Abo
  • Services:

Rustock

Brian Krebs nennt Hintergründe zum Botnetzwerk

Sicherheitsexperte Brian Krebs hat mit einem der Reseller der Control Server des Botnets Rustock geprochen und Einblicke in das Botnetzwerk gewonnen, dessen mutmaßliche Besitzer offenbar Millionen an dem Netzwerk verdienten. Die Spuren führen nach Russland.

Artikel veröffentlicht am ,

Der Sicherheitsexperte Brian Krebs hat Details über das abgeschaltete Rustock-Botnet veröffentlicht. Krebs machte einen Reseller ausfindig, der offenbar ein Drittel der Server für das Rustock-Botnet stellte und in russischen Spammer-Foren Werbung macht. Nachdem Krebs eingewilligt hatte, die Identität des Resellers nicht preiszugeben, gab dieser einige Informationen heraus. Seine Gesprächsbereitschaft wurde laut Krebs dadurch gefördert, dass der Botnet-Betreiber ihm 1.600 US-Dollar Servermiete schuldet.

Stellenmarkt
  1. Securiton GmbH IPS Intelligent Video Analytics, München
  2. PAUL HARTMANN AG, Heidenheim an der Brenz

Rustock hatte weltweit rund eine Million Rechner unter Kontrolle gehabt und diese genutzt, um bis zu 7.500 E-Mails pro 45 Minuten je Rechner zu verschicken. Dem Reseller zufolge waren die Server, die bei ihm bestellt wurden, ebenso unauffällig wie die Person, die die Server dann nutzte. Er habe nicht gewusst, dass die Server für ein Botnet bestimmt waren, sagte der Reseller Krebs. Beschwerden über die Control Server habe es nur zweimal gegeben; laut Krebs ist das für Botnet-Control-Server normal, da sie nur Steuerungsinformationen austauschen und gelegentlich Softwareupdates durchführen.

Der mutmaßliche Betreiber des Rustock-Botnets bezahlte einmal mit einem Webmoney-Account (vergleichbar mit Paypal). Dieser Account, dessen Nummer Krebs von dem Reseller erhielt, wurde mit einem russischen Pass legitimiert. Der Account gehört einer Person aus Sankt Petersburg, Russland, wie Krebs herausfinden konnte.

Krebs konnte den Webmoney-Zugang zudem mit dem Spamit.com-Projekt in Verbindung bringen, das sich mit Affiliate-Programmen für Medikamente beschäftigt hatte und im Oktober 2010 aufgrund des Drucks russischer Behörden geschlossen wurde. Krebs will im Besitz zahlreicher ICQ-Nummern, Telefonnummern und Daten über Finanztransaktionen von kriminellen Hackern und Spammern sein, die ihm anonym zugespielt wurden. Daraus konnte er nach eigenen Angaben ableiten, dass der Besitzer des Webmoney-Zugangs den Nickname Cosma2k nutzte und in drei Jahren über Spamit gut eine halbe Million US-Dollar verdiente. Krebs' Unterlagen zufolge wurde der Webmoney-Zugang noch mit anderen Nutzernamen genutzt, so dass mehrere Millionen US-Dollar zusammenkamen.

Sollte Cosma2k auch die Kontrolle über Rustock gehabt haben, habe er entweder das Botnet gemeinsam mit mehreren anderen kontrolliert oder mehrere Accounts genutzt, um unauffällig zu bleiben, schlussfolgert Krebs.

Nicht nur Brian Krebs kennt diverse Identitäten, die möglicherweise hinter dem Botnet stecken, sondern auch Microsoft. Der Firma war es mit Hilfe der Digital Crime Unit Mitte März 2011 in einer geplanten Aktion gelungen, nach mehreren Monaten Vorbereitung die Control Server des Rustock-Botnets auszuschalten. Microsoft nahm daraufhin ebenfalls Kontakt zu dem Reseller der Botnetserver auf. Laut Krebs will Microsoft demnächst die Verdächtigen über eine kommende Anhörung in Seattle, USA, informieren. Das ist notwendig, da Microsoft die Erlaubnis hatte, die Server auszuschalten, ohne den oder die Besitzer vorher zu informieren. Sie müssen nun Gelegenheit bekommen, sich zu äußern, sollten sie nicht erscheinen, gewinnt automatisch Microsoft den Fall.

Die Aufforderung, zur Anhörung zu erscheinen, solle eventuell auch in russischen Zeitungen veröffentlicht werden, sagt der Anwalt Richard Boscovich von der Digital Crimes Unit zu Krebs. Möglicherweise würden so die Identitäten der mutmaßlichen Botnetbetreiber offiziell bekannt. Bisher werden die Gegner von Microsoft in dem Fall nur als "John Does" geführt.



Anzeige
Spiele-Angebote
  1. 3,49€
  2. 59,99€ - Release 14.09.
  3. (-78%) 7,99€
  4. 7,49€

flaep 30. Mär 2011

"never change a working system"

IrgendeinNutzer 29. Mär 2011

Ja da hast du Recht, ist nicht lange her da bekam ich Meldungen von meiner Firewall und...

IrgendeinNutzer 29. Mär 2011

Der Artikel ist mir neu, kenne golem.de erst seit 3 Jahren.

unsigned_double 29. Mär 2011

Eine Mail hat im Durchschnitt weniger als 100kb (nur-Text). Bei nicht wenigen...

jemine 29. Mär 2011

Ich dachte ja gerade zuerst es handele sich im "Brain Krebs" und im Zuge dessen um einen...


Folgen Sie uns
       


Google Lens ausprobiert

KI mit Sehschwäche: Google Lens ist noch im Betastadium.

Google Lens ausprobiert Video aufrufen
Nissan Leaf: Wer braucht schon ein Bremspedal?
Nissan Leaf
Wer braucht schon ein Bremspedal?

Wie fährt sich das meistverkaufte Elektroauto? Nissan hat vor wenigen Monaten eine überarbeitete Version des Leaf auf den Markt gebracht. Wir haben es gefahren und festgestellt, dass das Auto fast ohne Bremse auskommt.
Ein Erfahrungsbericht von Werner Pluta

  1. e-NV200 Nissan packt 40-kWh-Akku in Elektro-Van
  2. Reborn Light Nissan-Autoakkus speisen Straßenlaternen
  3. Elektroauto Nissan will den IMx in Serie bauen

Wonder Workshop Cue im Test: Der Spielzeugroboter kommt ins Flegelalter
Wonder Workshop Cue im Test
Der Spielzeugroboter kommt ins Flegelalter

Bislang herrschte vor allem ein Niedlichkeitswettbewerb zwischen populären Spiel- und Lernrobotern für Kinder, jetzt durchbricht ein Roboter für jüngere Teenager das Schema nicht nur optisch: Cue fällt auch durch ein eher loseres Mundwerk auf.
Ein Test von Alexander Merz


    PGP/SMIME: Die wichtigsten Fakten zu Efail
    PGP/SMIME
    Die wichtigsten Fakten zu Efail

    Im Zusammenhang mit den Efail genannten Sicherheitslücken bei verschlüsselten E-Mails sind viele missverständliche und widersprüchliche Informationen verbreitet worden. Wir fassen die richtigen Informationen zusammen.
    Eine Analyse von Hanno Böck

    1. Sicherheitslücke in Mailclients E-Mails versenden als potus@whitehouse.gov

      •  /