Operation Ghost Click: FBI nimmt DNSChanger-Botnetz hoch

In Estland wurden Verdächtige verhaftet, die über 4 Millionen Rechner in 100 Ländern mit einer Schadsoftware infiziert haben sollen. Mit DNSChanger sollen sie Netzeinstellungen der Opferrechner manipuliert und über 14 Millionen US-Dollar ergaunert haben.

In Pocket speichern vorlesen Druckansicht 59 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Ronald Eikenberg

Die estnischen Strafverfolger haben in Zusammenarbeit mit dem FBI sechs Personen festgenommen und angeklagt, die das bislang wohl größte bekannte Botnetz betrieben haben sollen. Die Verdächtigen sollen im Zeitraum von 2007 bis vergangenen Monat über 4 Millionen Rechner in 100 Ländern mit dem Schädling DNSChanger infiziert haben. Die Staatsanwaltschaft erhebt in diesem Fall sieben Anklagen, darunter Computerbetrug (Wire Fraud), auf dem in den USA eine Haftstrafe von bis zu 30 Jahren steht.

Allein in den USA rechnet das FBI mit 500.000 infizierten Systemen. Auch in Deutschland gab es Infektionen, genaue Zahlen nannte die US-Behörde jedoch nicht. Unter den Opfern befänden sich neben Privatpersonen auch Unternehmen und Regierungsbehörden wie die NASA. Die Ermittlungen dauerten über zwei Jahre an. Derzeit verhandeln die US-Behörden über die Auslieferung in die USA.

Die Bande habe mehrere Firmen betrieben, über die sie Internetwerbung und Traffic, also garantierte Webseitenaufrufe, angeboten habe. Die Werbung sei auf den infizierten Rechnern beim Besuch prominenter Webseiten eingeblendet worden – anstelle der vom Webseitenbetreiber eingebundenen Anzeigen. Der Traffic sei durch die Umleitung von Domains auf andere Webseiten erzeugt worden. So konnten die Kriminellen laut FBI über 14 Millionen US-Dollar ergaunern.

Dies sei ihnen gelungen, indem sie mit ihrer Malware DNSChanger die Netzwerkeinstellungen der Opferrechner manipulierten. Der Schädling ändert die IP-Adresse des eingesetzten DNS-Servers auf die eines präparierten DNS-Servers der Angreifer. Wenn der Rechner des Opfers nun eine DNS-Abfrage etwa nach der Domain apple.com startet, erhält er eine falsche IP zurück, und das Opfer erreicht statt der Apple-Homepage eine Seite der Angreifer.

Um den böswilligen DNS-Server anderen Clients im lokalen Netzwerk schmackhaft zu machen, arbeitet die Malware auch als DHCP-Server. Dadurch sind auch Rechner oder Smartphones von der DNS-Manipulation betroffen, die gar nicht mit dem Schädling infiziert sind. Zudem versucht DNSChanger den im Router eingestellten DNS-Server zu ändern. Ist die Weboberfläche des Routers passwortgeschützt, probiert der Schädling einige Standardpasswörter durch. Um nicht entdeckt zu werden, hindert DNSChanger laut dem FBI Antivirenprogramme an der Aktualisierung ihrer Virensignaturen.

Die DNS-Server der Angreifer sind in den folgenden Adressbereichen zu finden: 85.255.112.0 bis 85.255.127.255, 67.210.0.0 bis 67.210.15.255, 93.188.160.0 bis 93.188.167.255, 77.67.83.0 bis 77.67.83.255, 213.109.64.0 bis 213.109.79.255 und 64.28.176.0 bis 64.28.191.255. Ist eine IP aus diesen Adressbereichen im Rechner oder Router als DNS-Server eingetragen, ist man mit DNSChanger infiziert. Das FBI erklärt in einer Anleitung (PDF), wo man diese Angabe in verschiedenen Betriebssystemen findet.

Als Sofortmaßnahme hat das FBI hat die böswilligen DNS-Server vom Netz genommen. Damit die infizierten Systeme weiterhin ungehindert ins Internet kommen, haben die Ermittler eigene DNS-Server aufgesetzt, die unter den oben genannten IPs erreichbar sind. Diese sind allerdings nur für einen Zeitraum von vier Monaten online – wer die Infektion nach Ablauf dieser Gnadenfrist nicht entdeckt hat, kann anschließend nicht mehr auf das Internet zugreifen. (rei)