fotostrecke).

Mit einigen hunderttausend infizierten Rechnern - im Fachjargon "Zombies" genannt - war das Waledac-Botnetz eines der zehn größten Botnetze weltweit. Es war, neben anderen kriminellen Aktivitäten, im Alleingang für den Versand von mehr als 1,5 Milliarden Spam-E-Mails verantwortlich - pro Tag. Außerdem stachelte es den Ehrgeiz der Cybercrime-Bekämpfer von Microsoft in besonderer Weise an: Waledac schützte sich durch diverse technische Mittel vergleichsweise gut vor dem Zugriff durch Strafverfolger und Internetprovider.

Den IT-Experten um T.J. Campana, einem der Verantwortlichen bei Microsofts Digital Crimes Unit, wurde schnell klar, dass "ein Kampf gegen Waledac mit rein technischen Mitteln wenig bringt". Denn es war anzunehmen, dass die Botnetz-Macher ihr Geschöpf dem Zugriff immer wieder aufs Neue entziehen würden. Also ersannen die Microsoft-Jäger eine neue rechtliche Strategie, die Grundlage der intern Operation b49 genannten Aktion wurde: "Wir erwirkten eine einstweilige Verfügung, so dass VeriSign alle zur Kontrolle und Pflege des Botnetzes dienenden .com-Domains abschalten musste", erklärt Campana gegenüber SPIEGEL ONLINE. VeriSign ist ein US-Unternehmen, das sämtliche .com-Top-Level-Domains verwaltet, vergleichbar der in Deutschland für .de-Domains zuständigen Registrierungsstelle Denic.

Die Hälfte der kriminellen Kontrollserver stand in Deutschland

Die darauffolgende Gerichtsverhandlung am vergangenen Montag dauerte vier Stunden - sofort danach konnte Microsoft beginnen, die 277 zuvor über Monate gesammelten Domain-Namen an VeriSign weiterzuleiten. Nach und nach löschte VeriSign die Verweise im Domain Name System - dem "Telefonbuch des Internets" - und schnitt den Zombies so binnen 36 Stunden den Kommunikationskanal zu den acht sogenannten Command & Control-Servern (C&C) ab. Ohne Kontakt zu diesen Maschinen können die Zombies ihr kriminelles Werk nicht länger verrichten. Um das eigentliche Abschalten der Server kümmerte sich die Shadowserver Foundation, ein Zusammenschluss von IT-Sicherheitsspezialisten mit guten Kontakten zu Internetprovidern und Strafverfolgern auf der ganzen Welt.

Vier der insgesamt acht C&C-Server waren bei deutschen Internetprovidern untergebracht. Alles deutet darauf hin, dass mindestens drei der Server nur zum Zweck der Botnetz-Steuerung gemietet wurden und nicht etwa geknackte Maschinen unbeteiligter Dritter waren. Gemietet wurden die Maschinen von einem Frankfurter Hoster, der in der Szene den Ruf hat, es mit dem Abschalten offensichtlich bösartiger Server nicht ganz so genau zu nehmen - eine Eigenschaft, die sonst eher willfährigen Hostern in China und Russland nachgesagt wird.

Deutsche Experten für Schadsoftware-Bekämpfung trugen entscheidend zum Erfolg der Aktion bei: Unabhängig von Microsofts Anfrage hatten sie schon seit Monaten die technische Struktur des Botnetzes genau analysiert. "Unsere Aufgabe im Rahmen der Operation b49 war es, die Zombie-PC nach dem Abschalten der ersten Server daran zu hindern, Kontakt zu den verbliebenen Command & Control-Servern aufzubauen. Um das zu bewerkstelligen, haben wir uns in die Kommunikationsstruktur des Botnetzes eingeklinkt", erklärt der Informatiker Thorsten Holz von der Technischen Universität Wien. Er ist Spezialist für Honeypot-Projekte, mit denen sich das Auftreten und Verhalten von Schadsoftware dokumentieren lässt. Seine Arbeitsgruppe hatte Anfang Januar eine Analyse des Waledac-Netzwerkes vorgelegt.

Genaueres wollen Holz und seine Kollegen nicht sagen. Denn die eingesetzte Taktik kann auch in Zukunft bei ähnlichen Aktionen nützlich sein, und anderen Botnet-Betreibern soll keine Hilfestellung an die Hand gegeben werden.

Die Strategie ist nur bedingt wiederholbar

So clever und öffentlichkeitswirksam Microsofts Wahl der einstweiligen Verfügung war, diesem Mittel sind beim Kampf gegen Botnetze Grenzen gesetzt: Sobald die betreffenden Server über verschiedene Top Level Domains wie .com, .de oder .cn (China) verteilt sind, genügt eine einzelne Verfügung nicht. Es müssten in allen betroffenen Ländern ähnliche Rechtsmittel erwirkt werden. Dazu muss der Antragsteller jeweils einen finanziellen Schaden nachweisen, was Microsoft zumindest im aktuellen Fall leicht konnte: Der hauseigene Freemail-Dienst Hotmail kämpft mit vielen hundert Millionen per Waledac verschickten Spam-Nachrichten.

