Das kriminelle Rechenzentrum

Online-Gauner brauchen Serverplatz, um ihrem illegalen Treiben nachgehen zu können. Eine Provider-Mafia unterstützt sie dabei, fand nun eine Studie heraus.

Gefährliche Web-Inhalte werden zunehmen von professionell agierenden Kriminellen ins Netz gestellt, die ihre eigene hoch entwickelte Serverinfrastruktur betreiben. Das ist das Ergebnis einer Studie von FireEye, einem Sicherheitsunternehmen mit Sitz im kalifornischen Milpitas. Demnach befinden sich inzwischen diverse Hosting-Firmen im direkten oder indirekten Besitz mafiöser Banden, die über sie dann beispielsweise Schadcode vertreiben oder gehackte Rechner fernsteuern können.

Alex Lanstein, Sicherheitsforscher bei FireEye, beschrieb die Taktik solche Unternehmen nun auf der IT-Security-Konferenz "Source" in Boston. Die wohl wichtigste Erkenntnis: Der nicht versiegende Strom aus Spam, Malware und anderen problematischen Inhalten ließe sich ohne diese Infrastruktur nicht aufrechterhalten. Das habe sich bereits 2008 gezeigt, als der Hosting-Anbieter "McColo" kurzfristig geschlossen wurde, der kriminelle Aktivitäten offenbar breit geduldet hatte. Zwei Drittel des üblichen Spam-Volumens fielen kurz darauf weg.

Doch längst haben andere Firmen die Lücke gefüllt. Als Beispiel nannte Lanstein das Botnetz "Grum", über das bis zu 26 Prozent der weltweiten Müllmails verschickt worden sein soll. Die von Kriminellen kontrollierten Spam-Schleudern, sogenannte Zombie-PCs, die häufig nichtsahnenden Usern gehören, werden laut Lanstein von einem Block von Internet-Adressen (IPs) aus kontrolliert, der einer einzigen Firma gehört. Aufgrund der Verteilung der Adressen, die Grum kontrollieren, glaubt der Sicherheitsexperte, dass das ukrainische Hosting-Unternehmen fast ausschließlich als kriminelles Rechenzentrum operiert.

Doch es ist nicht einfach, dieser Provider-Mafia das Handwerk zu legen. Lanstein hat einige der Firmen kontaktiert, die den ukrainischen Malware-Betrieb ans Netz anschließen. Es gelang, einige seiner IP-Adressen zu blockieren. Doch die Firma wich dem einfach aus, indem sie eine Backup-Verbindung bei einem anderen Provider kaufte. "Die wollten sich nicht einfach abschalten lassen und sind einfach gewechselt. Das ist wirklich frustrierend", sagt Lanstein. Und selbst wenn es gelingt, einen kriminellen Provider zu stoppen, hält die Hintermänner nichts davon ab, einfach eine neue Firma zu gründen. "Die bösen Jungs sind sehr gut darin, sich ständig neue IP-Bereiche zu sichern."

Das Problem sei auch, dass es bislang keine internationalen Standards dafür gebe, IP-Pools, die von kriminellen Akteuren benutzt wurden, längerfristig zu blockieren. Selbst im Fall von McColo mussten die Adressen nach einigen Monaten wieder zurückgegeben werden. Was bezahlt sei, lasse sich nicht so einfach konfiszieren.

Manchmal verstecken sich kriminelle Rechenzentren auch hinter legitimen Geschäften. Anfang des Jahres wurde ein eigentlich als unbescholten geltender russischer Provider geschlossen, weil der verschiedenen mafiösen Hosting-Unternehmen Unterschlupf gewährt hatte.

Auf der "Source Boston" sprachen auch andere Experten über das leidige Thema. HD Moore, bekannter Hacker und oberster Sicherheitsforscher bei der IT-Security-Firma Rapid7, sagte während seiner Rede, dass mittlerweile 91 Prozent des nutzbaren IP-Adressraums zugewiesen seien. Schon deshalb könne man einmal für Malware verwendete Blöcke nicht einfach bis in alle Ewigkeiten sperren.

Wer glaubt, dass sich das Problem mit der IPv6-Technik, die in einigen Jahren einen deutlich größeren Adressraum eröffnen soll, beheben lässt, irre allerdings. Dann könne man zwar "böse" IPs dauerhaft blockieren. "Doch in diesem Fall schnappen sich die kriminellen Hosting-Firmen einfach sehr große neue IP-Blöcke, die sich noch schwerer kontrollieren lassen", so Moore. (bsc)