"Zombie-Rechner"

FBI legt Botnetz mit vier Millionen infizierten PCs lahm

(Bild: thinkstockphotos.de, fbi.gov)

Die US-Ermittlungsbehörde FBI hat in Zusammenarbeit mit der estnischen Polizei und IT-Unternehmen ein Botnetz lahmgelegt, das über vier Millionen gekaperte Rechner in mehr als 100 Ländern weltweit kontrollierte. Die Hintermänner konnten im Rahmen der "Operation Ghost Click" genannten Polizeiaktion enttarnt und festgenommen werden.

Wie der Sicherheitsanbieter Trend Micro berichtet, hatte das Botnetz die sogenannten DNS-Einstellungen auf den infizierten Rechnern geändert, sodass die Websurfer nach Belieben der Cyberkriminellen auf fremde Seiten umgeleitet wurden.

Wer zum Beispiel auf einem befallenen Rechner die Website der US-Steuerbehörde IRS aufrufen wollte, landete stattdessen beim Online-Steuerberater H&R Block. Die Betrüger tarnten sich als rechtmäßige Werbevermittler und kassierten dafür eine im Internetgeschäft übliche Provision für die Weiterleitung.

Unerwünschte Werbeeinblendungen, manipulierte Suchergebnisse oder Versuche, die ahnungslosen Anwender mit falschen Alarmmeldungen zum Kauf vermeintlicher Antivirensoftware - sogenannte "FakeAV-Lösungen" - zu bewegen, seien nur einige der Taktiken gewesen, mit denen die Kriminellen aus ihrem riesigen Botnetz Profil geschlagen hätten.

Und das nicht zu knapp: Der Schaden durch sogenannten Klick-Betrug soll sich auf mindestens 14 Millionen US-Dollar (10,27 Millionen Euro). Die Schadsoftware selbst verfügte laut Trend Micro über leistungsfähige Verteidigungsmechanismen und verhinderte unter anderem die Aktualisierung von echten IT-Sicherheitslösungen.

Drahtzieher in Estland festgenommen
Drahtzieher hinter dem Netzwerk fremdgesteuerter Rechner war die im estnischen Tartu ansässige Firma "Rove Digital". Sie soll seit 2007 weltweit vier Millionen Rechner infiziert und kontrolliert haben, 500.000 davon alleine in den USA, wie das FBI mitteilte.

Der US-Behörde zufolge wurden in einer konzertierten Aktion von Ermittlungsbehörden und IT-Unternehmen mehr als 100 sogenannter Command-and-Control-Server zur Steuerung der infizierten Rechner vom Netz genommen, gleichzeitig verhaftete die estnische Polizei sechs Esten.

Ihre Auslieferung in die USA werde beantragt, hieß es. Bei einer Verurteilung drohen den Männern im Alter zwischen 26 und 33 Jahren im Höchstfall mehrere Jahrzehnte Haft. Ein Russe befinde sich noch auf freiem Fuß.

Eigenen Rechner auf Infektion prüfen
Das FBI weist ausdrücklich darauf hin, dass die verantwortliche "DNSChanger"-Malware trotz Abschaltung des Botnetzes auf infizierten Rechnern bestehen bleibe. Über die Website der Behörde können Nutzer mithilfe der IP-Adresse ihres DNS-Servers prüfen, ob ihr Rechner infiziert wurde.

Windows-Nutzer können diese nach Öffnen der Kommandozeile ("cmd" in Starleiste eingeben) über den Befehl "ipconfig/all" in Erfahrung bringen. Die IP-Adresse findet sich rechts des Eintrags "DNS-Server".

Laut Bundeskriminalamt dürfte Österreich jedoch nicht unter den betroffenen Ländern sein.

Betrügerischer Spam um Faktor 20 gestiegen
Wie wichtig ein organisiertes Vorgehen gegen die Betreiber von Botnetzen ist, macht indes auch eine am Donnerstag veröffentlichte Studie des Sicherheitsanbieters Kaspersky deutlich, der zufolge das Spam-Aufkommen trotz eines leichten Rückgangs im dritten Quartal um 2,7 Prozentpunkte noch immer 79,8 Prozent des gesamten E-Mail-Verkehrs ausmacht. Der Anteil an Betrugsmails mit infiziertem Anhang oder verseuchten Links sei um das Zwanzigfache gestiegen, so Kaspersky.

Dem Unternehmen nach sind Botnetze die Voraussetzung für den massenhaften Versand von Spam. Erst kürzlich war es dem Sicherheitsanbieter gemeinsam mit Microsoft gelungen, das als Hlux oder auch Kelihos bekannte Botnetz, bestehend aus mehr als 40.000 infizierten Rechnern, zu deaktivieren.