Vier Jahre lang betrieben sechs Leute das DNSChanger-Botnet und erbeuteten mit ihm laut Angaben des FBI 14 Millionen US-$ - bis sie jetzt nach 2 Jahren Ermittlungen des FBI in Estland festgenommen und angeklagt wurden (1).
 

Die Erklärungen in der aktuellen (siehe links) wirken plausibel und kompetent, sind auf dem zweiten Blick aber lückenhaft. Beschrieben wird das DNS-Poisoning (2) und der Text wechselt locker zwischen den beiden wichtigsten Formen hin und her ( markierter Text) .

Die Bande (so ) habe mehrere Firmen betrieben, die Internetwerbung und "garantierte Webseitenaufrufe" anboten. Ihre Malware veranlasste die infizierten Rechner dazu, beim Besuch prominenter Webseiten nicht die dort eigentlich angebotene Werbung anzuzeigen, sondern andere Werbungen, die von den Tätern gesteuert wurden.

Die Methode, die dazu verwendet wurde, ist auf dem ersten Blick im Gegensatz zu denen, die wir von anderen Botnetzen gewohnt sind, noch relativ harmlos. Die Malware verbiegt nämlich in erster Linie die Host-Datei im Opferrechner (3). Dabei handelt es sich um eine von allen Betriebssystemen installierte Liste, die die beschreibenden Internetnamen (im Beispiel: google.com) zu der eigentlich üblichen nummerischen Internetadresse auflöst. Dadurch wird im Browser eben nicht "google.com", sondern eine Seite aufgerufen, die die Täter auswählen (4).

Schon 2008 wurde berichtet, dass die Malware mehr kann (5). Zunächst griff sie nur die örtlichen DSL-Router an und manipulierte deren Einstellungen - mit demselben Effekt, dass dadurch ebenfalls Anfragen ins Internet umgeleitet wurden. Der DSL-Router ist mit anderen Worten ein Gateway, das in aller Regel über eine einfache Firewall und über eine eigene Hosttabelle verfügt, die im wesentlichen dazu dient, Anfragen wegen unbekannter (nummerischer) Internetadressen an einen DNS-Server weiter zu leiten, der die Namensräume verwaltet ( Root, Internetverwaltung). Die Malware bewirkte, dass die Anfragen an einen DNS-Server gerichtet wurden, den die Täter selber betrieben.
 

 
Neuere Versionen der Malware richteten auf dem infizierten Zombie auch einen DHCP-Server ein (6). Das ist ein Netzwerkdienst in einem lokalen Netzwerk, der jedem angeschlossenen Rechner eine nummerische Netzadresse zuweist, sobald er sich meldet, ohne dass die Adressen vorher fest konfiguriert werden müssen. In kleinen Netzwerken (häusliche LAN, kabellose WLAN (7) ) richten sich die Endgeräte regelmäßig an den DSL-Router, um von ihm eine örtliche Netzadresse zu bekommen. Er ist dann auch ein DHCP-Server. Durch die Manipulation am DSL-Server bewirkte die Malware, dass die Zuweisung nicht vom Gateway, sondern vom infizierten Rechner erfolgte.

Das hatte folgende Wirkungen: Alle Geräte, die sich beim LAN anmeldeten, also auch die (noch) nicht infizierten, wurden wegen ihrer Netz- und Internetanfragen zunächst zum infizierten Rechner geleitet, der dann auch die Vermittlung zum DSL-Router als Gateway zum Internet steuerte und dabei wiederum zum DNS-Server der Täter umleitete. Davon betroffen waren alle Geräte unabhängig davon, unter welchem Betriebssystem sie liefen (auch Linux oder Mac-OS), und mobile Geräte, wenn sie sich über das örtliche Funknetz zum Internet verbanden. Das war dadurch möglich, dass das für alle einheitliche Internetprotokoll genutzt und für die Täterzwecke die Konfigurationen von Netzkomponenten "verbogen" wurden.

Nach Angaben des FBI soll die Malware auch Virenscanner an ihrer Aktualisierung gehindert haben.

Damit erweist sich die Malware als nicht so harmlos wie auf dem ersten Blick. Sie ist in der Lage, andere Netzwerkkomponenten anzugreifen (DSL-Router) und verändert nicht nur die lokale Hosttabelle im infizierten Gerät. Sie setzt die für Botware üblichen Techniken ein (Schwachstellen / Exploits, Rootkits zum Tarnen) und installiert auf dem befallenen Gerät Komponenten, die auch nicht infizierte Geräte beeinflussen. Damit ist sie in der Lage, auch alle anderen Funktionen zu übernehmen, die von der Botware bekannt sind: Updates laden und installieren, die befallenen Systeme ausspionieren und zu Aktionen bereit stehen (Spam, DDoS). Die Einflussnahme auf unbefallene Geräte erleichterte es den Tätern, auch weitere Geräte auf infizierte Webseiten zu locken und von dort aus Malware zu injezieren.

