Trend-Micro-Studie

Krieg im Darknet: Rivalität im Cyber-Untergrund

(Bild: thinkstockphotos.de)

Die Kunde vom Darknet, dem verborgenen Winkel des Internets, in dem sich Pädophile tummeln, Auftragskiller ihre Dienste anbieten und Drogendealer ihre Ware verkaufen, hat sich unter Kriminellen schnell verbreitet. Immer mehr Ermittler nehmen deshalb den Cyber-Untergrund ins Visier. Doch nicht nur sie versuchen, Darknet-Angebote zu infiltrieren. Eine Studie zeigt, dass auch die Kriminellen selbst einen versteckten Krieg untereinander führen.

Zu dieser Erkenntnis kommt der IT-Sicherheitsspezialist Trend Micro, der gemeinsam mit den Experten Onur Catakoglu und Davide Balzarotti die erste Studie zu Hacker-Aktivitäten im Darknet durchgeführt haben. Ihre Erkenntnis: Der Zusammenhalt zwischen Cyberkriminellen ist offenbar ziemlich gering. Vielmehr versuchen manche von ihnen, die Angebote ihrer Gegner zu unterwandern und sie aus dem Verkehr zu ziehen.

Honeypot-Server als Köder für Hacker
Den Beweis haben die Forscher mit einem sogenannten Honeypot angetreten. Dabei wird eine Köder-Website online gestellt und überwacht. Die Cyberangriffe, die Forscher bei solchen Honeypots beobachten, muss man auch bei regulären Websites erwarten. Im durch Suchmaschinen erschlossenen Teil des Internets ist diese Methode gängige Praxis, im Darknet wurde sie bisher aber nicht angewandt.

(Bild: Fotolia)

Beim Experiment mit ihrem Darknet-Honeypot beobachteten die Forscher einerseits automatisierte Angriffe, wie man sie auch bei Websites außerhalb des Darknet verzeichnet. Hier schlüpfen die Attacken durch sogenannte TOR-Proxies, also Verbindungsdienste zwischen normalem Web und Darknet, in den digitalen Untergrund. Interessanter waren allerdings die gezielten Attacken menschlichen Ursprungs, die entdeckt wurden.

Darknet-Hacker gehen äußerst vorsichtig vor
Insgesamt haben Angreifer 287 Dateien auf den Honeypot hochgeladen. Die Uploads zeugen davon, dass die Angreifer sich den Honeypot-Server genau angesehen haben: Zwar haben Dutzende Hacker die aufgestellten Köder inspiziert, die meisten löschten ihre bereits hochgeladenen Daten aber sofort wieder, als sie bemerkten, was es mit dem Server auf sich hatte. Andere hinterließen Botschaften - oder leiteten den Traffic vom Honeypot auf Pornoseiten um.

Diese Infografik erklärt, was es mit dem Darknet auf sich hat. Es ist die unterste Schichte des Internets: Ganz oben surfen Normalnutzer im sogenannten Surface Web, das durch Suchmaschinen erschlossen ist. Im darunter liegenden Deep Web finden sich Angebote, die nicht durch Suchmaschinen besucht werden - etwa, weil eine Registrierungspflicht herrscht. Ganz unten ist schließlich das Darknet, das nur mit Hilfsmitteln wie TOR zugänglich ist. Hier tummeln sich all jene, denen Anonymität ein Anliegen ist - sei es, weil sie illegalen Geschäften nachgehen oder weil sie sich staatlichen Repressionen entziehen wollen.