# taz.de -- Botnetz-Betreiber "Koobface" enttarnt: Virtuelle Verfolgungsjagden
> Jahrelang nutzte die Koobface-Gang tausende infizierte Rechner für
> illegale Geschäfte. Nun wurde die Gang enttarnt - weil ihre eigenen
> Rechner schlecht geschützt waren.
(IMG) Bild: Freizügige Selbstdarstellung im Netz: Eines der Koobface-Mitglieder mit Katze.
KÖLN taz | Es beginnt mit einem harmlosen Link auf Facebook. Ein lustiges
oder gar erotisches Video soll sich dahinter verbergen, der Absender ist
vermeintlich ein Freund. Wer darauf klickt, landet auf einer neuen Website,
die auch scheinbar den versprochenen Inhalt bereithält – alleine der
Flash-Player muss aktualisiert werden. Wer dieses vermeintliche Update
annimmt, steht fortan unter Kontrolle der Kriminellen.
Denn anstatt eine neue Version von Flash spielt die Seite ein
Kontrollprogramm auf den Rechner, das alle für Kriminelle interessanten
Daten ins Netz überspielt und obendrein weitere Rechner mit dem
Schadprogramm infiziert. Sie agieren wie Roboter, die die Befehle von einem
Fremden beziehen. Sie können Spam versenden, Werbung auf den Bildschirmen
ihrer Wirte austauschen oder gar Daten-Attacken starten, um Online-Händler
zu erpressen.
Koobface – ein Anagramm auf "Facebook" – war seit Jahren eines der
erfolgreichsten Botnetze der letzten Jahre. Bis zu 800.000 Computer
weltweit waren in den Diensten der Bande – von den Besitzern oft unbemerkt.
Für die Betreiber eines Botnetzes ist das essentiell: Die infizierten
Computer schicken die Daten der Kriminellen hin- und her und verschleiern
so die Spuren zu den tatsächlich Verantwortlichen. Die zentralen
Kommandoserver müssen nicht einmal direkt mit jedem infizierten Rechner in
Kontakt treten. Ermittlungen gegen die Betreiber sind daher oft schwer.
Dass die Verantwortlichen diesmal enttarnt werden konnten, liegt an ihrer
Arroganz und der [1][unermüdlichen Arbeit von Sicherheitsforschern],
darunter der Deutsche Jan Drömer. Zusammen mit dem Sicherheitsdienstleister
Sophos lieferte der 32jährige Hinweise an die Strafverfolgungsbehörden in
Deutschland und den USA. Die Daten-Ermittler profitierten vor allem von den
Fehlern, die die Kriminellen machten.
Auf einem der Kommando-Server, der die infizierten Rechner steuerte, ließen
sie zum Beispiel eine öffentlich einsehbare Statistiksoftware laufen – und
gaben damit den Ermittlern erste Einblicke in die Funktionsweise ihres
Netzes. Insgesamt, so schätzen die Ermittler, hätte der Betrieb des Netzes
jedes Jahr zwei Millionen Dollar eingespielt.
## Wohlfühlen im sozialen Netz
Einmal entdeckt, offenbarten die Kommandoserver immer neue Informationen.
So hatten die Betreiber offenbar für Kunden, die das Botnetz zu ihren
Zwecken mieten wollten, eine komfortable Kontaktmöglichkeit geschaffen:
Nachrichten wurden über das Netz direkt an die Mobiltelefone der fünf
Betreiber geschickt. Dumm nur, dass das verwendete Programm einfach
auslesbar war und so die verwendeten Handynummern offenbarte.
Auch Sicherheitskopien anderer Daten waren ungeschützt auf den Servern
verfügbar – darunter zum Beispiel Fotos des Arbeitsplatzes eines der
Beteiligten. Sein iPhone hatte zudem die genauen Koordinaten des Büros
abgespeichert. Die Kriminellen, die routiniert in andere Rechner
einbrachen, rechneten offenbar nicht damit, dass ihre Rechner selbst genau
so verwundbar waren.
Das Kuriose: Obwohl die Kriminellen millionenfach die Nutzer auf Facebook
hereingelegt haben, fühlten sie sich selbst wohl in der Welt der sozialen
Netze. So war es den Privatermittlern auch möglich, die Orte zu finden, an
denen die Bande ihre Urlaube verbrachte – als ob die Beteiligten die
Gründer eines ganz normalen Startup-Unternehmens wären.
Einer der Beteiligten nutzte gar den Dienst Foursquare, um immer zeitnah zu
veröffentlichen, wo er sich gerade befand. Und so konnte Facebook am
Mittwoch die Identität von fünf Männern enthüllen, die offenbar in Sankt
Petersburg bekannt geben – samt Fotos und zahlreicher weiterer Details.
Mit der Enttarnung der Namen wollen Facebook und Sicherheitsforscher das
Geschäftsmodell der Bande, die sich auch "Ali Baba + 4" nannte, nachhaltig
stören. Zumindest zeitweilig hat das Erfolg: Seit ihrer Enttarnung jedoch
bemühen sich die Beschuldigten, ihre Spuren im Netz zu verwischen. Auch das
Koobface-Botnetz verhält sich seitdem ruhig. Ob die beschuldigten Männer
noch weitere Konsequenzen zu befürchten haben, ist aber unklar. Laut einer
[2][Meldung der Nachrichtenagentur Reuters] wurden die russischen Behörden
noch gar nicht informiert.
20 Jan 2012
## LINKS
(DIR) [1] http://nakedsecurity.sophos.com/koobface/
(DIR) [2] http://ca.reuters.com/article/technologyNews/idCATRE80I05720120119?sp=true
## AUTOREN
(DIR) Torsten Kleinz
## TAGS
(DIR) Ausbeutung
(DIR) Schwerpunkt Meta
## ARTIKEL ZUM THEMA
(DIR) Billigarbeiter in der Spamindustrie: Werbung aus dem Sweatshop
Captchas sind Rätsel, die kein Computer lösen kann und Spammails verhindern
sollen. Doch die Spamindustrie weicht geschickt aus: Sie nutzt
Billigarbeiter aus Asien.
(DIR) Hacker knacken das Sality-Botnetz: Feuer mit Feuer bekämpfen
Weitgehend unbeachtet haben Kriminelle tausende Rechner durch einen Virus
übernommen. Hacker haben nun eine Methode entwickelt, sie zu bekämpfen –
doch legal ist das nicht.
(DIR) Facebook und personalisierte Werbung: 40 Mitarbeiter stehen auf "Kinky Sex"
Das Online-Netzwerk Facebook erlaubt es Werbetreibenden, ihre Zielgruppe
bis ins Detail zu bestimmen - Wohnort, Interessen und mehr. Das kann
peinlich werden.
(DIR) IT-Sicherheitsforscher über Müll-E-Mails: "Spam lohnt sich immer"
Thorsten Holz von der Uni Bochum forscht im Bereich Datenschädlinge und
drang mit Kollegen in einen Spam-Ring vor. Elektroschrott-Mails kosten
Kriminelle kaum Geld.
(DIR) Social Hacking bei Facebook: Vermeintliche Updates sind Viren
PC-Nutzer laden sich die meisten Computerviren selbst herunter. Mit „Social
Hacking“ will ein Virus auch den 120 Millionen Mitgliedern von Facebook
ihre Kontodaten entlocken.