Kampf der Hacker

26.04.2007 von Alexander Gostev
Alexander Gostev, Virenanalytiker von Kaspersky, berichtet von einem Krieg unter den Entwicklern von Computerwürmern und ihren Hintermännern, der im Herbst 2006 begann und bis heute Virenforscher in aller Welt in Atem hält.

Es begann im Winter 2006, als sich Antivirenhersteller mit Internetattacken von bisher nicht da gewesener Intensität auseinandersetzen mussten - organisiert von den unbekannten Autoren der Familie des E-Mail-Wurms Warezov. Die Antworten kamen dann ab Januar 2007, offensichtlich missfielen bestimmten Gruppen die Erfolge des Wurms, und sie holten zum Gegenschlag aus.

Die ersten Exemplare von Warezov tauchten im Oktober 2006 im Internet auf, Ende des Monats gab es bereits bis zu 20 neue Varianten pro Tag. Einige Charakteristika von Warezov erinnern an den berühmt-berüchtigten Wurm Bagle. So traten auch von Warezov innerhalb kürzester Zeit zahlreiche, regionale Varianten auf. Zudem ist der neue Wurm wie Bagle in der Lage, beliebige Module auf dem Opfercomputer im Stile eines Trojaners zu installieren und gleichzeitig E-Mail-Adressen zu sammeln.Bis zum Ende des Jahres 2006 entdeckten wir über 400 Varianten des Wurms Warezov. Seine Autoren organisierten zeitlich massive Spam-Versendungen neuer Varianten, was zum Aufbau eines gigantischen Bot-Netzes führte. Da Warezov zudem E-Mail-Adressen sammelte, war eine Flut von Spam- und Phishing-Attacken nur noch eine Frage der Zeit.

Denn faktisch hielten die Wurmautoren und deren Kunden nun einen großen Anteil des Schwarzmarktes illegalen E-Mail-Versands.

Gegenschlag nach dem Orkan

Am 18. Januar 2007 brach der Orkan "Kyrill" in Europa aus. Er kostete mehr als 30 Menschen das Leben. Zehntausende Europäer waren zudem von der Stromversorgung abgeschnitten. Am 20. Januar 2007 begann ein weiterer Sturm: Jetzt war es der E-Mail-Verkehr, der von einer gigantischen Flut von Spam-Benachrichtigungen überschwemmt wurde. E-Mails berichteten, dass dem Orkan "Kyrill" Hunderte Menschen zum Oper gefallen seien, russische Raketen chinesische und amerikanische Satelliten abgeschossen hätten und Präsident Putin tot sei. All dies sollte die Empfänger der Nachrichten dazu bringen, die an die Mails angehängte Datei zu öffnen.

Bei diesen Dateien handelte es sich aber um einen Trojaner, der eine Rootkit-Technologie verwendet. Inoffiziell "Storm Worm" genannt, wurde er unter "Zhelatin" in Antivirus-Datenbanken aufgenommen.

Wurm-Attacke gegen Hacker

Eine Analyse brachte interessante Resultate. Wie Warezov verwendete Zhelatin die befallenen Computer als trojanische Proxy-Server zum Spam-Versand und erstellte Botnetze zur Durchführung von DoS-Attacken. Es lässt sich unschwer erraten, wogegen diese Attacken unter anderem gerichtet waren: Gegen Webseiten, die von den Autoren des Wurms Warezov verwendet wurden, aber auch Sites verschiedener Anti-Spam-Organisationen waren betroffen.

Im Februar 2007 erreichte die Zhelatin-Epidemie ihren Höhepunkt. So hatte ein Cyberkrieg zwischen den Gruppierungen Warezov und Zhelatin begonnen. Der Umfang der Botnetze, die diesen zwei Gruppen zur Verfügung standen, und deren Angriffsbereitschaft ließen eines der ernsthaftesten Probleme der letzten Jahre im Netz befürchten.

Der bisher bekannteste Cyberkrieg fand im Frühjahr 2004 zwischen Mydoom, Bagle und Netsky statt. Damals gab es eine Flut von Dutzenden Varianten dieser Würmer, die ihre Konkurrenten auf den Opfercomputern suchten, sie löschten und deren Platz einnahmen. Das Ende dieses Krieges bescherte dem 18-jährigen deutschen Autor von NetSky, Sven Jaschan, eine Haftstrafe. Seine Schöpfung jedoch ist bis auf den heutigen Tag einer der am weitesten verbreiteten Würmer im E-Mail-Traffic. Von den damaligen Gegnern haben lediglich die Autoren des Wurms Bagle ihre Aktivität bis zum Jahr 2007 fortgesetzt.

Drei Gruppen mit dem einen Ziel

Alle drei Gruppen des jetzt entstandenen "Kriegs" aus verschiedenen Ländern verfolgen das gleiche Ziel: den Aufbau von Botnetzen zum Versand von Spam und zur Sammlung von E-Mail-Adressen. Sie sind alle direkt vom Geld der Spammer, die für das Bot-Netz und die E-Mail-Datenbank zahlen, abhängig. Daher sind die drei Gruppen gezwungen, sich gegenseitig mit allen ihnen zur Verfügung stehenden Mitteln zu bekämpfen, was wiederum zu endlosen Virenattacken auf gewöhnliche User führt. Um ihre Ziele zu erreichen, entwickeln sie ständig neue Methoden zur Umgehung der Antivirenfilter.

Fast 32 Prozent aller Schadprogramme im E-Mail-Traffic entfielen im März 2007 auf den Trojan-Spy.HTML.Bankfraud.ra-Trojaner - eine direkte Folge der Virenepidemien von Bagle, Zhelatin und Warezov. Es ist eine Phishing-Mail, die in millionenfacher Ausführung rund um den Erdball verschickt wird. Man kann nur raten, welche der drei Gruppen die Verantwortung für diese Phishing-Attacke trägt.