Universität des Saarlandes

FBI holt sich deutsche Hilfe gegen Cyber-Mafia

30.09.14 | Autor / Redakteur: Gordon Bolduan / Peter Koller

Die Urkunde des FBI für den anonymen Informatiker der Saar-Uni
Die Urkunde des FBI für den anonymen Informatiker der Saar-Uni (Jörg Pütz/Universität des Saarlandes)

Für seine Unterstützung bei einer Attacke auf ein Netzwerk von Cyberkriminellen ist ein Informatiker der Universität des Saarlandes von der US-Bundespolizei FBI ausgezeichnet worden.

Eine Bande von Cyberkriminellen hatte über Jahre hinweg bis zu einer Million Rechner manipuliert. Diese durchforsteten sie nicht nur nach Finanz- und Privatdaten, sondern schlossen sie auch zu einem Netzwerk zusammen, mit dem sie Unternehmen erpressten und Spam verbreiteten. Dieses Netzwerk war technologisch so fortschrittlich, dass der US-Inlandsgeheimdienst FBI, Europol und die britische National Crime Agency eine Handvoll von Wissenschaftlern um Hilfe baten. Diese forschten mehrere Monate an einem Angriff. Ende Mai fochten sie ihn über zwei Wochen hinweg aus. Für seine Expertise und seinen Einsatz hat das FBI nun einen Informatiker der Universität des Saarlandes ausgezeichnet.

Botnetze sind die Infrastruktur für Cyberkriminelle

Der Begriff Bot ist eine Abkürzung für Roboter. Denn nichts anderes sind die Rechner und Server von ahnungslosen Bürgern, nachdem Internet-Gangster sie mit bösartigen Programmen infiziert haben. Diese erlauben es den Ganoven, die fremden Rechner nach Belieben aus der Ferne zu steuern und sie sogar zu einer Angriffs-Armee, einem sogenannten Botnetz, zusammenzuschließen. Auf diese Weise bieten Botnetze die entscheidende Infrastruktur für Cyberkriminelle. Mit ihnen verschicken sie Spam, spähen Daten aus oder erpressen Betreiber von Internetseiten. Zahlen sie nicht, lässt der „Botmaster“ seine manipulierten Rechner alle auf einmal auf deren Webseite zugreifen, so dass diese unter der Last zusammenbricht.

An den Weihnachtsfeiertagen im Jahr 2012 führte eine Gruppe ukrainischer und russischer Hacker mit dem Botnetz „Gameover Zeus“ einen solchen „Denial of Service Angriff“ gegen die Internetseite einer US-amerikanischen Bank durch. Damit lenkten sie von einem virtuellen Diebstahl ab, der ihnen 900.000 US-Dollar einbrachte. Laut Aussage des Sicherheits-Experten Brian Krebs bringt die US-amerikanische Justizbehörde „Gameover Zeus“ insgesamt mit Bankeinbrüchen in einer Höhe von 100 Millionen US-Dollar in Verbindung. Doch nicht nur die Höhe der Schäden ließen die Behörden erschaudern, sondern auch die technische Raffinesse des Botnetzes, das weltweit 500.000 bis eine Million Windows-Rechner umfasst.

Einfache Botnetze verfügen über einen zentralen Aufbau, der Botmaster sitzt in der Mitte und befiehlt die Bots. „Wenn dieser zentrale Server vom Netz genommen wird, dann funktioniert das ganze Botnetz nicht mehr“, erklärt der Informatiker an der Universität des Saarlandes, dessen Namen aus Sicherheitsgründen nicht genannt wird. Bei Gameover Zeus ist dies schwieriger: Neben dessen verschlüsselter Kommunikation machte es auch dessen Aufbau gegen bisherige Angriffe nahezu unverwundbar. Ähnlich wie Netzwerke zum Tauschen von Filmen ist es dezentral aufgebaut, die notwendige Infrastruktur somit verteilt. Sie kann nicht mehr durch die Zerstörung eines einzelnen Rechners zerschlagen werden. Die Bots werden hier über sogenannte Proxies gesteuert. Das sind Rechner, die sowohl die gestohlenen Daten an den Dienstrechner des Botmasters als auch dessen Befehle an die Bots weiterleiten.

„Domain Generation Algorithm“ macht das Botnetz noch robuster

Um das Netzwerk noch robuster gegen Angriffe zu machen, generiert jeder Bot mit Hilfe eines „Domain Generation Algorithm“ jede Woche eine Liste mit neuen Internet-Adressen, unter denen diese Proxies zu finden sind. Hören die Bots nichts von ihren bisherigen Befehlshabern, klappern die Bots solange diese Liste ab, bis die Befehlskette für den Auftrag neuer Verbrechen wieder geschlossen ist. „Früher dauerte es Tage, bis ein Botmaster seine Rechner-Armee nach einer Beschlagnahmung des zentralen Kommando-Servers wieder aufgestellt hatte, bei Gameover Zeus reichten ihm dafür wenige Minuten“, erklärt der Saarbrücker Informatiker die Brisanz dieser Entwicklung.

Daher wandte sich im November 2013 die US-amerikanische Bundespolizei, das Federal Bureau of Investigation (FBI), an eine Handvoll von Experten. Sie stammten von der Freien Universität Amsterdam, der Universität des Saarlandes und aus den Sicherheitsfirmen Crowdstrike und Dell Secureworks. Fortan tüftelten die angesprochenen Personen am Angriff, entwickelten Strategien gegen die Abwehrmaßnahmen der Botmaster und simulierten diese in Testnetzwerken, um Kollateralschäden auszuschließen. Von April bis Juni dieses Jahres flogen zwei Mitglieder der Gruppe zum FBI, um vor Ort den Angriff zu koordinieren.

„Durch den Zeitversatz zwischen USA und Europa konnten wir eine quasi 24-stündige Einsatzbereitschaft ermöglichen“, erklärt der Computerwissenschaftler der Universität des Saarlandes. Ende Mai begann der Angriff. „Der Angriff war sehr vielschichtig, da wir gleichzeitig mehrere Komponenten angreifen mussten“, so der Informatiker der Saar-Uni. Die Gruppe attackierte über zwei Wochen hinweg, dann war entschieden, dass sie „Gameover Zeus“ kontrollierten. „Es gibt zwar immer wieder Gerüchte, dass Gameover Zeus wieder durchstartet, doch dabei handelt es sich bisher um Netzwerke mit dem einfachen, leicht zu zerstörenden Aufbau“, erklärt der Saarbrücker Informatiker. Diesen Monat zeichnete das FBI die beteiligten Forscher für ihren Einsatz mit einer Urkunde aus.

Für ein besseres Internet: Höchster EU-Forschungspreis für Informatik-Professoren

ERC Synergy Grant

Für ein besseres Internet: Höchster EU-Forschungspreis für Informatik-Professoren

09.12.13 - Sie erforschen, wie man im Web Anwender gegen Ausspähung und Betrug schützen kann, ohne dabei Handel, freie Meinungsäußerung sowie den Zugang zu Informationen einzuschränken: Dafür haben vier Informatik-Professoren gemeinsam den mit zehn Millionen Euro höchst dotierten EU-Forschungspreis gewonnen, den „ERC Synergy Grant“. lesen

Saarbrücker Software enttarnt Spionage-Apps

Android-Sicherheit

Saarbrücker Software enttarnt Spionage-Apps

05.07.12 - Immer häufiger stellen Apps auf Smartphones und Tablets mehr an als sie vorgeben und leiten heimlich private Daten an Dritte weiter. Dagegen haben haben Saarbrücker Informatiker mit SRT AppGuard einen neuen Ansatz entwickelt. lesen

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 34472550 / Embedded Software Engineering)

Embedded Software Engineering Report abonnieren

4 mal jährlich: Die kostenlose Pflichtlektüre für Embedded­-Software- und Systems-Entwickler, von Analyse bis Wartung und Betrieb

* Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung und AGB einverstanden.
Spamschutz:
Bitte geben Sie das Ergebnis der Rechenaufgabe (Addition) ein.