05.05.2009, 14:13 Uhr
Wissenschaftler hacken Botnet
Computerwissenschaftler der Universität von Kalifornien in Santa Barbara haben während zehn Tagen das berüchtigte Botnet Torpig, alias Sinowal, beobachtet und teilen nun ihre Erkenntnisse mit den Behörden und der Öffentlichkeit.
Auch Malware hat Bugs: Über eine Lücke in der Betriebs- und Kontrollsoftware von Torpig/Sinowal sind die Wissenschaftler nämlich in das Botnet eingedrungen. Während zehn Tagen - danach schlossen die Hacker das Software-Loch - konnten sie sodann beobachten, wie Cyberkriminelle über willenlose Zombie-PC heikle Daten wie Kreditkartennummern und Passwörter heimlich abziehen. Konkret gelang es den Wissenschaftlern, das Treiben auf 180'000 infizierten PC mitzuverfolgen. Auf diesen sammelten die Cyberkrimminellen in der Zeit 70 Gigabyte an sensiblen Daten. Diese Informationen speicherten die Forscher ab.
Jetzt sind sie dabei, ihre Erkenntnisse mit den Strafverfolgungsbehörden wie etwa der US-Bundespolizei FBI zu teilen. Darüber hinaus werden betroffene Firmen und Internetprovider kontaktiert, um das Botnet lahmzulegen. So konnten letztere erste Webseiten schliessen, die den Torpig-Betreibern dazu dienten, den Zombie-PCs neue Befehle zu erteilen.
Die Forscher fanden während ihres Hacks zudem heraus, dass Torpig vor allem an Passwörtern von E-Mail-Konten interessiert ist. Dabei schleicht sich die Malware in E-Mail-Cients wie Outlook, Thunderbird und Eudora ein. Neben den Zugangsdaten greift Torpig sodann auch die im Adressbuch gespeicherten Mail-Anschriften ab. Diese werden wiederum für Spam-Aktionen verwendet.
Schliesslich ist es den Wissenschaftlern gelungen aufzuzeigen, wie die Cyberkriminellen ihr Botnet vergrössern und am Leben erhalten. So werden PC zunächst mit dem berüchtigten Rootkit Mebroot infiziert (vergleiche Artikel in Computerworld.ch). Dieses lädt sodann Malware auf den Rechner. Ist Torpig einmal etabliert, wird es beim Besuch der Anwender von bestimmten Webseiten wie E-Banking-Portalen aktiv. Dort präsentiert die Malware dem unbedarften Surfer ein gefälschtes Formular und fragt ihn nach Kreditkartennummer oder dem PIN-Code.
Selbst SSL-Verbindungen (Secure Socket Layer) sind bei einem mit Torpig verseuchten PC nicht sicher, wie die Forscher herausgefunden haben. Denn die Malware greift die heiklen Informationen ab, bevor sie verschlüsselt werden.
Sind sensible Daten erst einmal gesammelt, verkaufen die Hacker diese meist an den Meistbietenden auf Untergrund-Auktions-Sites. Wieviel die Infos wert sind, die die Wissenschaftler "mitgesammelt" haben, können sie nicht genau beziffern. Sie schätzen, dass sie zwischen 83'000 und 8,3 Millionen Dollar auf dem Schwarzmarkt einbringen könnten.
