Web Cyberfahnder
über Suchmaschinen und -strategien
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
Russian Business Network 13.07.2008 organisierte Cybercrime
zurück zum Verweis Schurken-Provider und organisierte Cybercrime
   
Russian Business Network - RBN
Russland: Ein sicherer Hafen für die Internet-Kriminalität?
 
  Die wesentlichen Erscheinungsformen der Cybercrime ( Führung) sind immer hinterhältigere Formen der Malware, der schädliche Einsatz von Botnetzen, das Phishing und das Skimming. Sie lassen auf arbeitsteilige und einander unterstützende Strukturen schließen. Mit den Schurken-Providern und namentlich dem Russian Business Network setzen sich mehrere Veröffentlichungen aus der jüngeren Vergangenheit auseinander. Sie zeigen ein Netzwerk, das in die technische Infrastruktur des Internets eingebunden ist und kriminelle Aktivitäten von der Öffentlichkeit und der Strafverfolgung abschottet.
 
Die Akteure der Cybercrime haben sich den Herausforderungen der Informationstechnik und des Internets gestellt und verdienen mit ihren kriminellen Aktivitäten offenbar gutes Geld.
zurück zum Verweis nach oben

 
Cybercrime
  ... in Russland
  DDoS-Angriff auf Estland 

Zusammenarbeit von Spezialisten
  Botnetz-Software und -Betreiber
  Expansion des Botnetzes.
     Schurken-Provider

  Drop Zones. Carder
  Agenten. Spezialisten
  Koordinator
    Cybercrime-Pyramide
  Rogue-Provider

Russian Business Network - RBN
  RBN lebt

Fazit

Anmerkungen
 

 
Die meiste Malware kommt aus Russland (1), meldete der Cyberfahnder am 21.02.2008 unter Bezugnahme auf . Dabei wurde auch der Zusammenbruch des RBN (Russian Business Network) erwähnt, der schon hier bejubelt wurde, sich im Nachhinein aber als eine vorübergehende Umstrukturierung heraus stellte.

Aufsehen erregte die Untersuchung von David Bizeul (2). Laut erkundete er seit Sommer 2007 vier Monate lang in penibler Computer-Detektivarbeit die Struktur des RBN. Auf 406 Servern mit rund 2090 Internet-Adressen fand er so ziemlich alles, was es im Internet nicht geben dürfte: Kinderpornos, Software zum Datendiebstahl, Anwerbeseiten für angebliche Finanzagenten, Drop Zones. (3)
 

 
Im April 2008 beschäftigte sich Gordon Bolduan in mit dem RBN (4) und stellt als Aufmacher voran:

Das Internet ist ein mächtiges Werkzeug – sowohl für legale Geschäfte wie auch für Verbrechen. Mittlerweile hat sich im Netz eine gut organisierte kriminelle Subkultur entwickelt, die Milliarden verdienen dürfte und selbst Mittätern Angst macht.

Im Mai 2008 folgte schließlich ein wirklich spannender Artikel in der von Frank Faber (5). Sein Aufmacher lautet:

Wenn Girokonten von Phishern leer geräumt oder Kreditkartendaten missbraucht werden, führen die Spuren oft nach Russland. Mit der Unterstützung von Netzbetrügereien verdienen die Hintermänner des „Russian Business Network“ Millionen. Und das augenscheinlich, ohne entscheidend von Strafverfolgungsbehörden gestört zu werden.
 

zurück zum Verweis nach oben Cybercrime ... in Russland
 
Arbeitsschritte beim Phishing

 

Arbeitsschritte beim Skimming

 
Bezüge nach Russland tauchen tatsächlich häufiger auf, wenn man die Datenspuren in Spam- und Malware-Mails genauer unter die Lupe nimmt (6).

Schon 2006 hatte Moritz Jäger in auf die Verbreitung krimineller Dienste und Dienstleistungen im Internet hingewiesen (7) und mich dazu angeregt, hinter dem Phishing organisierte Strukturen zu vermuten. Über solche Angebote und ihre Preislisten wird immer wieder berichtet (8) sowie über spektakuläre Angriffe, die nicht im Alleingang durchgeführt werden können (9).

Über die informelle und geschäftsmäßige Zusammenarbeit verschiedener Tätergruppen im Internet sind mir Hinweise seit 2005 und nicht erst seit dem allgemeinen Bekanntwerden von Botnetzen geläufig (10). Auch das breit angelegte Ausspähen von Kontozugangsdaten mit dem Ziel, gefälschte Zahlungskarten zum Missbrauch an Geldautomaten einzusetzen ( arbeitsteiliges Skimming), ist nur in einer strukturierten Organisation vorstellbar. Sowohl beim Phishing wie auch beim "professionellen" Skimming müssen verschiedene Arbeitsschritte  durchgeführt und Fachleute eingesetzt werden, so dass eine steuernde Instanz zu erwarten ist. Schließlich muss auch wegen der Betreiber von Botnetzen der arbeitsteilige Zusammenschluss von Entwickeln, Systemverwaltern und "Kaufleuten" erwartet werden (11).
 

 
Mit den Erscheinungsformen der Cybercrime in Russland setzt sich besonders Igor Muttik von den McAfee Avert Labs auseinander (12).

