US-Behörden übernehmen internationales Botnetz

US-Behörden haben ein Botnetz stillgelegt und dabei fünf Kontrollserver und 29 Domains funktionsunfähig gemacht. Auf der Grundlage einer einstweiligen Verfügung kontrollieren sie jetzt das Botnetz selbst, stoppen nach eigenen Angaben die Schadsoftware auf den infizierten Computern und verhindern Updates der Malware. Die Besitzer der betroffenen Rechner werden benachrichtigt und können sich gegen einen Eingriff der Behörden entscheiden.

Es ist das erste Mal, dass Strafverfolger in den Vereinigten Staaten ein Gericht um Erlaubnis gebeten haben, ein Botnetz zu übernehmen. Die Aktionen seien „die vollständigsten und umfassendsten Polizeimaßnahmen, die jemals von US-Behörden unternommen wurden, um ein internationales Botnetz auszuschalten“, heißt es in einer Stellungnahme des US-Justizministeriums. Einen ähnlichen Fall gab es laut Department of Justice Ende 2010 in den Niederlanden, als die dortige Polizei „gute“ Software auf mit dem Bredolab-Virus infizierte Rechner lud.

Laut einstweiliger Verfügung haben die US-Fahnder die Server des Botnetzes, das Rechner mit dem „Coreflood“-Virus infizierte, durch eigene Server ersetzt. Diese offiziellen Server antworten jetzt auf die Signale der „Coreflood“-Clients in aller Welt. Das Botnetz soll in den fast zehn Jahren seines Bestehens mehr als zwei Millionen Windows-Rechner infiziert haben. Coreflood zeichnet Tastaturanschläge an den betroffenen Rechnern auf und kann so zum Beispiel Passworte, Kreditkartendaten oder Kontoinformationen stehlen (Keylogger).

Die Beamten arbeiten nach eigener Auskunft mit Internet Service Providern (ISP) zusammen, um die Besitzer der infizierten Computer anhand ihrer IP-Adressen zu identifizieren und sie zu warnen. Die Betroffenen können einen Eingriff der Behörden auf ihren Computer ablehnen. „Die Gesetzeshüter werden keinesfalls auf Informationen zugreifen, die auf den infizierten Computern gespeichert sind“, heißt es in der Stellungnahme.

Die neu eingesetzten „legalen“ Server werden von dem gemeinnützigen Internet Systems Consortium unter Aufsicht der Strafverfolgungsbehörden betrieben, wie aus den Gerichtsakten hervorgeht. Microsoft soll inzwischen sein Tool zum Entfernen bösartiger Software mit Signaturen aktualisiert haben, so dass es „Coreflood“ beseitigt.

Die Staatsanwaltschaft von Connecticut hat Zivilklagen gegen 13 Unbekannte erhoben. Die Vorwürfe lauten auf Datenbetrug (Wire Fraud), Bankbetrug und das illegale Abfangen von elektronisch übertragenen Informationen.

Von März 2009 bis Januar 2010 hatte ein Coreflood-Server allein rund 190 GByte Daten von 413.710 infizierten Rechnern gesammelt, schreibt das Gericht. Zu den Opfern zähle unter anderem ein Maklerunternehmen in Michigan, das um 115.771 Dollar (80.444 Euro) betrogen wurde. Ein Rechtsanwaltsbüro in South Carolina verlor 78.421 Dollar (54.491 Euro) und eine Investmentfirma in North Carolina 151.201 Dollar (105.063 Euro). Ein Partnerunternehmen des Verteidigungsministeriums in Tennessee wurde laut Akte sogar um 934.528 Dollar (649.361 Euro) gebracht.