Druckversion - Operation "Ghost Click": FBI entlarvt riesiges PC-Paras...

http://www.spiegel.de/netzwelt/web/0,1518,druck-796965,00.html

10. November 2011, 16:14 Uhr

Operation "Ghost Click"

FBI entlarvt riesiges PC-Parasiten-Netzwerk

Von Matthias Kremp Die Vorarbeit dauerte fnf Jahre, jetzt ist dem FBI der bisher grte Schlag gegen Betreiber eines sogenannten Botnets gelungen. Die Kriminellen hatten die Kontrolle ber Millionen Computer bernommen und mit gezielt platzierter Schadsoftware ein Vermgen gescheffelt. Gebannt ist die Gefahr noch nicht. Hamburg - Dem Sicherheitsunternehmen Trend Micro zufolge ist die Operation "Ghost Click" der bisher grte Schlag gegen Computer-Kriminelle. Im Rahmen einer international koordinierten Aktion haben estnische Behrden sechs mutmaliche Betreiber eines riesigen sogenannten Botnets festgenommen. Den Mnnern wird vorgeworfen, Millionen PC mit Schadsoftware infiziert und zu illegalen Zwecken missbraucht zu haben. Gleichzeitig durchsuchte das FBI ein Rechenzentrum in New York, stellte dort mehr als hundert Server sicher, ber die das Zombie-Netzwerk ferngesteuert worden sein soll. Die Kriminellen hatten die Rechner mit einer Software namens DNSChanger infiziert, welche die DNS-Einstellungen der Rechner manipulierte. Das DNS-System wird im Internet dazu benutzt, benutzerfreundliche Web-Adressen (wie www.spiegel.de) in computertaugliche Netzwerkadressen (195.71.11.67) zu bersetzen (siehe Kasten). Indem sie die DNS-Abfragen der betroffenen Rechner auf manipulierte DNS-Server umleiteten, konnten die Kriminellen gezielt Werbeeinblendungen an die Rechner senden, Suchergebnisse manipulieren oder weitere Schadsoftware nachladen lassen. Ausgenutzt haben die Tter diese Mglichkeiten dem FBI zufolge zum Beispiel so: Anwender, die Apples offizielle iTunes-Seite aufrufen wollten, seien zum Angebot eines Unternehmens umgeleitet worden, das mit Apple in keinerlei Beziehung stehe und vorgab, Apple-Software zu verkaufen. 14 Millionen Dollar Gewinn Dem FBI zufolge kontrollierten die Betreiber des Botnets auf diese Weise allein in den Vereinigten Staaten eine halbe Million Computer. Betroffen seien neben Privatpersonen auch Firmen, Behrden und die Nasa. Weltweit sollen rund vier Millionen Computer in 100 Lndern Teil des Netzwerks gewesen sein. ber manipulierte Anzeigenplatzierungen haben die Kriminellen laut FBI mindestens 14 Millionen Dollar (umgerechnet etwa 10,4 Millionen Euro) eingenommen. Die zustndige FBI-Direktorin Janice Fedarcyk erklrte, es habe sich um eine "internationale Verschwrung, geplant und ausgefhrt von raffinierten Kriminellen" gehandelt. Durch die Infektion der Rechner mit Schadsoftware seien diese zudem nicht einfach nur zu illegalen Einnahmequellen umgewandelt worden. Indem der Schdling das automatische Einspielen von Updates verhinderte und die Funktion von Anti-Viren-Software beeintrchtigte, seien die betroffenen PC berdies zustzlichen Bedrohungen durch Schadsoftware ausgesetzt worden. Schner Schein Erst jetzt gab das Sicherheitsunternehmen Trend Micro bekannt, man sei den Botnet-Betreibern bereits seit 2006 auf der Spur gewesen, habe die Informationen aber vor der ffentlichkeit zurckgehalten, um die Arbeit der Ermittlungsbehrden nicht zu beeintrchtigen. Bereits damals hatte man festgestellt, dass in der Trojanersoftware DNSChanger die Internetadressen einiger Server fest eingegeben waren, die zu dem Netzwerk des estnischen Providers Esthost gehren. Esthost ist ein Tochterunternehmen von Rove Digital, einer Firma aus der zweitgrten estnischen Stadt Tartu. Unter den nun Verhafteten soll laut Trend Micro auch eine Fhrungskraft von Rove Digital sein. Laut Trend Micro sei bereits 2008 bekannt gewesen, dass das Unternehmen diverse kriminelle Kunden habe. Log-Dateien gaben weitere Hinweise Es dauerte allerdings noch Jahre, fr diese Vermutungen stichhaltige Beweise zu finden. Inwieweit die Ermittler von Trend Micro dabei selbst die Grenzen der Legalitt berschritten haben, ist nicht klar. Im Firmenblog schildern sie, unter anderem in den Besitz von Serverdaten und sogar kompletten Kopien von Festplatten zweier Server aus dem Netzwerk von Rove Digital gekommen zu sein. Von diesen Servern