Schon in der Sowjetunion wurden die Ausbildungen in den Naturwissenschaften, der Mathematik und der Informatik erheblich mehr gefördert als die in den Geisteswissenschaften. Muttik sieht heute eine Kombination aus relativ niedrigen Gehältern, einer hohen Arbeitslosenquote und der breiten Verfügbarkeit vernetzter Computer (S. 17) im größten Flächenland der Welt mit mehr als 142 Millionen Einwohnern - ganz überwiegend im europäischen Teil des Landes (13). Er führt sodann prominente Viren, Virenautoren und führende Kenntnisse aus den Bereichen Datenkompression, Kopierschutz, Fernwartung und Systemanalyse auf, die für die Programmierung von Malware hervorragend missbraucht werden können.

zurück zum Verweis nach oben
   
DDoS-Angriff auf Estland
 
Im April und Mai 2007 gab es einen großen DDoS-Angriff, der auf viele Regierungswebsites in Estland gerichtet war. Ermittler gehen davon aus, dass der Angriff durch die Umsetzung des „bronzenen Soldaten“ veranlasst wurde, einem Denkmal für einen unbekannten russischen Soldaten im Zweiten Weltkrieg. Estnische Behörden hatten beschlossen, das Monument vom Zentrum Tallins auf einen vorstädtischen Militärfriedhof zu versetzen. Dieser Beschluss löste unter der Bevölkerung Tallins Unruhen aus, bei denen eine Person getötet wurde. Später, kurz vor dem Jahrestag des Sieges (zur Beendigung des 2. Weltkriegs, der in Estland am 9. Mai gefeiert wird), begann ein mehrere Tage andauernder DDoS-Angriff. Viele große estnische Websites standen während dieser Zeit nicht zur Verfügung. Unter Sicherheitsexperten herrscht die Meinung vor, dass dieser Angriff von einer Gruppe von Einzelpersonen durchgeführt und von deren patriotischen Gefühlen angeheizt wurde. ... Es konnten keine Hinweise auf eine Beteiligung der russischen Regierung an diesen Angriffen gefunden werden, und selbst wenn es eine Verbindung gäbe, würde diese mit sehr großer Wahrscheinlichkeit nicht entdeckt werden. Nach dem Vorfall beschuldigten sich beide Seiten gegenseitig der Cyber-Angriffe. (14)
 

 
Muttik: Es gibt ein russisches Sprichwort, das besagt, dass die unbeugsame Härte des russischen Gesetzes nur durch die Unmöglichkeit ausgeglichen wird, es durchzusetzen (S. 18). In diesem Zusammenhang referiert er über die IT-strafrechtlichen Vorschriften in Russland, über einige spektakuläre Fälle der Strafverfolgung und über private Organisationen, die sich der Bekämpfung der IT-Kriminalität verschrieben haben.

Muttik hat nach Crimeware-Angeboten in Russland gesucht und ist reichlich fündig geworden: Spam-Adressen, Bot-Software, Spionageprogramme zu verhaltenen Preisen (S. 19, 20) und für Großabnehmer gegen Rabatt (S. 20).

Sein Fazit (S. 21): Russland verfügt - ebenso wie China, ... Brasilien und die Ukraine - über hoch qualifizierte IT-Fachleute ohne Perspektive am legalen IT-Markt. Selbst wenn sie Arbeit haben, sind die Einkommen, die durch kriminelle Programme und ihren Einsatz erwartet werden können, ein ganz erheblicher Anreiz.

Seine Beispiele für die Strafverfolgung beschränken sich auf Einzelfälle, die teilweise im Ausland erfolgten. Ein "Marktdruck durch Strafverfolgung", wie ich es nennen würde, scheint nicht vorhanden zu sein, so dass das eher geringe Verfolgungsrisiko die Bereitschaft, Cybercrime zu praktizieren, besonders fördern dürfte.

Das Thema "individuelle Spionagesoftware" spart Muttik aus. Es kann bedeutungslos, angesichts der Perspektive von McAfee als Anbieter von Anti-Malware-Software ein vereinzeltes Problem oder bewusst ausgeblendet worden sein.
  

 
Ich glaube, dass die zweite Antwort zutrifft. Perspektivisch werden sich aber McAfee und alle anderen IT-Security-Unternehmen auch um die individuellen Malwareformen zur Industriespionage und zur Ausforschung privater Geheimnisse kümmern müssen, weil diese Angriffe mit Sicherheit zunehmen und einen Bedarf des Marktes hervorrufen werden.

  Muttiks Prognosen klingen sehr allgemein und zurückhaltend. Er erwartet, dass der russische Staat die IT-Kriminalität verstärkt verfolgen und damit zurückdrängen wird. Für eine Entwarnung sei jedoch kein Platz, weil andere Regionen der Welt nachdrängen werden.

Wenn aber in Russland das technische Wissen besonders konzentriert ist und gleichzeitigt große soziale Spannungen und Verteilungskämpfe bestehen, dann dürfte Muttiks Einschätzung mehr als fraglich sein. Ich befürchte, dass der russische Bär auch bei der Cybercrime noch gehörig mitwirken wird.

