Koobface-Server vom Netz genommen
Sicherheitsfachleute und Ermittlungsbehörden haben zentrale Server des Botnetzes von Koobface vom Netz genommen.
- Urs Mansmann
Ein britischer Internetprovider hat den Command-and-Control-Server des Social-Networking-Botnetzes Koobface vom Netz genommen, nachdem Fachleute der SecDev Group britische Ermittlungsbehörden über den Server informiert hatten. Das wird das Botnetz zwar vorübergehend behindern, aus dem Spiel sind die Hintermänner von Koobface damit aber nicht. Es ist vermutlich nur eine Frage der Zeit, bis die infizierten Rechner auf einen neuen Server umgeleitet werden.
Koobface (ein Anagramm von Facebook) verbreitet sich einer Analyse (PDF) der kanadischen SecDev Group zufolge vor allem über soziale Netzwerke. Dort verschickt es Links auf Webseiten, die den Computer mit Schadsoftware infizieren. Geld verdienen die Botnetz-Betreiber, indem sie die übernommenen PCs Klicks auf Online-Anzeigen oder Downloads von Scareware ausführen lassen.
Die Protagonisten von Koobface versuchen, sich bewusst von den "bösen Trojanern" wie Zeus zu distanzieren: "Unsere Software hat niemals Kreditkarteniformationen, Bankzugangsdaten, Passwörter oder andere vertrauliche Daten gestohlen. Und wird das auch nie tun" versicherten sie. Später sammelten sie dann aber doch Passwörter für E-Mail-, Facebook- und IM-Accounts ein.
Das Geschäftsmodell von Koobface mit unzähligen winzigen Transaktionen schützt die Hintermänner vor allzu zielstrebiger Verfolgung. Die Schäden belaufen sich im Einzelfall auf nur winzige Beträge, auch wenn letztendlich durch die Vielzahl der Fälle große Summen zusammenkommen. Die Protagonisten verdienen nach einer Analyse von SecDev rund 2 Millionen US-Dollar pro Jahr.
Die Polizei und Staatsanwaltschaften tun sich jedoch schwer, konkrete Straftaten oder Schadensfälle auszumachen, die den erforderlichen Ermittlungsaufwand für eine gezielte Verfolgung der Hintermänner rechtfertigen. Zudem läuft das Geschäft über Ländergrenzen hinweg, was zeitraubende Amtshilfeersuchen erforderlich macht. "Daher war es für uns nicht überraschend, dass es [im Falle von Koobface] keine Strafverfolgung oder Festnahme gab", resümiert die SecDev Group.
Der Schlag gegen Koobface läuft bereits seit zwei Wochen auf mehreren Ebenen: Das SecDev-Team unter Nart Villeneuve informierte ISPs über kompromittierte FTP-Accounts und benannte gegenüber Facebook und Google insgesamt mehrere hunderttausend Accounts, die von Koobface betrieben werden. Das Ende des Botnetzes wird das aber nicht sein. "Solange die Hintermänner frei herumlaufen, wird Koobface weiter arbeiten", vermutet Villeneuve. (uma)
