"Das Botnet ist eine Ressource. Und als Ressource kann es eingesetzt werden, für was immer der Betreiber möchte."
So Tillmann Werner von den Kaspersky Labs. Und was das im Fall von Coreflood bedeutet hat, erläutert Mikko Hypönnen, der Technikchef des finnischen IT-Sicherheitsunternehmens F-Secure:
"Wir glauben, dass Coreflood ursprünglich von Russland oder der Ukraine aus kontrolliert wurde und dass Teile des Botnet an andere Angreifer vermietet wurden. Das heißt, dass verschiedene Computer in diesem Netz für verschiedene Zwecke eingesetzt wurden. Wir haben beobachtet, dass Spam versandt wurde. Keylogger wurden verwendet, um Passwörter zu stehlen. Und wir wissen, dass es Angriffe auf finanzielle Transaktionen gab. Leute haben Geld verloren, als sie Online-Banking auf infizierten Rechnern betrieben."
Vor allem als digitale Bankräuber waren die zwei Millionen Bots oder Zombies von Coreflood erfolgreich. 100 Millionen Dollar sollen die Betreiber des Netzes, die Bot-Herder, erbeutet haben. Jetzt hat das FBI Coreflood unter seine Kontrolle gebracht. Es hat fünf Steuerungsrechner und 29 Internet-Domains beschlagnahmt. Bei diesen Web-Adressen melden sich die Schadprogramme der infizierten Computer gleich nach dem Booten, um die Befehle der Bot-Herder zu empfangen. Und wenn ein Zombie im Auftrag seines Meisters Daten erbeutet hat, dann liefert er sie dort ab. Hypönnen:
"Das FBI hat den Datenverkehr von und zu diesen Web-Sites auf seine eigenen Server umgeleitet. Und weil dort eine Kopie der Steuerungs-Software läuft, können sie jetzt wie der Betreiber des Botnets handeln. Sie können jedes Kommando, das sie wollen, zu jedem infizierten Computer senden."
Allerdings sendet das FBI nur ein einziges Kommando, nämlich den Stopp-Befehl. Der beendet die Schadprogramme auf allen laufenden Rechnern, so die denn auf dem Staatsgebiet der USA stehen. Man kann sich das vorstellen wie in einem Horrorfilm. Auf Befehl seines Meisters hin fällt der Zombie in Todesstarre. Hypönnen:
"Unglücklicherweise erwacht er wieder, wenn der Rechner neu bootet. Deshalb sendet das FBI laufend das Stopp-Kommando von ihrer Kopie der Steuerungszentrale zu allen infizieren Rechnern. Mit der Folge, dass das Botnet lahmgelegt wird."
Dass die Polizei Zombies Befehle gibt, ist neu. Bislang hat sie sich darauf beschränkt, die Steuerungsrechner von Bot-Netzen, die Command-and-Control-Server, abzuklemmen. Allerdings erholten sich derart enthauptete Zombie-Armeen oft auf wundersame Weise recht schnell. Die Steuerungszentralen nämlich sind meist mehrfach redundant ausgelegt. Fällt ein Command-and-Control-Server aus oder der Polizei in die Hände, übernimmt ein anderer die Steuerungsaufgaben. Und in der Vergangenheit haben die Ordnungshüter oft den einen oder anderen Server im großen Cyberspace übersehen. Mikko Hypönnen:
"Wenn das FBI sicher sein könnte, dass es alle Command-and-Control-Server ausgeschaltet hat und dass es keine Hintertür gibt und keine Möglichkeit, wieder einen Command-and-Control-Server zur Verfügung zu stellen, dann bestünde keine Notwendigkeit, den Stopp-Befehl an einzelne Rechner zu schicken. Es ist eine zusätzliche Sicherheitsmaßnahme. Das machen sie, um sicher zu gehen, dass das Botnet lahmgelegt ist."
So Tillmann Werner von den Kaspersky Labs. Und was das im Fall von Coreflood bedeutet hat, erläutert Mikko Hypönnen, der Technikchef des finnischen IT-Sicherheitsunternehmens F-Secure:
"Wir glauben, dass Coreflood ursprünglich von Russland oder der Ukraine aus kontrolliert wurde und dass Teile des Botnet an andere Angreifer vermietet wurden. Das heißt, dass verschiedene Computer in diesem Netz für verschiedene Zwecke eingesetzt wurden. Wir haben beobachtet, dass Spam versandt wurde. Keylogger wurden verwendet, um Passwörter zu stehlen. Und wir wissen, dass es Angriffe auf finanzielle Transaktionen gab. Leute haben Geld verloren, als sie Online-Banking auf infizierten Rechnern betrieben."
Vor allem als digitale Bankräuber waren die zwei Millionen Bots oder Zombies von Coreflood erfolgreich. 100 Millionen Dollar sollen die Betreiber des Netzes, die Bot-Herder, erbeutet haben. Jetzt hat das FBI Coreflood unter seine Kontrolle gebracht. Es hat fünf Steuerungsrechner und 29 Internet-Domains beschlagnahmt. Bei diesen Web-Adressen melden sich die Schadprogramme der infizierten Computer gleich nach dem Booten, um die Befehle der Bot-Herder zu empfangen. Und wenn ein Zombie im Auftrag seines Meisters Daten erbeutet hat, dann liefert er sie dort ab. Hypönnen:
"Das FBI hat den Datenverkehr von und zu diesen Web-Sites auf seine eigenen Server umgeleitet. Und weil dort eine Kopie der Steuerungs-Software läuft, können sie jetzt wie der Betreiber des Botnets handeln. Sie können jedes Kommando, das sie wollen, zu jedem infizierten Computer senden."
Allerdings sendet das FBI nur ein einziges Kommando, nämlich den Stopp-Befehl. Der beendet die Schadprogramme auf allen laufenden Rechnern, so die denn auf dem Staatsgebiet der USA stehen. Man kann sich das vorstellen wie in einem Horrorfilm. Auf Befehl seines Meisters hin fällt der Zombie in Todesstarre. Hypönnen:
"Unglücklicherweise erwacht er wieder, wenn der Rechner neu bootet. Deshalb sendet das FBI laufend das Stopp-Kommando von ihrer Kopie der Steuerungszentrale zu allen infizieren Rechnern. Mit der Folge, dass das Botnet lahmgelegt wird."
Dass die Polizei Zombies Befehle gibt, ist neu. Bislang hat sie sich darauf beschränkt, die Steuerungsrechner von Bot-Netzen, die Command-and-Control-Server, abzuklemmen. Allerdings erholten sich derart enthauptete Zombie-Armeen oft auf wundersame Weise recht schnell. Die Steuerungszentralen nämlich sind meist mehrfach redundant ausgelegt. Fällt ein Command-and-Control-Server aus oder der Polizei in die Hände, übernimmt ein anderer die Steuerungsaufgaben. Und in der Vergangenheit haben die Ordnungshüter oft den einen oder anderen Server im großen Cyberspace übersehen. Mikko Hypönnen:
"Wenn das FBI sicher sein könnte, dass es alle Command-and-Control-Server ausgeschaltet hat und dass es keine Hintertür gibt und keine Möglichkeit, wieder einen Command-and-Control-Server zur Verfügung zu stellen, dann bestünde keine Notwendigkeit, den Stopp-Befehl an einzelne Rechner zu schicken. Es ist eine zusätzliche Sicherheitsmaßnahme. Das machen sie, um sicher zu gehen, dass das Botnet lahmgelegt ist."