Muttik erwähnt die russische Mafia am Rande und erkennt, dass sie ein wirtschaftliches Interesse an der Förderung der Cybercrime haben könnte. Ich bin ganz sicher kein Experte für die Einschätzung dieser Situation, befürchte aber auch, dass solange solche kriminellen Strukturen frei oder relativ frei agieren können, das profitable Geschäft mit der Cybercrime einen besonders "sicheren Hafen" haben könnte. Frei von Strafverfolgung und unterstützt von sprudelnden kriminellen Einnahmen.
 

zurück zum Verweis nach oben Cybercrime: Zusammenarbeit von Spezialisten
   
Botnetze
 
In ihrer frühen Form waren sie bloße Gruppen von gekaperten Rechnern, die von einem einzigen Angreifer, dem sogenannten Bot-Herder, über einen zentralen Server gesteuert wurden. Zur Kommunikation dienten einfache Protokolle, wie das für den Internet Relay Chat (IRC) oder die Übertragung von Webseiten (HTTP). Inzwischen geht der Trend zu Peer-to-peer-Systemen, bei denen mehrere Rechner Empfänger und Befehlsgeber gleichzeitig sein können, verschlüsselt miteinander kommunizieren und vor allem hervorragend „skalieren“, also ohne Weiteres zu Hunderttausenden zusammengeschaltet werden können.
Bolduan, S. 28
 

 
Gordon Bolduan [siehe (4)] stellt in das Zentrum seiner Betrachtung die modernen Botnetze, die er zutreffend als das mächtigste kriminelle Werkzeug ansieht, das zur Verfügung steht. Die von der Bot-Malware infizierten Rechner lassen sich nicht nur nach persönlichen Daten und Zugangscodes ( Man-in-the-Middle) ausforschen, sondern in ihrer Gemeinschaft zu allen Massenerscheinungen im Internet missbrauchen. Die wichtigsten Formen sind das werbende Spamming, die Verbreitung von Malware mittels E-Mail-Anhänge, das Phishing und schließlich verteilte Angriffe (DDoS). Allein schon die Drohung mit einem solchen Angriff kann zur Erpressung zu Schutzgeld eingesetzt werden.

Wegen der Leistungsfähigkeit der Botnetze ist zu ergänzen, dass die Zombie-Software zumeist modular aufgebaut ist, so dass sie immer wieder aktualisiert und sich wandelnden Bedürfnissen angepasst werden kann.

Einzelne Geräte aus dem Botnetz können zudem als Webserver für die Verteilung von Software-Updates, zur Steuerung kleinerer Gruppen von infiltrierten Rechnern und zu ihrer Überwachung verwendet werden. Einzelne Varianten der Botsoftware gehen sogar sehr behutsam mit den infiltrierten Rechnern um, um nicht aufzufallen und den Zombie möglichst lange missbrauchen zu können  (15).
 

 
Bolduan bleibt nicht bei der Beschreibung des Botnetz-Phänomens, sondern widmet sich vor allem dem Netzwerk der Cyber-Kriminellen (siehe Schaubild aus , rechts).

Die beteiligten Spezialisten lassen sich nämlich wegen ihrer Aufgaben und Tätigkeiten unterscheiden und dürften teilweise in Bandenstrukturen organisiert sein. Wir lernen dadurch Koordinatoren und Rogue-Provider kennen, über die dann die Verbindung zum RBN hergestellt wird.
 

zurück zum Verweis nach oben Botnetz-Software und -Betreiber
 

Großansicht: Zombie-Software

 

 
„Keiner hackt mehr heute zum Spaß, das ist knallhartes Business geworden“

 
Bolduan, S. 28
 

 
Malware missbraucht Sicherheitslücken. Die Zombie-Software zum Betrieb eines Botnetzes ist eine spezialisierte Form von Malware, die ihrem Einsatzzweck angepasst ist.

In der frühen Hackerkultur war es üblich, Sicherheitslücken zu veröffentlichen, um die Hersteller von Hard- und Software unter Druck zu setzen, damit sie Gegenmaßnahmen treffen. Daneben hat sich inzwischen ein Markt für unbekannte und eben nicht veröffentlichte Sicherheitslücken entwickelt. Diese Händler nennt Bolduan Exploit-Händler (Exploit Vendors), die ihre Kenntnisse an die Entwickler von Malware verkaufen.

Mit den Toolkit-Schreibern identifiziert er eine zweite Gruppe von Spezialisten. Sie liefern die Funktionen zur Tarnung der infiltrierten Software.

Die Malware-Schreiber führen die Zulieferungen der Exploit-Händler und Toolkit-Schreiber zusammen. Sie produzieren entweder ein fertiges Programm oder entwickeln Malware-Baukästen, die sie vermarkten (16).
 

 
Die beteiligten Spezialisten handeln gegen Geld, wofür (16) ein schönes Beispiel ist. Bereits Moritz Jäger hat darauf hingewiesen, dass in dieser Szene Verrechnungskonten auf der Basis von Edelmetallen sehr beliebt seien [siehe (7)]. Sie lassen die verzögerungsfreie Verrechnung geldwerter Forderungen zu und sind nur etwas zögerlich bei dem Transfer zu nationalem Geld. Der Anbieter E-Gold führt zum Beispiel für jeden der Beteiligten ein Guthabenkonto in der Verrechnungseinheit "Gold", womit die gegenseitigen Forderungen ab- und zugebucht werden können.

Bolduan [siehe (4), S.32] benennt als Alternative den Bezahldienst WebMoney (wmz), dessen Webadresse auf eine WebMoney Corporation in Japan registriert ist und der als Support-Kontakt eine Adresse in Moskau angibt; auf einer Liste der WebMoney akzeptierenden Händler finden sich hauptsächlich Online-Kasinos, Kreditkartendienste und Goldbörsen – und dazu ein ukrainisches Programmierer-Team.
 

zurück zum Verweis nach oben Expansion des Botnetzes. Schurken-Provider
 

Großansicht: Expansion

 

 
Botnetze richten sich meistens gegen eine Vielzahl von Opfern (17), wenn nicht ein verteilter Angriff oder eine Spionageaktion gegen ein einzelnes Ziel gerichtet wird.

