Cybercrime, Avalanche
Grafik geralt, thx! (CC0 1.0)

Cybercrime: Ermittlern schalten weltweites Botnet „Avalanche“ ab

Nach über vier Jahren Ermittlungsarbeit von Spezialisten in 41 Staaten gelingt Ermittlern der Schlag gegen weltweites Cybercrime-Netzwerk "Avalanche".

Nach über vier Jahren Ermittlungsarbeit von Spezialisten in 41 Staaten ist den Sicherheitsbehörden am Mittwoch (30.11.2016) ein Schlag gegen Cyberkriminelle gelungen. Sie deckten die weltweit größte Infrastruktur zum Betrieb sogenannter Botnetze auf. Es wurden Haftbefehle gegen 16 Betreiber der Botnet-Gang „Avalanche“ erteilt und Teile der Infrastruktur abgeschaltet.

Botnet Avalanche abgeschaltet

Die Staatsanwaltschaft Verden und die Polizeidirektion Lüneburg haben mit Hilfe des Bundesamtes für Sicherheit in der Informationstechnik (BSI) eine Hackerbande ausgehoben, gegen die bereits seit dem Jahr 2009 vergebens ermittelt wurde. Der Erfolg ist das Resultat einer mehr als vier Jahre andauernden, grenzübergreifenden Ermittlungsarbeit der Zentralinspektion Lüneburg, Europol, des US-Justizministeriums, der US-Bundespolizei FBI und weiterer US-Behörden sowie Sicherheitsorganen von 39 Staaten. Im Zuge der Zerschlagung des Netzwerks kam es zeitgleich zu Durchsuchungen und Beschlagnahmungen in zehn Ländern.

Die Ermittler konnten 16 Mitglieder der Avalanche-Führungsebene identifizieren. Gegen sieben davon hat das Amtsgericht Verden Haftbefehl wegen verschiedener Tatbestände wie der Bildung einer kriminellen Vereinigung erlassen. In zehn Ländern gab es zeitgleich Durchsuchungen und Festnahmen. Die Ermittler beschlagnahmten 39 Server und mehrere Hunderttausend Domains. Auf Basis der vorliegenden Anzeigen wird die Schadenssumme derzeit auf rund sechs Millionen Euro aus 1336 Taten beziffert. Der tatsächliche Schaden dürfe auch in Deutschland weit höher liegen, hieß es. „Avalanche“ agiert wie jedes Botnetz wie eine Hydra.

Rund zwanzig verschiedene Typen schädlicher Software wurden verwendet, sagte Lutz Gaebel, Sprecher der Staatsanwaltschaft Verden. Es sei wie der Kampf gegen eine elektronische Hydra gewesen. Die meisten infizierten Rechner stünden in Russland und den USA, am drittstärksten sei Deutschland betroffen. „Die Tücke einer ausgefeilten Botnetz-Infrastruktur liegt darin, dass allein das Abschalten eines einzelnen Botnetzes nicht ausreicht, um die kriminellen Angriffe zu unterbinden“, teilte der Leiter der Zentralstelle für Cybercrime der Staatsanwaltschaft Verden, Oberstaatsanwalt Frank Lange, mit. „Die Aufgaben der entdeckten und unschädlich gemachten Server werden schlagartig von Servern der anderen Botnetze übernommen, bis ein neues weiteres Botnetz aufgebaut wird.„, erklärte er weiter.

Hintergrund

Avalanche (franz. und engl. für „Lawine“) diente als Grundlage einer umfangreichen weltweiten Infrastruktur aus gehackten Computern, mittels derer die Hacker diverse Onlineverbrechen, wie Phishing-Attacken, Spam oder Online-Betrug begehen konnten. Es wurde bekannt, dass allein schon 50.000 Rechner von deutschen Onlinenutzern, unfreiwillig und von ihren Besitzern unerkannt, Teil der Infrastruktur aus gehackten Computern sind, die die Basis bildeten für die kriminellen Absichten der Täter. Mittels Steuersoftware, die die Hacker per Phishing-Mail oder über die Infektion von Webseiten auf den Rechnern der Opfer installierten, wurden die so gehackten Rechner Teil eines Netzwerkes. Die Verbrecher hatten diese dann unter der Kontrolle ihrer Steuerserver und damit die freie Auswahl.

2010 hat das Botnet über 60% aller Phishing-Mails verschickt

Teilweise nutzten die Kriminellen die Rechner zum Versenden weiterer E-Mails für die Verbreiten ihrer Schadsoftware zur Erweiterung ihrer Netzwerke. Bereits im Jahr 2010 war Avalanche für zwei Drittel aller Phishing-Angriffe verantwortlich. Pro Woche sollen sie so über eine Million Mails verschickt haben. Zunächst versendeten die Angreifer vor allem Ransomware. Dabei handelte es sich um einen Trojaner, der vorgab, dass eine erneute, kostenpflichtige Windows-Registrierung notwendig sei. Ferner konnten sie die Computer der Opfer mit Erpressungssoftware infizieren, um die Betroffenen von ihren Computern auszusperren und Lösegeld zu verlangen.

Nicht zuletzt identifizierten die Hacker Onlinebankingkunden. Sie fischten deren Kontodaten ab, manipulierten die Anzeige von Kontodaten im Browser und räumten das Konto nun völlig unentdeckt leer. Laut Staatsanwaltschaft sollen sie allein Online-Banking-Nutzer durchschnittlich um mehr als 5000 Euro erleichtert haben. Der Staatsanwaltschaft liegen insgesamt Anzeigen über 1336 Taten vor mit einer Schadenssumme von etwa sechs Millionen Euro. Welche Varianten von Schadsoftware die Hacker nutzten, listet das BSI hier auf.

