Ausgerechnet von der norddeutschen Provinz aus gelang der Schlag gegen das weltweit agierende Hackernetzwerk „Avalanche“. 50.000 deutsche Rechner sind immer noch unfreiwillig Teil seines Botnetzes.
Ermittlungen über vier lange Jahre, internationale Kooperation in 41 Staaten, Verhaftung von Tätern in der Ukraine, Beschlagnahmung von Dutzenden Servern. Was die Staatsanwaltschaft Verden und die Polizeidirektion Lüneburg in der norddeutschen Provinz auf die Beine gestellt haben, um eine weltweit agierende Gruppe von Internetkriminellen auszuheben, ist bislang beispiellos in Deutschland.
Mithilfe des Bundesamtes für Sicherheit in der Informationstechnik (BSI) konnten sie eine Hackerbande ausheben, an der sich seit mindestens 2009 Ermittler weltweit die Zähne ausbeissen. Am Donnerstag gaben die Ermittler in der Polizeidirektion Lüneburg den erfolgreichen Abschluss ihrer jahrelangen Ermittlungsarbeit bekannt, nun folgen die Aufräumarbeiten: Allein 50.000 Rechner von deutschen Onlinenutzern sind unfreiwillig und von ihren Besitzern unerkannt Teil der Infrastruktur aus gehackten Computern, die den Tätern ihr Treiben ermöglichte.
Avalanche fiel erstmals 2008 auf
Avalanche ist Grundlage einer gewaltigen weltweiten Infrastruktur aus gehackten Computern, mittels derer die Hacker diverse Onlineverbrechen begehen konnten. Grundlage war immer Steuersoftware, die die Hacker per Phishing-Mail oder über die Infektion von Webseiten auf den Rechnern der Opfer installierten. Waren die gehackten Rechner erst einmal Teil des Netzwerkes der Verbrecher und unter der Kontrolle ihrer Steuerserver, hatten diese die Wahl.
Sie konnten die Rechner zum Versenden weiterer E-Mails mit Schadsoftware einsetzen, um ihre Netzwerke zu erweitern. Sie konnten die Computer der Opfer mit Erpressungssoftware infizieren, etwa um die Opfer von ihren Computern auszusperren und Lösegeld zu verlangen. Nicht zuletzt konnten die Hacker Onlinebankingkunden identifizieren, deren Kontodaten abfischen und sogar die Anzeige von Kontodaten im Browser manipulieren, um das Konto unentdeckt leer zu räumen. Welche Varianten von Schadsoftware die Hacker nutzten, listet das BSI hier auf.
Erstmals aufgefallen war die Avalanche-Gruppe bereits 2008, als sie in großem Maße Phishing-Mails verschickten und eines der ersten größeren Botnetze aufbauten. Dann begann ein Wettlauf zwischen Sicherheitsforschern und Hackern. Die Wissenschaftler konzentrierten sich darauf, die Internetdomains der Kontrollserver von Avalanche zu identifizieren und aus dem Netz zu nehmen.
Die Hacker wiederum mieteten über Dienstleister in Osteuropa und Asien eine Domain nach der anderen, um der Verfolgung zu entgehen und die Kotrolle über ihre Netzwerke zu erhalten. Dieses Katz-und-Maus-Spiel half den Opfern jedoch nur bedingt – ihre Rechner blieben zumeist weiter infiziert und damit Teil der Hackerinfrastruktur.
Zusammenarbeit mit BSI, Symantec und FBI
Als Sicherheitsforscher von Symantec 2012 entdeckten, dass eine Erpresser-Schadsoftware namens Trojan.Ransomlock.P sowie ein Trojaner zum Onlinebankingbetrug namens Trojan.Bebloh dieselben Steuerserver nutzten, sahen sie einen Ansatz, die Täter hinter der Software zu fangen. Die Bebloh-Software war auf deutschsprachige Internetnutzer zugeschnitten und hatte bereits die Aufmerksamkeit der Staatsanwaltschaft Verden erweckt, die als Schwerpunkt-Staatsanwaltschaft im Bereich Onlinekriminalität ermittelt.
Zusammen mit Symantec, dem BSI sowie in Kooperation mit dem FBI investierten die Ermittler Zeit in die Analyse der Hackerinfrastruktur. Sie fanden heraus, das insgesamt gut 20 verschiedene Malwarevarianten über die Kontrollserver der Täter gesteuert wurden.
„Die Tücke einer ausgefeilten Botnetz-Infrastruktur liegt darin, dass allein das Abschalten eines einzelnen Botnetzes nicht ausreicht, um die kriminellen Angriffe zu unterbinden“, erklärte Oberstaatsanwalt Frank Lange, Leiter der Zentralstelle für Cybercrime der Staatsanwaltschaft. „Die Aufgaben der entdeckten und unschädlich gemachten Server werden schlagartig von den Servern der anderen Botnetze übernommen, bis ein neues weiteres Botnetz aufgebaut wird“.
In vier Jahren Ermittlungsarbeit gelang es, die Verantwortlichen hinter diesen Steuerservern zu finden. In dieser Woche schlugen sie zu, beschlagnahmten Server und deren Steuerdomains gleichzeitig, leiteten den Verkehr der Netze um, verhafteten die Köpfe der Organisation. Ob das reicht, um Avalanche dauerhaft offline zu nehmen, bleibt abzusehen.
Provider melden sich bei Betroffenen
Nun muss das BSI dafür sorgen, dass keine Nachfolgeorganisation der Hacker erneut Kontrolle über die Rechner der Opfer erlangt. Erste Vorraussetzung dafür ist die sichere Identifikation aller Computer, die Teil von Avalanche waren. Das BSI setzt dafür sogenannte Sinkhole-Server ein.
Sie übernehmen die Rolle der im Rahmen der Ermittlungen abgeschalteten Steuerserver des Botnetzes und fangen sämtliche Kommunikationsversuche ab, die die Schadsoftware auf den gehackten Rechnern auf der Suche nach ihren abgeschalteten Steuerservern ins Netz sendet. Das stellt einerseits sicher, dass die noch nicht verhafteten Kriminellen der Avalanche-Bande mittels neu aufgesetzter Steuerserver nicht erneut Kontrolle über ihr Botnetz erlangen, und liefert dem BSI andererseits eine Liste aller IP-Adressen der am Botnetz beteiligten Computer.
Diese IP-Adressen gibt das BSI nun an die Internetprovider der Opfer weiter. Diese werden anhand der Adressen identifizieren, welche ihrer Kunden gehackt wurden und diese per Anschreiben warnen. Die Kundendaten bleiben damit beim Provider, das BSI und die Ermittler erhalten keinen Einblick.
Wer nun Post von seinem Provider bekommt, sollte diese ernst nehmen und seinen Rechner mit einem aktuellen Virenscanner auf Schadsoftware scannen – am besten von einem USB-Stick aus, der unabhängig vom infizierten Betriebssystem ist. Eine Lösung für den Start des Rechners per USB bietet zum Beispiel der Heise-Verlag mit dem Projekt Desinfec’t. Eine Anleitung mit empfohlenen Virenscannern liefert auch das BSI.
Antworten