Einzelne Zombies fallen immer wieder aus, weil sie vorübergehend aus dem Netz genommen werden, eine Antiviren-Software die Malware aufgespürt und unschädlich gemacht oder das Opfer sich einen neuen PC zugelegt hat (18). Zum Erhalt seines Botnetzes muss der Betreiber deshalb immer wieder Malware verteilen, um durch neue Zombies den Bestand zu erhalten oder auszubauen. Solange dabei E-Mail-Anhänge verwendet werden, lässt sich zur Verteilung das schon bestehende Botnetz nutzen.

Die Kenntnisse der Anwender und die Erkennungsgenauigkeit der Antivirenprogramme haben zugenommen, so dass die Malwareverbreitung vermehrt dazu übergegangen ist, Injektionsverfahren einzusetzen, die beim Surfen im Internet oder beim Öffnen bislang als harmlos geltender Dokumente zum Zuge kommen.

Die inzwischen sehr häufig eingesetzten infiltrierten Webseiten bedürfen eines Speicherplatzes, von dem aus sie abgerufen werden können. Dazu kann ein infiltrierter Rechner aus dem Botnetz verwendet werden. Das ist jedoch ineffektiv, weil die Zombies in aller Regel über ihre Zugangsprovider dynamische IP-Adressen zugewiesen bekommen und der belastende Datentransfer zu auffällig wäre.
 

 
Sinnvoller ist es, dafür einen Server zu verwenden, bei dem der zusätzliche Traffic (Datendurchsatz) nicht weiter auffällt oder vom Anbieter toleriert wird.

Die erste Wahl für die Installation infiltrierter Webseiten sind gekaperte, also gehackte Hostserver, zumal ihre statische Internetadresse nach jedem - spätestens zweiten - Missbrauch "verbrannt" und in die üblichen Spamming- und Malware-Abwehr-Datenbanken aufgenommen ist (siehe Großansicht, Pfeil a).

Dasselbe gilt für die Ablage der Update-Versionen für die Zombie-Software (siehe Großansicht, Pfeil b).

Wenn der Täter nach der Guerilla-Strategie verfährt, sind gekaperte Hostserver tatsächlich  die beste Wahl. Sie werden missbraucht und sogleich wieder aufgegeben. Langfristige Planungen bedürfen jedoch "sicherer Häfen". Nur hier können aufwändige Website-Farmen und konspirative, geschlossene Benutzergruppen eingerichtet und kriminelle Daten gehostet werden (siehe Großansicht, Pfeil c). Sie bedürfen der schützenden Hand eines starken und souveränen Türstehers, der sowohl neugierige Nachfragen wie auch die Nachstellungen von Strafverfolgungsbehörden abprallen lässt. Sie nennt man Schurken- oder Rogue-Provider und das Russian Business Network - RBN - dürfte gegenwärtig der stärkste von ihnen sein.
 


zurück zum Verweis nach oben Drop Zones. Carder
 

Großansicht: Datentransfer

 

 
Im Arbeitsschema der Cybercrime hat der Rogue-Provider eine zentrale Rolle, weil er die sichere und abgeschottete Drop Zone zur Datenhaltung liefert. Hier werden die Farmen und die Malware-Updates gelagert, bevor sie in das Botnetz zur weiteren Verbreitung eingespeist werden, sowie die von den Opfern ausgespähten Daten zwischengelagert. Außerdem ist er der bevorzugte Lieferant für Kommunikationsplattformen und geschlossene Benutzerkreise zum Informations- und Datenaustausch mit Inhalten, die nicht für die Öffentlichkeit und schon gar nicht für die Strafverfolgung bestimmt sind.

Das Schaubild (links) orientiert sich am modernen Phishing, bei dem die Opfer manipulierte Webseiten aufrufen und dabei ihre Kontozugangsdaten abgegriffen werden. Diese Daten werden in der Drop Zone beim Rogue-Provider gesammelt und dann an einen Fachmann für ihren Missbrauch weiter gegeben.
 

 
Als Carder wird ein Krimineller bezeichnet, der geklaute Kreditkartendaten kauft und diese zu Bargeld macht (19).

Wie alle anderen Hauptpersonen auch bleibt der Carder im Hintergrund und kann sich verschiedener Methoden bedienen. Beim Phishing sind das im wesentlichen drei Methoden:

1.  mit Hilfe eines Hackers werden die Kontozugangsdaten eingesetzt, um Überweisungen vorzunehmen
   
2.  das Homebanking des Opfers wird online überwacht und im entscheidenden Moment eine Überweisung umgeleitet
  
3.  die infiltrierte Malware verändert während eines Überweisungsvorgangs die Zieldaten mit denen des Carders

Die vierte Methode ist das Kopieren von Zahlungskartendaten auf Rohlinge. Sie ist im wesentlichen vom Skimming bekannt.
  

zurück zum Verweis nach oben Agenten. Spezialisten

 
Großansicht:
verdeckt und öffentlich Handelnde

 
Die Agenten sind die Klinkenputzer der Cybercrime. Sie handeln in der Öffentlichkeit und werden mit verschiedenen Aufgaben eingesetzt.

Am bekanntesten sind seit dem Phishing die Finanzagenten. Auf ihre Girokonten werden die Überweisungen umgeleitet und sie sollen per Bargeld-Transfer oder mit anderen Methoden die kriminellen Gewinne zu den Hinterleuten bringen.

Beim Skimming werden verschiedene Agenten eingesetzt. Die erste Gruppe muss die Überwachungstechnik installieren und schließlich wieder abbauen und die zweite in einem anderen Land die nachgemachten Zahlungskarten einsetzen.