1 von 2

10.11.2011 16:17

Druckversion - Operation "Ghost Click": FBI entlarvt riesiges PC-Paras...

http://www.spiegel.de/netzwelt/web/0,1518,druck-796965,00.html

seien Werbeeinblendungen auf die befallenen Rechner ausgeliefert worden. Schlsseldateien auf den Festplatten lieferten zudem Hinweise darauf, das die Schadsoftware-Server tatschlich vom Rove-Digital-Bro in Tartu aus gesteuert wurden. Zudem wurden Log-Dateien sichergestellt, in denen die Daten von Opfern festgehalten waren, die auf geflschte Anti-Viren-Software hereingefallen waren. Zwischen diesen Eintrgen waren immer wieder auch Vermerke zu offensichtlichen Testkufen durch Mitarbeiter von Rove Digital zu finden. Darber hinaus habe man noch viel weiteres Beweismaterial gegen Rove Digital zusammengetragen und das Botnet bis zum 8. November beobachtet. An diesem Tag wurden die Verdchtigen festgenommen und ihre Server auer Betrieb gesetzt. Das Problem ist noch nicht gelst Entwarnung knne man trotzdem nicht geben, erklrt Janice Fedarcyk vom FBI. Zwar seien die manipulierten DNS-Server mittlerweile durch korrekt arbeitende Maschinen ersetzt worden, das Problem sei damit aber noch nicht gelst. Schlielich habe man die Schadsoftware nicht von den betroffenen Rechnern entfernen knnen. Zwar kann die nun nicht mehr mit ihren Kontroll-Servern kommunizieren, halte aber immer noch ein Tor fr weitere Schadprogramme offen. Anwendern, die frchten, ihre Rechner knnten infiziert sein, rt das FBI, sich professionelle Hilfe zu suchen, um den PC zu berprfen. Fr eine schnelle berprfung, ob man vom DNSChanger-Trojaner betroffen ist, hat die Behrde eine Seite eingerichtet, auf der man die DNS-Einstellungen seines Rechners kontrollieren kann. Dort findet man auch ein Dokument mit Hinweisen (PDF), wie man die aktuellen DNS-Einstellungen auf PC und Mac auslesen kann.

URL: http://www.spiegel.de/netzwelt/web/0,1518,796965,00.html MEHR IM INTERNET Dokument mit Hinweisen zum DNSChanger (PDF) http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changermalware.pdf DNS-berprfung beim FBI https://forms.fbi.gov/check-to-see-if-your-computer-is-using-rogue-DNS Trend Micro http://blog.trendmicro.com/esthost-taken-down-%E2%80%93-biggest-cybercriminaltakedown-in-history/ Pressemitteilung des FBI http://www.fbi.gov/news/stories/2011/november/malware_110911/malware_110911 SPIEGEL ONLINE ist nicht verantwortlich fr die Inhalte externer Internetseiten.

SPIEGEL ONLINE 2011 Alle Rechte vorbehalten Vervielfltigung nur mit Genehmigung der SPIEGELnet GmbH

2 von 2

10.11.2011 16:17