Danach ist zu vermuten, dass die Täter neben Pharmen nicht nur einen DNS-Server, sondern auch einen C & C-Server betrieben, der das Botnetz mit Updates und Instruktionen versorgte.

Laut sollen weltweit 2 Millionen Systeme von DNSChanger befallen gewesen sein, davon 500.000 in den USA.
 

 
Die Meldung bestätigt mehrere Annahmen, die ich bislang aus anderen Quellen geschlossen habe. Die Tätergruppe besteht aus sechs Leuten und bestand seit 2007. Sie waren vier Jahre lang aktiv und verfügten über eigene Firmen, die für legal erscheinende Geschäfte eingerichtet wurden. Schon 2008 waren verschiedene Versionen mit immer wieder neuen Funktionen bekannt gewesen. Das spricht dafür, dass die Botware schon frühzeitig über eine Update-Funktion verfügte, sonst hätte sich das Botnetz wohl keine vier Jahre in dieser Größe halten können.

Paget hat 2010 geschätzt, dass für den Betrieb eines Botnetzes zwei bis drei gute Programmierer nötig sind (8). Ich habe vermutet, dass mindestens zwei Leute für die Logistik hinzu kommen, die die Werbung, den Einkauf, die Kundenbetreuung, den Zahlungsverkehr und die interne Qualitätskontrolle abwickeln (9). Hier haben wir es sogar mit sechs Tätern zu tun, so dass tatsächlich nach deutschem Strafrecht die Bildung einer Bande und einer kriminellen Vereinigung nahe liegt (10). Der Betrieb eigener Firmen zu kriminellen Zwecken macht das Ganze zu einer Form der Organisierten Kriminalität. Das hat zwar keine Auswirkungen auf die Strafbarkeit, belegt aber zusätzlich die Bedeutung, die ihrer Bekämpfung zukommt.

DNSChanger weist gegenüber üblicher Botware mehrere Besonderheiten auf. Das ist einerseits der Betrieb von Webseiten, die die Täter eingerichtet haben, um darüber gewerbliche Werbung zu verbreiten. Nach der Meldung bleibt unklar, welche Methoden sie dazu verwendet haben. Am einfachsten wäre es gewesen, die Inhalte begehrter Webadressen zu spiegeln und dabei die Werbebanner auf der gespiegelten Seite auszutauschen. Eine andere und weniger aufwändige Methode könnte darin bestanden haben, die Bezugsadressen für die Werbebanner großer werbender Unternehmen zu verändern.

Die Manipulationen an den DSL-Routern ist ungewöhnlich und die Einrichtung von DHCP-Servern noch mehr. Die meisten DSL-Router sind jedoch - auch für den Zugriff von "innen" - durch Kennwörter geschützt, wobei die Anwender vielfach die Werkseinstellungen unverändert lassen. Einzelheiten sind unbekannt und wären interessant.

Alles in Allem ist die Festnahme der Täter ein Erfolg, ein Schlag gegen die Organisierte Cybercrime und Anlass zur Freude. Das Beispiel zeigt, dass mit großem Aufwand und langem Atem die Cybercrime wirksam verfolgt und zerschlagen werden kann.
 

(1) FBI nimmt DNSChanger-Botnetz hoch, c't 25/2011 S. 41 (nur Heftansicht)

(2) Umleitungen im Internet, 21.11.2008

(3) Frank Ziemann, Malware installiert böswilligen DHCP-Server im Netz, PC-Welt 08.12.2008

(4) DNS-Poisoning, 21.11.2008. Bei Windows ist die Hosttabelle in die Registry integriert.

(4) (3)

(5) Auflösung von DNS-Adressen. Animation, 2007

(6) (3). Dynamic Host Configuration Protocol - DHCP.

(7) Local Area Network - LAN; Wireless LAN -WLAN)

(8) François Paget, Cybercrime and Hacktivism, McAfee 15.03.2010, S. 44

(9) Dieter Kochheim, IuK-Strafrecht, 29.10.2011, S. 31

(10) Ebenda (9), S. 46 bis 48.