Zu den Agenten können auch die Hacker gezählt werden, die fremde Bankkonten manipulieren ( siehe oben, Nr. 1. und 2.).

Die Tätigkeiten der Agenten, vor allem beim Skimming, sind verhältnismäßig einfach, aber wegen des Entdeckungsrisikos gefährlich.

Von den Agenten muss man die Spezialisten unterscheiden, die das kriminelle Handwerkzeug liefern. Das sind die Malwareschreiber und Adressenlieferanten für Spamaktionen, die Texter für Webseiten und Spams, die den richtigen Jargon treffen und fremdsprachensicher sein müssen, die Webdesigner für das Pharming und die Administratoren für Botnetze.
 

 
Im Zusammenhang mit dem Skimming kommen auch richtige Handwerker zum Einsatz, die einerseits die  Überwachungstechnik her- oder zusammenstellen und andererseits Zahlungskarten fälschen. Es werden vereinzelt Fassaden eingesetzt, deren Herstellung großes handwerkliches Geschick erkennen lässt.

Die Lieferanten, Spezialisten, Koordinatoren und Organisatoren bleiben der Öffentlichkeit in aller Regel verborgen ( Schaubild, links außen). Die Agenten müssen in der Öffentlichkeit arbeiten und unterliegen einem mehr oder weniger großem Entdeckungsrisiko ( Schaubild, rechts). In dem Bereich dazwischen sind die Hacker beim Phishing, die Unterhändler, z.B. zum Anwerben von Agenten, und die Kontrolleure angesiedelt, die die Agenten überwachen und die Erlöse einsammeln. Sie müssen mit zurückhaltendem Risiko in der Öffentlichkeit auftreten (Halbschatten).

In arbeitsteiligen Organisationen ist damit zu rechnen, dass die handelnden Personengruppen streng voneinander getrennt sind. Die Hinterleute lassen sich deshalb kaum feststellen.
  

zurück zum Verweis nach oben Koordinator

 
Großansicht: Koordinator

 

 
Die zentrale Figur jedoch ist ... ein „Independent Business Man“ – eine Person, die Kontakte zur Unterwelt pflegt und zwischen Bot-Herdern, Hackern, Malware-Schreibern und Spammern koordiniert. ... mithilfe der Botnetz-Infrastruktur kann der Koordinator Unternehmen mit verteilten Massenangriffen auf ihre Webseiten drohen und so Schutzgeld erpressen, Spam-Wellen mit Werbung für überteuerte Produkte oder Aktien lostreten oder tausendfach persönliche Informationen wie Bankzugangsdaten ergaunern.
Bolduan, S. 30

Nach einem von Bolduan zitierten Gewährsmann soll es sich bei den Koordinatoren in aller Regel um frühere KGB-Leute und / oder Angehörige der russischen Mafia handeln (S. 30). Diese Leute seien auch erfahren in der Geldwäsche.

Der Koordinator betreibt Cybercrime-Management und hat dafür gewisse Gestaltungsfreiräume, je nach dem, welche Aufgaben er an Subunternehmer outsourcen kann und will.

Um zum Beispiel eine Phishing-Aktion durchzuführen, braucht er ausgespähte Kontozugangsdaten. Die kann er kaufen, selber erheben oder die Erhebung und den Missbrauch in eine kombinierte Malware-Aktion einbinden.
 

 
Mit dem Einkauf von Kontodaten, anderen Diensten oder Modulen, die der Koordinator benötigt, kann er national tätige Operation Groups (Bolduan, S. 30), also Subunternehmer oder Vermittler beauftragen.

Sobald er über diese "veredelten" Daten verfügt, braucht er noch Hacker für den Kontomissbrauch und Agenten für die Sicherung der kriminell erlangten Gewinne.

Die "Hacker" müssen mehr vertrauenswürdig als kompetent sein. Der Aufruf eines Homebanking-Portals und der Missbrauch von Kontozugangsdaten einschließlich "normaler" Transaktionsnummern nach dem alten TAN-Verfahren ist eine eher banale Sache.

Komplizierter wird es, wenn die ausländische Herkunft des Angriffs verschleiert werden muss. Dann muss der Hacker einen Anonymisierer benutzen, der allerdings dem Rechenzentrum der angegriffenen Bank ebenfalls auffallen könnte.

Die Alternative dazu ist die Nutzung eines unauffälligen Rechners, dessen Standort im Zielland ist. Dazu muss sich der Hacker entweder bereits dort befinden oder ein infiltriertes Gerät nutzen. Dazu wiederum eignen sich entweder gehackte Einzelgeräte oder Zombies aus einem Botnetz.
 

zurück zum Verweis nach oben

 
Großansicht: Cybercrime-Pyramide

 
 
„Was wir sagen können, ist, dass es keine richtig große Organisation ist, sondern dass es viele kleine Gruppen sind“
 
Bolduan, S. 31
 

 
Solche einfachen Angriffe auf die Bankkonten von Phishing-Opfern sind Dank des iTAN-Verfahrens und anderer Verbesserungen bei der Sicherheit des bargeldlosen Zahlungsverkehrs nicht mehr oder kaum noch möglich. Deshalb werden von den Cardern vermehrt die genannten Methoden 2. und 3. angewendet, die auf den Zahlungsverkehr online zugreifen.

Diese Angriffe erfordern jedoch zwingend die Infiltration der PCs der Opfer mit Malware, den Versand von Nachrichten und den unbemerkten Zugriff vermittels eines Botnetzes. Der Koordinator muss deshalb Vereinbarungen treffen mit Botnetzbetreibern über die Nutzung "ihrer" Infrastruktur, mit Malware-Schreibern über den Funktionsumfang maßgeschneiderter Software und benötigt einen Rogue-Provider, der ihm den Hostspeicherplatz für Pharmen, Updates sowie Fast-Flux-Server zur Verfügung stellt.

