Abo
  • Services:
Anzeige

Rustock

Brian Krebs nennt Hintergründe zum Botnetzwerk

Sicherheitsexperte Brian Krebs hat mit einem der Reseller der Control Server des Botnets Rustock geprochen und Einblicke in das Botnetzwerk gewonnen, dessen mutmaßliche Besitzer offenbar Millionen an dem Netzwerk verdienten. Die Spuren führen nach Russland.

Der Sicherheitsexperte Brian Krebs hat Details über das abgeschaltete Rustock-Botnet veröffentlicht. Krebs machte einen Reseller ausfindig, der offenbar ein Drittel der Server für das Rustock-Botnet stellte und in russischen Spammer-Foren Werbung macht. Nachdem Krebs eingewilligt hatte, die Identität des Resellers nicht preiszugeben, gab dieser einige Informationen heraus. Seine Gesprächsbereitschaft wurde laut Krebs dadurch gefördert, dass der Botnet-Betreiber ihm 1.600 US-Dollar Servermiete schuldet.

Anzeige

Rustock hatte weltweit rund eine Million Rechner unter Kontrolle gehabt und diese genutzt, um bis zu 7.500 E-Mails pro 45 Minuten je Rechner zu verschicken. Dem Reseller zufolge waren die Server, die bei ihm bestellt wurden, ebenso unauffällig wie die Person, die die Server dann nutzte. Er habe nicht gewusst, dass die Server für ein Botnet bestimmt waren, sagte der Reseller Krebs. Beschwerden über die Control Server habe es nur zweimal gegeben; laut Krebs ist das für Botnet-Control-Server normal, da sie nur Steuerungsinformationen austauschen und gelegentlich Softwareupdates durchführen.

Der mutmaßliche Betreiber des Rustock-Botnets bezahlte einmal mit einem Webmoney-Account (vergleichbar mit Paypal). Dieser Account, dessen Nummer Krebs von dem Reseller erhielt, wurde mit einem russischen Pass legitimiert. Der Account gehört einer Person aus Sankt Petersburg, Russland, wie Krebs herausfinden konnte.

Krebs konnte den Webmoney-Zugang zudem mit dem Spamit.com-Projekt in Verbindung bringen, das sich mit Affiliate-Programmen für Medikamente beschäftigt hatte und im Oktober 2010 aufgrund des Drucks russischer Behörden geschlossen wurde. Krebs will im Besitz zahlreicher ICQ-Nummern, Telefonnummern und Daten über Finanztransaktionen von kriminellen Hackern und Spammern sein, die ihm anonym zugespielt wurden. Daraus konnte er nach eigenen Angaben ableiten, dass der Besitzer des Webmoney-Zugangs den Nickname Cosma2k nutzte und in drei Jahren über Spamit gut eine halbe Million US-Dollar verdiente. Krebs' Unterlagen zufolge wurde der Webmoney-Zugang noch mit anderen Nutzernamen genutzt, so dass mehrere Millionen US-Dollar zusammenkamen.

Sollte Cosma2k auch die Kontrolle über Rustock gehabt haben, habe er entweder das Botnet gemeinsam mit mehreren anderen kontrolliert oder mehrere Accounts genutzt, um unauffällig zu bleiben, schlussfolgert Krebs.

Nicht nur Brian Krebs kennt diverse Identitäten, die möglicherweise hinter dem Botnet stecken, sondern auch Microsoft. Der Firma war es mit Hilfe der Digital Crime Unit Mitte März 2011 in einer geplanten Aktion gelungen, nach mehreren Monaten Vorbereitung die Control Server des Rustock-Botnets auszuschalten. Microsoft nahm daraufhin ebenfalls Kontakt zu dem Reseller der Botnetserver auf. Laut Krebs will Microsoft demnächst die Verdächtigen über eine kommende Anhörung in Seattle, USA, informieren. Das ist notwendig, da Microsoft die Erlaubnis hatte, die Server auszuschalten, ohne den oder die Besitzer vorher zu informieren. Sie müssen nun Gelegenheit bekommen, sich zu äußern, sollten sie nicht erscheinen, gewinnt automatisch Microsoft den Fall.

