Bot-Netze: Struktur des Internets gewährleistet den Botnetz-Betreibern Anonymität

Vielzahl von kriminellen Aktivitäten über Bot-Netze: Von der Spam-Versendung bis zu Angriffen auf staatliche Netzwerke

(02.06.08) - Kaspersky Lab hat eine Analyse mit dem Titel "Bot-Netze - Geschäfte mit Zombies" veröffentlicht. Der Artikel von Vitaly Kamluk, Virenanalyst bei Kaspersky Lab, beschäftigt sich mit dem Aufbau und Einsatz von Bot-Netzen, die sich im Laufe der letzten Jahre zu einer der gefähr-lichsten IT-Bedrohungen entwickelt haben. Diese Analyse ist der Start eine Reihe von Artikeln zum Thema Bot-Netze.

Bot-Netze gibt es schon seit etwa zehn Jahren und ungefähr genau so lange warnen Experten bereits vor der Gefahr, die von ihnen ausgeht. Trotzdem wird das Problem weiterhin unterschätzt. Vielen Anwendern ist nicht klar, worin die tatsächliche Bedrohung durch Bot-Netze besteht - sofern ihnen nicht bereits die Internetverbindung gekappt, Geld von der Kreditkarte abgebucht oder das E-Mail-Postfach bzw. der IM-Account gestohlen wurde.

Ein Botnetz ist ein Zusammenschluss von Computern, die mit einem Schadprogramm infiziert sind, das es Cyberkriminellen ermöglicht, die befallenen Rechner remote (also aus der Ferne) zu steuern. Die speziell zum Aufbau von Bot-Netzen entwickelten Schadprogramme nennt man Bots.

Bot-Netze verfügen über gewaltige Rechenressourcen, sie sind eine bedrohliche Waffe im Cyberspace und zudem ein effektives Mittel zum illegalen Gelderwerb. Die zu einem Botnetz gehörenden Computer können von den Cyberkriminellen von jedem beliebigen Standort aus gesteuert werden - Stadt, Land und sogar Kontinent spielen keine Rolle - und die Struktur des Internets gewährleistet den Botnetz-Betreibern dabei Anonymität.

Der Anwender eines befallenen Computers ahnt in der Regel nicht, dass sein Rechner von Kriminellen genutzt wird. Bei den meisten ferngesteuerten Rechnern - den Zombies - handelt es sich um PCs von Heimanwendern. Bot-Netze können zu einer Vielzahl von kriminellen Aktivitäten genutzt werden – von der Versendung von Spam bis hin zu Angriffen auf staatliche Netzwerke.

Spam-Versendung

Hierbei handelt es sich um die am weitesten verbreitete - und dabei eine sehr einfache - Art, Bot-Netze zu kriminellen Zwecken zu nutzen. Nach Einschätzungen von Experten werden derzeit über 80 Prozent aller Spam-Mails von Zombie-Computern verschickt. Dabei wird Spam nicht zwangsläufig von den Betreibern der Netze verschickt. Gegen Bezahlung können die Bot-Netze von Spammern angemietet werden. Nach Experten-Schätzungen verdient ein durchschnittlicher Spammer zwischen 50.000 und 100.000 Dollar im Jahr. Aus abertausenden Computern bestehende Bot-Netze ermöglichen es den Spammern, über die infizierten Rechner innerhalb kürzester Zeit Millionen von Spam-Mails zu versenden.

Cyber-Erpressung

Am zweithäufigsten verdienen Cyberkriminelle Geld mit Bot-Netzen, indem sie mehrere hundert-tausend infizierte Rechner zur Durchführung so genannter DDoS-Attacken (Distributed Denial of Service) einsetzen. Dabei werden die angegriffenen Server mit einer Unmenge von falschen Anfragen überhäuft. Irgendwann kann der Server die Anfragen nicht mehr bearbeiten und ist auf Grund von Überlastung für Anwender nicht mehr erreichbar. In der Regel fordern die Kriminellen Geld, damit sie die Angriffe einstellen.

Heute arbeiten viele Firmen ausschließlich über das Internet. Sind ihre Server nicht erreichbar, bedeutet das den völligen Geschäftsstillstand, was wiederum zu finanziellen Verlusten führt. Um ihre Server wieder so schnell wie möglich zu stabilisieren, erfüllen Unternehmen eher die Forderungen der Erpresser, als sich an die Polizei zu wenden. Genau darauf spekulieren die Cyberkriminellen und DDoS-Attacken nehmen daher beständig zu.

DDoS-Attacken werden aber auch zu politischen Zwecken eingesetzt. In diesen Fällen sind meist die Server von staatlichen Institutionen oder von Regierungsorganisationen Ziel der Angriffe. Diese Art von Attacken ist deshalb besonders gefährlich, da sie auch zur Provokation durch ein Drittland genutzt werden könnte: Der Cyberangriff eines Landes kann über Server, die sich in einem anderen Land befinden, umgesetzt werden, wobei sie unter Umständen von einem dritten Land aus gesteuert werden.

Anonymer Internetzugang

Kriminelle können über die Zombie-Computer Verbindung zu Internet-Servern herstellen und im Namen der infizierten Rechner Verbrechen begehen, z.B. Websites hacken oder gestohlenes Geld transferieren.