Schließlich benötigt der Koordinator noch Agenten, die ihre Girokonten zur Verfügung stellen und den kriminellen Gewinn zu ihm übertragen.

Die übrigen Erscheinungsformen der Cybercrime weichen wegen ihrer Anforderungen von diesem Beispiel ab. Das Grundmodell, wie es im Schaubild links angezeigt wird, bleibt dabei immer gleich:
 

 
Auf der Ebene unterhalb der Koordinatoren sind die Betreiber angesiedelt, die über Botnetze oder Drop Zones (Rogue-Provider) verfügen.

Sie sind ihrerseits auf Subunternehmer angewiesen, die ihnen die nötige Malware liefern oder für bestimmte "Geschäfte" besonders spezialisiert sind (z.B. Carder, Operation Groups).

Die Zulieferung besonderer Informationen (Adressen, Sicherheitslücken, Bankkonten) oder Modulen (Rootkit, Hardware) erfolgt durch Zulieferer. Sie bleiben ebenso wie die Spezialisten und Handwerker im Hintergrund, die z.B. die Überwachungstechnik und die Dubletten für das Skimming oder Webseiten und Texte für das Phishing herstellen.

Die Administratoren kümmern sich um den laufenden Betrieb von Botnetzen und Pharmen.

Hacker im hier verwendeten Sinne werden für den Online-Missbrauch beim Phishing oder für das Ausspähen bei der Industriespionage benötigt. Auf dieser Ebene sind auch die Kontrolleure (Vorarbeiter) für die Agenten angesiedelt, die deren Einsätze abstimmen oder Finanzagenten betreuen.

Die Basis stellen schließlich die Agenten, die sich im Licht der Öffentlichkeit bewegen müssen.
 

zurück zum Verweis nach oben Rogue-Provider

 
In einer ... Grauzone operieren die sogenannten Rogue Provider, die mit „bullet proof hosting“ werben, also im Prinzip versprechen, dass sie Ermittlungen von Strafverfolgern nicht übermäßig unterstützen und dass sie auf Missbrauch-Beschwerden nicht reagieren.
Bolduan, S. 32
 
Das ... Geschäftsmodell des RNB war simpel und dreist: Je mehr eine Domain in den Fokus der Öffentlichkeit geriet, je mehr Beschwerden an die E-Mail-Adresse für Missbrauch geschickt wurden, desto mehr Geld verlangten die Russen von ihren Kunden.
Bolduan, S. 32
 

 
Schurken-Provider betreiben wie andere Anbieter im Internet auch eine normale technische Infrastruktur. Sie sind autonome Systeme, also in sich geschlossene technische Netzwerke, die mit anderen internationalen Netzen und Carriern durch Verträge verbunden sind (20).

Ihre Netzdienste sind dieselben, die auch andere Host- und Zugangsprovider bieten: Die Verwaltung von DNS-Adressen, Speicherplatz ( Hostspeicher) und Kommunikationsplattformen (Chat, geschlossene Benutzergruppen).

Sie unterscheiden sich hingegen wegen ihres Geschäftsmodells, weil sie ihre Kunden gegenüber der Öffentlichkeit und vor allem vor den Strafverfolgungsbehörden abschotten. Dazu werden Scheinfirmen eingerichtet, die als Inhaber von Domänen geführt werden, oder Fantasie- und Aliasnamen benutzt. Dort, wo sich schurkische Dienste in der Öffentlichkeit präsentieren, wird dadurch ausgeschlossen, dass die Betreiber und Hinterleute aus Registern oder anderen öffentlichen Quellen identifiziert werden können [Bullet Proof Domains, siehe (21)].
  

 
Zum Zweck der Abschottung werden vereinzelt auch technische Tricks eingesetzt, die den technischen Standort des Rogue-Servers verschleiern (22).

antispam.de nennt diese Art von Unternehmen beschwerdeignorante Provider und Hoster und benennt einige von ihnen aus China, Korea, Russland und den USA. In Bezug auf Russland sind das informtelecom.ru (23) und das Russian Business Network (24). Auch Deutschland soll nicht frei von zögerlich reagierenden Providern sein.
 

 


zurück zum Verweis nach oben Russian Business Network - RBN

 
Das Russian Business Network (RBN) ist ein russischer Internetdienstanbieter mit Sitz in St. Petersburg, Levashovskiy Prospekt 12. Ein großes Netz von Tochterfirmen haben u.a. ihren Sitz auf den Seychellen, in Panama, Türkei, China und Großbritannien. Als Carrier sind RBNRechner teilweise mit denen von Firmen wie AkiMon sowie SBT-Tel vernetzt, deren Uplink Silvernet über Anschlüsse an großen Rechnerknoten wie MSK-IX verfügen. Die Zeitschrift c't ordnet den Provider der Gruppe der Rogue ISPs zu, die ihre kriminellen Kunden vor dem Zugriff von Justizbehörden schützen und welche deren Dienstleistungen auch dann weiter betreiben, wenn sich Beschwerden häufen. Zu den Angeboten von Kunden von RBN gehören Affiliatensysteme wie iFramecash.net, Rock-Phish-Crew. Zu den Techniken gehören teilweise Innovationen wie Fast Flux-botnet (schneller Wechsel), welche IP-Spuren verwischen sollen. Schadsoftware wie MPack-Kit, Sturmwurm-Bot, Gozi-Bot, Torpig oder 76Serve, (vermietbare Bot-Armee-Software, die zur Ausspähung von Kreditkarten oder Identitäten dient), wird von RBN gehostet. (25)
 

 
nennt die Betreiber des RBN die "Bösesten der Bösen im Internet" (26) und meldete im Herbst 2007, dass es sich aus dem Internet zurück zöge: Fast alle bekannten Autonomous Systems (AS) des RBN sind seit Kurzem aus den globalen Routing-Tabellen verschwunden: RBN-AS, SBT-AS, MICRONNET-AS, OINVEST-AS, AKIMON-AS, CONNCETCOM-AS und NEVSKCC-AS. Einzig CREDOLINK-ASN ist im Moment noch in den Tabellen, obwohl deren Netze ebenfalls nicht mehr erreichbar sind. (ebenda).

Dank Bizeuls Untersuchung (27) kam etwas Licht in die Geschäftsaktivitäten des RBN und seiner Leitungspersonen. An der Spitze des RBN steht nach Bizeuls Recherchen ... ein Mann mit dem Decknamen "Flyman" (28). Der Firmensitz des nirgendwo registrierten und seit 2005 tätigen Unternehmens ist in St. Petersburg, Levashovskiy Prospekt 12 (29). Von flyman wird behauptet, er sei der Neffe eines hochrangigen Politikers aus Sankt Petersburg. So ließe sich erklären, warum der Bandenkopf offensichtlich unbehelligt seinen Geschäften nachgehen kann [auch (29), S. 93]. Faber identifiziert einen weiteren Akteur: Ging es um Domains von RBN oder SBT-Tel und AkiMon, fand sich oft der Name Nikolay Ivanov (S. 93).
  

 
Faber beschreibt in groben Zügen die Anbindungen des RBN (S. 93; siehe auch , Kasten links außen), die Ursprünge seiner kriminellen Aktivitäten (das Verbreiten von Kinderpornographie, die Verbreitung von Schadcode und die aktive Beteiligung am Phishing [Rock-Phish-Crew]) bis hin zur aktuellen Vermietung von Botnetzen, die für das Pghishing optimiert sind: Die Monatsmiete pro Bot konnte je nach dem, wie lange er bereits installiert ist, schon mal 1000 US-Dollar betragen. Je frischer der Bot, desto teurer ist er (S. 94).

Schließlich bringt Faber das RBN mit den Betreibern des Sturmwurm-Botnetzes in Verbindung, weil die über manipulierte Webseiten verbreitete Malware (MPack-Kit) bei RBN gehostet war (S. 94). Faber: Es scheint so, als fungiere das Russian Business Network als Katalysator, als jenes fehlende Teil, das zum Aufbau einer regelrechten Schattenwirtschaft im IT-Bereich nötig gewesen war (30).

 

zurück zum Verweis nach oben RBN lebt

 
Das Verschwinden des RBN im November 2007 war nur vorübergehend, wie schon Frank Ziemann im Februar 2008 zurückhaltend berichtete: St. Petersburg gilt als Hochburg der organisierten Online-Kriminalität. Auch das berüchtigte Russian Business Network (RBN), eine Art Internet-Provider für Online-Kriminelle, war bis vor wenigen Monaten dort angesiedelt, soll mittlerweile jedoch umgezogen sein. (31)


 


Faber (S. 96): Nur einen Tag später tauchten die ersten Sites wieder auf, gehostet allerdings in China und Hong Kong. ... In der Tat war wenig später zu beobachten, dass das RBN zwar weiterhin in Sankt Petersburg residiert, seine Services aber auf verschiedene Länder verteilt. ...

RBN habe seine Niederlassungen in Panama und der Türkei ausgebaut.

Das RBN ist also Mitte 2008 keineswegs Geschichte, sondern aufgrund der neuen Strategie lediglich wesentlich schwerer zu entdecken.
 

zurück zum Verweis nach oben Fazit

 
Bizeuls Recherchen [siehe (2)] zeigen, dass beharrliche Forschungen in Verbindung mit Erfahrungswissen verdeckte Strukturen und Zusammenhänge erhellen können. Das Russian Business Network zeigt dabei beispielhaft, wie mit der Kombination aus technischem Wissen, technischer Infrastruktur und den Methoden der Geldwäsche sowie der Verschleierung geschäftlicher Aktivitäten sichere Häfen für kriminelle Machenschaften im Internet aufgebaut und dauerhaft erhalten bleiben können.

Die Annahme von Bolduan [siehe (4)], Rogue-Provider in der Form des RBN hätten keine Zukunft und würden völlig von Botnetzen abgelöst, teile ich nicht. Botnetze sind ein schlagkräftiges und wandlungsfähiges Instrument für kriminelle Aktivitäten, können aber Drop Zones für die Lagerung krimineller Inhalte, die kontinuierliche Kommunikation zwischen Lieferanten, Subunternehmer usw. und geschlossene Benutzerkreise nicht ersetzen. Sie werden sich wandeln, aber nicht verschwinden.

Die Auseinandersetzung mit dem RBN hat eine Reihe neuer Begriffe wie Rogue-Provider, Carder, Koordinator oder Exploit-Händler zu Tage gefördert. Sie bergen in sich die Gefahr, die ganze Cybercrime-Szene als differenzierte Veranstaltung von Fachleuten anzusehen. In ihr werden sich sicherlich einige hoch qualifizierte und spezialisierte Einzelpersonen bewegen, die sich besonders mit technischen Einzelheiten befassen.
 