Die Aufforderung, zur Anhörung zu erscheinen, solle eventuell auch in russischen Zeitungen veröffentlicht werden, sagt der Anwalt Richard Boscovich von der Digital Crimes Unit zu Krebs. Möglicherweise würden so die Identitäten der mutmaßlichen Botnetbetreiber offiziell bekannt. Bisher werden die Gegner von Microsoft in dem Fall nur als "John Does" geführt.


eye home zur Startseite
flaep 30. Mär 2011

"never change a working system"

IrgendeinNutzer 29. Mär 2011

Ja da hast du Recht, ist nicht lange her da bekam ich Meldungen von meiner Firewall und...

IrgendeinNutzer 29. Mär 2011

Der Artikel ist mir neu, kenne golem.de erst seit 3 Jahren.

unsigned_double 29. Mär 2011

Eine Mail hat im Durchschnitt weniger als 100kb (nur-Text). Bei nicht wenigen...

jemine 29. Mär 2011

Ich dachte ja gerade zuerst es handele sich im "Brain Krebs" und im Zuge dessen um einen...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Leinfelden-Echterdingen
  2. Robert Bosch GmbH, Bühl
  3. PME Personal- und Managemententwicklung Horst Mangold, Offenbach
  4. Robert Bosch GmbH, Stuttgart-Feuerbach


Anzeige
Top-Angebote
  1. (alle Angebote versandkostenfrei, u. a. Xbox One Special Edition Controller je 37,00€, Game of...
  2. für je 11,99€
  3. 22,46€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Die Woche im Video

    Grüne Welle und grüne Männchen

  2. Systemd.conf 2016

    Pläne für portable Systemdienste und neue Kernel-IPC

  3. Smartphones und Tablets

    Bundestrojaner soll mehr können können

  4. Internetsicherheit

    Die CDU will Cybersouverän werden

  5. 3D-Flash-Speicher

    Micron stellt erweiterte Fab 10X fertig

  6. Occipital

    VR Dev Kit ermöglicht Roomscale-Tracking per iPhone

  7. XPG SX8000

    Adatas erste PCIe-NVMe-SSD nutzt bewährte Komponenten

  8. UBBF2016

    Telefónica will 2G-Netz in vielen Ländern abschalten

  9. Mögliche Übernahme

    Qualcomm interessiert sich für NXP Semiconductors

  10. Huawei

    Vectoring erreicht bald 250 MBit/s in Deutschland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Swift Playgrounds im Test: Apple infiziert Kinder mit Programmiertalent
Swift Playgrounds im Test
Apple infiziert Kinder mit Programmiertalent
  1. Asus PG248Q im Test 180 Hertz erkannt, 180 Hertz gebannt

MacOS 10.12 im Test: Sierra - Schreck mit System
MacOS 10.12 im Test
Sierra - Schreck mit System
  1. MacOS 10.12 Sierra fungiert als alleiniges Sicherheitsupdate für OS X
  2. MacOS Sierra und iOS 10 Apple schmeißt unsichere Krypto raus
  3. Kaspersky Neue Malware installiert Hintertüren auf Macs

Android 7.0 im Test: Zwei Fenster für mehr Durchblick
Android 7.0 im Test
Zwei Fenster für mehr Durchblick
  1. Android-X86 Desktop-Port von Android 7.0 vorgestellt
  2. Android 7.0 Erste Nougat-Portierung für Nexus 4 verfügbar
  3. Android 7.0 Erste Nougat-Portierungen für Nexus 5 und Nexus 7 verfügbar

  1. Revolution

    Terence01 | 08:47

  2. Re: Verständnisfrage:

    Moe479 | 08:43

  3. Induktionsherd...

    hb121280 | 08:39

  4. Re: Golem nervt!

    Moe479 | 08:37

  5. Revolution

    Terence01 | 08:37


  1. 09:02

  2. 08:01

  3. 19:24

  4. 19:05

  5. 18:25

  6. 17:29

  7. 14:07

  8. 13:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel