Software-Experten aus aller Welt warnen immer eindringlicher vor den Gefahren aus dem Web: Hacker, Trojaner, Botnetze, Spam und Phishing. Als Frage bleibt: Wer steht eigentlich hinter all diesem Cybercrime?
Am 20. September 2001 wurde der Hafen im texanischen Houston, einer der größten Überseehäfen der USA, zum Ziel eines DDoS-Angriffs. Nachdem die Webserver nicht mehr erreichbar waren, kam der Umschlag von Erdöl und anderen Gütern zum Erliegen. Die Hafenverwaltung wandte sich an das FBI, das nach Auswertung der Logfiles eine Spur nach England fand, wo die Metropolitan Police London schließlich den damals 19-jährigen Aaron Caffrey als Täter ermittelte – nach eigener Aussage ein Mitglied der Hackergruppe Allied Haxor Elite.
Ein Gericht in London jedoch sprach den Teenager aus Mangel an Beweisen frei, ein Beleg für die damalige Hilflosigkeit der Rechtssysteme gegenüber der virtuellen Welt. Mithilfe des Internets lassen sich seitdem Straftaten über Ländergrenzen und Kontinente begehen, die in den einzelnen Staaten noch nicht als illegal definiert sind.
Im März 2012 konnte das russische Innenministerium eine achtköpfige Hackergruppe festnehmen, die hinter dem Trojaner Carberp stand. Die Malware spähte im Browser die vom Nutzer aufgerufenen Homepages und Anmeldedaten noch vor der Verschlüsselung aus. Nach der Festnahme wurde der Onlinebanking-Trojaner in Untergrundforen für einen fünfstelligen Betrag zum Kauf angeboten, nur wenig später war der Quellcode von Carberp kostenlos erhältlich.
Ähnlich wie schon 2010 bei einem Konkurrenztrojaner namens Zeus, der im Hintergrund ohne Wissen des Anwenders vor allem Finanz- und Privatdaten suchte und die Tastatureingaben des Befallenen im Browser protokollierte. In der Ukraine wurden fünf Männer festgenommen, sie hatten angeblich 51 Mio. US$ von Konten in den USA erbeutet. Im Februar 2011 wurde der Quellcode von Zeus zum Kauf angeboten, im Mai des gleichen Jahres war er kostenlos im Umlauf.
In einschlägigen Foren und Hackerplattformen sind inzwischen Samples der Malware von einst erfolgreichen Aktionen in austauschbaren Modulen kostenlos erhältlich. Dazu gehört u.a. bereits der Trojaner Blackshades, der vor allem Windows-Rechner befällt und im digitalen Untergrund nur 30 bis 40 US$ kostete. Um die Malware zu kaufen, war die Mitgliedschaft in einem Untergrundforum erforderlich, das zur Aufnahme zwei Bürgen voraussetzte. Aufgenommen wurden nur aktive Coder, die als neues Mitglied ihre Malware öffentlich bereitstellen mussten.
Um an die Programmierer und Kunden zu kommen, gründete das FBI ein eigenes Forum. Dort konnten die Beamten alle Posts und Nachrichten verfolgen und die Coder und Käufer von Blackshades identifizieren. Die Observation nahm zwei Jahre in Anspruch, führte im Mai 2014 aber zu einer Razzia in 16 Ländern und fast 100 Festnahmen.
Eine ebenfalls recht verbreitete Variante ist Ransomware, die einen Rechner blockiert und von den Geschädigten ein Lösegeld für die Entschlüsselung fordert. So zielte auch CoinVault auf Dateien in unterschiedlichen Formaten, um die Rechner fremder Anwender einzufrieren. „Diese Kriminellen sind aber nicht immer gute Programmierer“, erinnert sich ein Sprecher von Kaspersky Lab. So konnte das Unternehmen den Command-and-Control-Server von CoinVault ermitteln und Entschlüsselungstools entwickeln, mit denen betroffene User ihre verschlüsselten Daten retten konnten. Die Spur der Malware führte schließlich in die Niederlande, wo die Polizei am 14. September 2015 zwei 18 und 22 Jahre alte Männer aus Amersfoort festnehmen konnte. (bs)