 
Wegen der geschäftsmäßigen Präsenz ist jedoch eine Unternehmensstruktur erforderlich, wie sie auch im Wirtschaftsleben bekannt ist. Auch dafür ist das RBN ein Beispiel.

Andererseits zeigt sich die Cybercrime-Szene auch nicht als geschlossenes Ganzes, sondern doch eher als ein geschäftlicher Verbund. Anders sind die offen angebotenen Dienste von Spezialisten nicht zu deuten.

Die Malware-Schreiber dürften sich in aller Regel als Einzelkämpfer herausstellen und die Betreiber als bandenförmige Gruppen. Dasselbe gilt für die Operation Groups, bei denen ich eine strenge Führung vermute.

Das RBN und andere Schurkenprovider können nur dort existieren, wo sie politisch unterstützt werden oder das behördliche und gesellschaftliche Bewusstsein über ihre Gefährlichkeit unterentwickelt ist. Insoweit gebe ich Muttik recht [siehe (12)], auch wenn ich nicht glaube, dass sich Russland alsbald aus der Cybercrime verabschiedet.

Sicherlich werden sich andere Schurkenprovider in Schwellenländern ansiedeln. Sie brauchen aber zweierlei: Eine leistungsfähige technische Netzstruktur, an die sie sich anschließen, und eine gesellschaftliche Umgebung, in der sie sich frei bewegen können. Beides bietet Russland.
 

zurück zum Verweis nach oben Anmerkungen

 
(1) gefährliche Lokale;
Russland wieder auf Platz Eins in der Malware-Achse des Bösen, tecchannel 21.02.2008.
Jüngere Zahlen wegen Malware-Anhänge an E-Mails lassen Russland eher unverdächtig erscheinen ( Schurkenstaaten). Auch im Spam-Monitor von funkwerk hat Russland seinen festen Platz, ohne aber auffallend häufig vertreten zu sein.

(2) David Bizeul, Russian Business Network study, bizeul.org 19.01.2008;
Russian Business Network - RBN

(3) Innovation im Untergrund, Heise online 20.03.2008;
drop zones: Sichere Speicherorte für kriminell erlangte oder kriminell genutzte Daten

(4) Gordon Bolduan, Digitaler Untergrund, Technology Review 4/2008, S. 26 ff.

(5) Frank Faber, Unter Verdacht. Eine russische Bande professionalisiert das Cybercrime-Business, c't 11/2008
 


(6) gemeiner Versuch: Zahlungsbestätigung

(7) Moritz Jäger, Das Netz der Phisher: Wie Online-Betrüger arbeiten, tecchannel 20.09.2006

(8) geklaute Daten zum Schnäppchenpreis;
Trojanerbaukasten mit Support;
qualitätskontrollierter Kontomissbrauch

(9) filigraner Angriff

(10) Holger Bleich,Trojaner-Sümpfe. DDoS- und Spam-Attacken gegen Bezahlung, c't 1/05, Seite 43;
Ferngesteuerte Spam-Armeen. Nachgewiesen: Virenschreiber lieferten Spam-Infrastruktur, c't 5/04, Seite 18

(11) Führung: Cybercrime;
Tom Espiner, Harald Weiss, Sicherheitsexperten: Storm-Botnet wird bald verkauft, ZDNet 17.10.2007

(12) Igor Muttik, Die Wirtschaft und nicht die Mafia treibt Malware voran, McAfee 12.02.2008;
erschienen in der Reihe "Analyse globaler Sicherheitsbedrohungen" - GTR
 

zurück zum Verweis nach oben
 

 
(13) Russland

(14) Muttik (12), S. 21

(15) Anatomie des Sturm-Wurms

(16) Trojanerbaukasten mit Support

(17) Botnetze: Wirkung wie DDoS

(18) Weihnachten ließ Botnetze schrumpfen, Heise online 28.12.2006

(19)  Bolduan (4), S. 32;
... die damit Kreditkarten fälschen oder hochwertige Wirtschaftsgüter im großen Stil bestellen (S. 30).

(20) autonome Systeme und Tiers

(21) Jürgen Schmidt, Hydra der Moderne. Die neuen Tricks der Spammer und Phisher, c't 18/2007;
... Bullet Proof Domains

(22) Russian Business Network bekannt? tecchannel 17.10.2007

(23) informtelecom.ru: Dieser russische Webhoster ist seit einigen Jahren schon immer wieder durch Hosten von Phishing-/Muli-Webseiten, Warez-Piracy-Seiten, Casino-Spam-Seiten, Bride-Scam-Seiten u.a. aufgefallen.
beschwerdeignorante Provider und Hoster
  

 
(24) RBN: Man erfreut sich offensichtlich bester Beziehungen zur russischen Regierung, der Betrieb geht seit Jahren unbehelligt in dieser Richtung weiter. Der gesamte IP-Adressbereich dieses russischen Providers steht auf der Blackliste von Spamhaus.org.
beschwerdeignorante Provider und Hoster

(25) Russian Business Network

(26) Die "Bösesten der Bösen im Internet" isoliert, Heise online 07.11.2007

(27) Russian Business Network - RBN;
siehe auch (2).

(28) Innovation im Untergrund, Heise online 20.03.2008

(29) Frank Faber, siehe (5)

(30) Frank Faber, siehe (5), S. 94, unter Bezugnahme auf Muttik, siehe (12)

(31)  Frank Ziemann, Sturm-Wurm-Bande bald hinter Gittern? PC-Welt 04.02.2008

zurück zum Verweis nach oben Cyberfahnder
© Dieter Kochheim, 17.08.2009