Die rechtlich komplexe Situation ist es auch, die Aktionen wie die von Microsoft und seinen Partnern regelmäßig verhindert. "Operation b49 war nur möglich, da alle Server zur .com-Domain gehörten und wir dem Gericht keinerlei persönliche Informationen von Betroffenen übermitteln mussten", sagt Microsoft-Mann TJ Campana.

Auch Ilias Chantzos weiß, wie kompliziert die Zusammenarbeit zwischen IT-Sicherheitsfirmen und Strafverfolgern sein kann. Chantzos ist das Bindeglied zwischen der amerikanischen IT-Sicherheitsfirma Symantec und verschiedenen Regierungen weltweit, darunter den EU-Staaten. "Allein innerhalb Europas verhindern die lokalen Datenschutzgesetze, dass Detailinformationen zu infizierten PC an die Behörden übergeben werden", sagt er im Gespräch mit SPIEGEL ONLINE. "Eine weitere Hürde ist, dass die Datenschutzgesetze nicht einheitlich sind und manchmal sogar innerhalb eines Landes unterschiedlich interpretiert werden."

Über die Hintermänner des Waledac-Botnetzes wollte Microsoft-Vertreter Campana nichts verraten. Es sei zwar möglich, dass man den Behörden entsprechendes Material übergebe und es dann zur Strafverfolgung komme. Aber noch ist man sich anscheinend nicht im Klaren darüber, ob die Qualität der gesammelten Daten ausreicht. Bei Microsoft will man aber weiterhin zumindest technisch gegen die Geschöpfe der Botnet-Betreiber vorgehen.

Forum

Diskussion über diesen Artikel
insgesamt 114 Beiträge
1. 01001100
Chromlatte 26.02.2010
Scheint zu wirken - seit Stunden keine einzige Spam Mail!
Scheint zu wirken - seit Stunden keine einzige Spam Mail!
2. Meinen Respekt....
Knütterer 26.02.2010
... vor dieser Leistung!
Zitat von sysopIT-Experten von Microsoft ist ein spektakulärer Schlag gegen ein kriminelles Web-Netzwerk geglückt: Mit Hilfe eines bislang einzigartigen juristischen Winkelzugs ließen sie ein berüchtigtes Botnetz aus dem Internet entfernen. Entscheidende Hilfe kam aus Deutschland. http://www.spiegel.de/netzwelt/web/0,1518,680457,00.html
... vor dieser Leistung!
3. Wirklich zerstört?
sAgent 26.02.2010
Die Kontroll-Server sind vielleicht erstmal weg, aber die Zombies sind immernoch infiziert. Wenn es eine Backup-Strategie der Zombies gibt, die bisher noch nicht erkannt wurde, dann ist das Botnetz erstmal nur gelähmt und kehrt [...]
Die Kontroll-Server sind vielleicht erstmal weg, aber die Zombies sind immernoch infiziert. Wenn es eine Backup-Strategie der Zombies gibt, die bisher noch nicht erkannt wurde, dann ist das Botnetz erstmal nur gelähmt und kehrt zurück. Man sollte parallel versuchen die befallenen Systeme zu heilen bzw. die Eigentümer über den Befall informieren. Ansonsten ist es natürlich schön, dass die Welt nicht tatenlos zusieht und sich wehrt.
4. Danke an Microsoft
Pnin_ 26.02.2010
Danke an Microsoft. Man kann nur hoffen, dass die anderen Bot-Netzwerke auch bald geschlossen werden.
Danke an Microsoft. Man kann nur hoffen, dass die anderen Bot-Netzwerke auch bald geschlossen werden.
5. Gute Nacht
chocochip 26.02.2010
Mit dieser Aktion wäre bewiesen, dass das Internet kein Internet mehr ist. Denn gerade solche zentralen Aktionen sollte das Internet ja im Falle einer staatlichen Zensurmaßnahme verhindern in dem die Informationen und [...]
Zitat von sysopIT-Experten von Microsoft ist ein spektakulärer Schlag gegen ein kriminelles Web-Netzwerk geglückt: Mit Hilfe eines bislang einzigartigen juristischen Winkelzugs ließen sie ein berüchtigtes Botnetz aus dem Internet entfernen. Entscheidende Hilfe kam aus Deutschland. http://www.spiegel.de/netzwelt/web/0,1518,680457,00.html
Mit dieser Aktion wäre bewiesen, dass das Internet kein Internet mehr ist. Denn gerade solche zentralen Aktionen sollte das Internet ja im Falle einer staatlichen Zensurmaßnahme verhindern in dem die Informationen und Verbindungskanäle anderweitig aufrecht erhalten werden. Gegen die Kriminellen ein Schlag, für die Freiheit im Internet ein schwarzer Tag. Die staatliche Zensur ist auch im Internet möglich, Microsoft hat gezeigt, wie es geht. Gute Nacht Internet.
Diskussion geschlossen - lesen Sie die Beiträge!

MEHR AUF SPIEGEL ONLINE

MEHR IM INTERNET

Verwandte Themen

Artikel

News verfolgen

Lassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter RSS
alles zum Thema Computersicherheit
RSS

© SPIEGEL ONLINE 2014 Alle Rechte vorbehalten