Cybercrime

Dieter Kochheim, Cybercrime - 84 -können 486 .Bolduan bleibt nicht bei der Beschreibung des Botnetz-Phänomens,sondern widmet sich vor alemdem Netzwerk der Cyber-Kriminellen.Die beteiligten Spezialisten lassen sich nämlichwegen ihrer Aufgaben und Tätigkeiten unterscheidenund dürften teilweise in Bandenstrukturen organisiertsein.C.1 3. organisierte BotnetzeMalware missbraucht Sicherheitslücken. Die Zombie-Softwarezum Betrieb eines Botnetzes ist einespezialisierte Form von Malware, die ihrem Einsatzzweckangepasst ist.In der frühen Hackerkultur war es üblich, Sicherheitslückenzu veröffentlichen, um die Herstellervon Hard- und Software unter Druck zu setzen, damitsie Gegenmaßnahmen treffen. Daneben hatsich inzwischen ein Markt für unbekannte undeben nicht veröffentlichte Sicherheitslücken entwickelt.Diese Händler nennt Bolduan Exploit-Händler(Exploit Vendors), die ihre Kenntnisse an dieEntwickler von Malware verkaufen.Mit den Toolkit-Schreibern identifiziert er einezweite Gruppe von Spezialisten. Sie liefern dieFunktionen zur Tarnung der infiltrierten Software.Die Malware-Schreiber führen die Zulieferungender Exploit-Händler und Toolkit-Schreiber zusammen.Sie produzieren entweder ein fertiges Programmoder entwickeln Malware-Baukästen, diesie vermarkten 487 .Bereits Moritz Jäger hat darauf hingewiesen, dassin dieser Szene Verrechnungskonten auf der Basisvon Edelmetallen sehr beliebt seien 488 . Sie lassendie verzögerungsfreie Verrechnung geldwerter Forderungenzu und sind nur etwas zögerlich bei demTransfer zu nationalem Geld. Der Anbieter E-Goldführt zum Beispiel für jeden der Beteiligten ein Guthabenkontoin der Verrechnungseinheit "Gold", womitdie gegenseitigen Forderungen ab- und zuge-486CF, Anatomie des Sturm-Wurms, 06.03.2008487CF, Trojanerbaukasten mit Support, 20.06.2008488CF, neuartige Finanzdienste, 2007bucht werden können 489 .Bolduan 490 benennt als Alternative den BezahldienstWebMoney (wmz), dessen Webadresseauf eine WebMoney Corporation in Japan registriertist und der als Support-Kontakt eine Adressein Moskau angibt; auf einer Liste der WebMoneyakzeptierenden Händler finden sich hauptsächlichOnline-Kasinos, Kreditkartendienste undGoldbörsen – und dazu ein ukrainisches Programmierer-Team.Botnetze richten sich meistens gegen eine Vielzahlvon Opfern 491 , wenn nicht ein verteilter Angriffoder eine Spionageaktion gegen ein einzelnesZiel gerichtet wird.Einzelne Zombies fallen immer wieder aus, weilsie vorübergehend aus dem Netz genommenwerden, eine Antiviren-Software die Malware aufgespürtund unschädlich gemacht oder das Opfersich einen neuen PC zugelegt hat 492 . Zum Erhaltseines Botnetzes muss der Betreiber deshalb immerwieder Malware verteilen, um durch neueZombies den Bestand zu erhalten oder auszubauen.Solange dabei E-Mail-Anhänge verwendetwerden, lässt sich zur Verteilung das schon bestehendeBotnetz nutzen.Die Kenntnisse der Anwender und die Sicherheitsfunktionenin den PCs haben zugenommen,so dass die Malwareverbreitung vermehrt dazuübergegangen ist, Injektionsverfahren einzusetzen,die beim Surfen im Internet oder beim Öffnenbislang als harmlos geltender Dokumente zumZuge kommen.Die inzwischen sehr häufig eingesetzten infiltriertenWebseiten bedürfen eines Speicherplatzes,von dem aus sie abgerufen werden können. Dazukann ein infiltrierter Rechner aus dem Botnetzverwendet werden. Das ist jedoch ineffektiv, weildie Zombies in aller Regel über ihre Zugangsproviderdynamische IP-Adressen zugewiesen bekommenund der belastende Datentransfer zu489CF, Verrechnungssysteme auf der Basis vonEdelmetallen, 2007490Balduan, S. 32491CF, Botnetze: Wirkung wie DDoS, 17.10.2007492Weihnachten ließ Botnetze schrumpfen, Heiseonline 28.12.2006