Verkauf und Vermietung von Bot-Netzen

Auch durch den Verkauf oder die Vermietung von Bot-Netzen kann illegal Geld verdient werden. Der Aufbau von zum Verkauf bestimmten Bot-Netzen ist ein gesonderter Zweig des Cyberkriminellen-Business.

Phishing

Adressen von Phishing-Sites landen unter Umständen recht schnell auf verschiedenen Blacklists. Indem die Phisher die infizierten Computer eines Bot-Netzes als Proxy-Server verwenden, können sie die Adresse der Phishing-Site schnell ändern und die tatsächliche Adresse ihres Webservers verschleiern.

Diebstahl vertraulicher Daten

Der Diebstahl vertraulicher Daten ist und bleibt für Cyberkriminelle überaus attraktiv und mit Hilfe von Bot-Netzen wird die Ausbeute an verschiedenen Passwörtern (für den Zugang zu E-Mail, ICQ, FTP-Ressourcen und Web-Services) und anderen vertraulichen Anwenderdaten unter Umständen um ein Tausendfaches größer! Der Bot, mit dem die Computer innerhalb des Zombie-Netzes infiziert sind, kann andere Schadprogramme herunterladen, zum Beispiel Trojaner, diese wiederum stehlen Passwörter. In so einem Fall werden alle zum Botnetz gehörenden Computer mit dem entsprechenden Trojaner infiziert und den Kriminellen fallen alle auf den Zombie-Rechnern gespeicherten Passwörter in die Hände. Die gestohlenen Passwörter werden verkauft oder zur massenhaften Infizierung von Websites verwendet (z.B. die Passwörter für alle gefundenen FTP-Accounts). Auf diese Weise wird das schädliche Bot-Programm weiter verbreitet und das Zombie-Netz vergrößert.

Geschäfte mit Bot-Netzen

Bot-Netze sind und bleiben ein Problem, und ihre Entwicklung wird immer weiter vorangetrieben. Denn mittlerweile hat sich ein kompletter illegaler Markt für derartige Zombie-Netzwerke gebildet. Cyber-Kriminelle, die Bot-Netze zu ihren Zwecken einsetzen wollen, benötigen heute weder spezielle Kenntnisse noch größeres Eigenkapital. Die illegale Botnetz-Industrie bietet allen Interessenten zu moderaten Preisen Bot-Netze im Gesamtpaket: Darin enthalten sind

· Software,

· anonyme Hosting-Services und

· fertige Netze

Software: Die erste Voraussetzung für den Aufbau eines Bot-Netzes ist der erwähnte Bot. Die notwendige Software wird im Internet illegal angeboten. Man muss die entsprechenden Angebote lediglich finden und sich dann an die kriminellen "Anbieter" wenden.

Anonyme Hosting-Services: Für den Aufbau eines simplen Web-orientierten Zombie-Netzes wird Hosting-Space benötigt, auf dem das Steuerungszentrum untergebracht werden kann. Jeder Interessent kann solchen Platz erwerben - inklusive Supportservice und der Möglichkeit, den Server anonym zu nutzen (in der Regel garantiert der Hoster, dass auf die Journaldateien - auch von den zuständigen Organen - nicht zugegriffen werden kann).

Fertige Netze: Ist der Command&Control Server, die zentrale Steuerungseinheit des Bot-Netzes, eingerichtet, fehlen nur noch die mit dem Bot infizierten Computer. „Interessenten“ können ein fertiges Netz mit "fremden" Bots kaufen. Da der Diebstahl von Bot-Netzen im Cyberkriminellen-Milieu aber keine Seltenheit ist, tauschen die Käufer von Bot-Netzen in der Regel sowohl das Schadprogramm als auch das Steuerungszentrum aus und erhalten so die vollständige Kontrolle über das Zombie-Netz.

Fazit

Zum gegenwärtigen Zeitpunkt gehören Bot-Netze zu den wichtigsten illegalen Einnahmequellen im Internet, und in den Händen von Kriminellen sind sie eine gefährliche Waffe. Man kann also kaum davon ausgehen, dass die Cyberkriminellen freiwillig auf ein derart effektives Instrument verzichten werden, und IT-Sicherheitsexperten erwarten für die Zukunft mit Sorge eine weitere Entwicklung der Botnetz-Technologie.

Nicht nur Cyberkriminelle könnten an dem Aufbau von internationalen Bot-Netzen interessiert sein, sondern auch Staaten, die die Zombie-Netze als politisches Druckmittel und Waffe in sog. "Cyberkriegen" gegen andere Staaten einzusetzen bereit sind. Da die infizierten Computer unabhängig von ihrem geografischen Standort anonym gesteuert werden können, bieten sie auch demjenigen, der Interesse an einem Konflikt hat, die Möglichkeit, derartige Kriege - als Einzel-person! - zwischen zwei Staaten zu provozieren. Zu diesem Zweck muss lediglich ein Angriff auf die Server des einen Landes von Computern des anderen Landes aus organisiert werden.

Netzwerke, die die Ressourcen von Dutzenden, mehreren hunderttausend und zum Teil Millionen infizierten Computern vereinen, verfügen über ein äußerst gefährliches Potential, das bisher noch nicht voll ausgeschöpft wird. Dabei stützt sich diese geballte Cyber-Macht auf infizierte Computer von Heimanwendern, die die überwiegende Mehrheit der Zombie-Computer stellen und von den Kriminellen zu ihren Zwecken ausgenutzt werden. (Kaspersky: ra)