Seit 2008 aktiv

Bereits im Jahr 2008 war die Avalanche-Gruppe erstmals aufgefallen, als sie in großem Maße Phishing-Mails verschickten und gerade dabei war, eines der ersten größeren Botnetze aufbauten. Es begann nun ein Wettlauf zwischen Sicherheitsforschern und Hackern. Die Forscher konzentrierten sich darauf, die Internetdomains der Kontrollserver von Avalanche zu identifizieren und aus dem Netz zu nehmen. Im Jahre 2012 entdeckten dann Sicherheitsforscher von Symantec, dass eine Erpresser-Schadsoftware namens Trojan.Ransomlock.P sowie ein Trojaner zum Onlinebankingbetrug namens Trojan.Bebloh dieselben Steuerserver nutzten. Darin erkannten sie einen ersten Ansatz, die Täter hinter der Software zu fangen.

Die Bebloh-Software war auf deutschsprachige Internetnutzer zugeschnitten und hatte auch die Aufmerksamkeit der Staatsanwaltschaft Verden geweckt, die als Schwerpunkt-Staatsanwaltschaft im Bereich Onlinekriminalität ermittelt. Gemeinsam mit Symantec, dem BSI sowie in Kooperation mit dem FBI analysierten die Ermittler nun die Hackerinfrastruktur. Sie fanden heraus, das insgesamt ca. 20 verschiedene Malwarevarianten über die Kontrollserver der Täter gesteuert wurden. Die Hacker ihrerseits mieteten über Dienstleister in Osteuropa und Asien eine Domain nach der anderen. Sie entgingen damit der Verfolgung und behielten die Kontrolle über ihre Netzwerke. Dieses Katz-und-Maus-Spiel half den Opfern jedoch nur bedingt. Ihre Rechner blieben zumeist weiter infiziert und damit Teil der Hackerinfrastruktur.

Fazit

Analysen haben ergeben, dass rund 20 verschiedene Botnetze diese Infrastruktur nutzten. Die Zerschlagung der Infrastruktur hat das BSI zusammen mit dem nationalen Cyber-Abwehrzentrum koordiniert. Aktuell sorgt man speziell dafür, dass keine Nachfolgeorganisation der Hacker erneut Kontrolle über die Rechner der Opfer erlangt. Erste Vorraussetzung dafür ist die sichere Identifikation aller Computer, die Teil von Avalanche waren. Das BSI setzt für diesen Zweck sogenannte Sinkhole-Server ein.

Diese übernehmen die Rolle der im Rahmen der Ermittlungen abgeschalteten Steuerserver des Botnetzes und fangen sämtliche Kommunikationsversuche ab, die die Schadsoftware auf den gehackten Rechnern auf der Suche nach ihren abgeschalteten Steuerservern ins Netz sendet. Das stellt einerseits sicher, dass die noch nicht verhafteten Kriminellen der Avalanche-Bande mittels neu aufgesetzter Steuerserver nicht erneut Kontrolle über ihr Botnetz erlangen, und liefert dem BSI gleichzeitig eine Liste aller IP-Adressen der am Botnetz beteiligten Computer.

Diese IP-Adressen gibt das BSI nun an die Internetprovider der Opfer weiter. Die Provider identifizieren nun anhand der Adressen, welche ihrer Kunden betroffen sind. Sie warnen diese dann per Anschreiben. Die Kundendaten bleiben damit beim Provider, das BSI und die Ermittler erhalten keinen Einblick. Wer nun Post von seinem Provider bekommt, sollte diese ernst nehmen und seinen Rechner mit einem aktuellen Virenscanner auf Schadsoftware scannen – am besten von einem USB-Stick aus, der unabhängig vom infizierten Betriebssystem ist. Auf einer Frage-und-Antwort-Seite liefert das BSI eine Anleitung mit empfohlenen Virenscannern gleich mit und gibt zu allen wichtigen Aspekten der Avalanche-Botnetzinfrastruktur Auskunft.

Schadsoftware lief plattformübergreifend

Als erste wichtige Schritte rät das BSI: „Betroffene sollten ihre Geräte auf eine Infektion mit Schadprogrammen überprüfen und Sicherheitslücken schließen. Die Schadprogramme auf den betroffen Systemen hat man durch die Zerschlagung der Botnetzinfrastruktur nicht gelöscht. Es kann daher nicht ausgeschlossen werden, dass die Täter zu einem späteren Zeitpunkt wieder Kontrolle über die jeweiligen Botnetze erhalten. Betroffene sollten daher möglichst bald handeln. Auch für Nutzer, die kein Schreiben ihres Providers erhalten, empfiehlt sich dieses Vorgehen.“

Nach aktuellem Kenntnisstand des BSI seien überwiegend Windows-Systeme und Android-Smartphones Teil der jeweiligen Botnetze gewesen. Dennoch könne eine Infektion bei Smartphones mit Apples iOS, Microsofts Windows Phone oder Betriebssystemen wie Apples OS X oder Linux nicht ausgeschlossen werden. Geräte vom Internet of Things (IoT) wie beispielsweise Webcams, Drucker oder TV-Empfänger sind offenbar nicht Teil dieser Botnetze.

Die ersten Blogger hinterfragen aber schon, für wie lange Avalanche abgeschaltet bleibt!?

Tarnkappe.info

Über

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.