Weltmarktführer in Sachen Spam
Die aus Millionen gekaperten PCs bestehende "Zombie-Armee" des "Storm Worm" wird zum Großdienstleister für Spammer und Phishing-Betrüger aufgebaut. Dass die "Zombie-Armee" für eine verheerende DDoS-Attacke benutzt wird, hält Virenexperte Joe Pichlmayr aus ökonomischen Gründen für weniger wahrscheinlich.
Die unbekannten Kriminellen, die seit Anfang des Jahres 2007 das bisher größte bekanntgewordene Netz aus "Zombie-Rechnern" aufgebaut haben, geben den Anti-Virus-Experten durch ihr neuartiges Vorgehen Rätsel auf.
Für die herkömmlichen Varianten von Internet-Kriminalität, also Spam-Versand und Phishing, sind nämlich um Dimensionen kleinere Netze "entführter" Rechner gebräuchlich.
Verbreitungsmodus
Diese quer über die Netzwerke der Welt verteilten "Zombie-PCs", die unter Kontrolle der "Storm Worm"-Schreiber sind, können über einen vom Wurm eingeschleusten Trojaner [bzw. ein Rootkit] ferngesteuert werden. Die Benutzer der Maschinen wissen davon natürlich nichts.
Die "Zombie-Sammler" haben seit Anfang 2007 bereits mehrmals den Verbreitungsmodus gewechselt, statt über Mail-Anhänge fängt man sich Wurm und Trojaner nun über Links zu präparierten Websites ein. Die wiederum kommen über Spam-Mails, die andere infizierte Rechner verschicken.
Adaptiert und ferngesteuert
Dazu wurde die Schadsoftware mehrmals adaptiert, um weiter weltweit Rechner um Rechner kapern zu können. Die Schätzungen der Experten gingen im Juli noch von 250.000 bis einer Million Rechner aus, die teilweise über nicht ganz einfach zu entdeckende Rootkits ferngesteuert werden. Anfang August wurden die Schätzungen erneut nach oben [1,7 Millionen] korrigiert.
In zwei Wochen wurden allein 120 Millionen Spam-Mails gezählt, die Links zu Websites mit dem Schadprogramm enthielten.
Rechner aus Österreich
Zwischen 5.000 und 13.000 "Storm Worm"-Spams, die nur der eigenen Weiterverbreitung dienen, verfangen sich an durchschnittlichen Tagen derzeit in den Filtern des österreichischen Anti-Virus-Spezialisten Ikarus.
"Natürlich sind auch österreichische Rechner in der Hand der 'Storm Worm'-Bande, da es ja gerade im Internet keine Insel der Seligen gibt", sagt Joe Pichlmayr, Geschäftsführer von Ikarus.
Das DDoS-Modell
Dass diese Armee von "Zombie-Rechnern" dazu benutzt werden könnte, eine verheerende Welle von Denial-of-Service-Attacken [DDoS] gegen große Internet-Betreiber zu fahren, hält Pichlmayr nicht für den ersten Grund, dass ein so riesiges Bot-Net errichtet wird.
Hätten sie primär einen DDoS-Brachialüberfall vorgehabt, dann wären die Cyber-Kriminellen anders vorgangen, meint der Sicherheitsexperte. Dann hätten sie nämlich ein, zwei Dutzend verschiedene Bot-Nets scheinbar unabhängig voneinander aufgebaut, um sie dann zusammenzuschalten und loszuschlagen.
Die schiere Größe
Die "Storm-Worm-Bande" macht es genau umgekehrt. Die zahlreichen Mutationen des Schadprogramms weisen allesamt auf dasselbe, schnell wachsende Bot-Net hin, das bald durch seine schiere Größe der Gegenseite aufzufallen begann. Und auch durch seine Spam-Aktivitäten, die periodisch in mehreren Wellen durch das Netz gingen.
Die Warnungen der Anti-Viren-Forscher werden quasi als Marketingvehikel benutzt, um "Dienstleistungen" wie Spam-Versand, Server-Infrastruktur für Phishing-Websites u. a. in ganz großem Rahmen anzubieten.
Vorteil gegenüber Mitbewerbern
Das vergleichsweise riesige Bot-Net verschaffe den Betreibern schlicht einen Marktvorteil gegenüber dem kriminellen Mitbewerb, sagt Pichlmayr. Der Dienstleister könne seinen Kunden so eine gewisse Zahl von erfolgreich verbreiteten Spams garantieren, genauso gut möglich seien Beteiligungsmodelle mit Erfolgsprämie.
Obwohl das "Storm Worm"-Bot-Net durchaus über eingebaute Fähigkeiten zu DDoS-Attacken verfügt, wurden diese bis dato nur punktuell eingesetzt.
"Zombies" attackieren Virenscanner
Zwischendurch wurden seit Jänner immer wieder Websites von Spam-Bekämpfern angegriffen, die neueren Versionen gehen gezielt auf Rechner los, die etwa ein Firmen- oder Universitätsnetz gerade auf Schadsoftware wie Trojaner durchscannen.
Sobald das Anti-Viren-Programm zu suchen beginnt, schießen sich die im Netz vorhandenen "Zombies" auf den Scanner ein und überhaufen ihn so mit Abfragen, dass der Rechner in die Knie geht.
Kritische Größe
Dieses Verhalten, nämlich die systematische Selbstverteidigung des Bot-Nets gegen Anti-Virus-Software, ist neu und gibt dadurch Spekulationen Nahrung.
Die naheliegendste: Die "Storm-Worm-Bande" versucht, ihre "Zombie-Armee" so lange auszubauen, bis eine kritische Größe erreicht ist. Damit wird dann ein verheerender DDoS-Schlag gegen ein Land, ein Unternehmen oder eine Behörde geführt.
Dienstleistung für Netzkriminelle
Für Pichlmayr ist Letzteres nicht sehr wahrscheinlich. Der systematische Ausbau und die Fähigkeit zur Selbstverteidigung des Bot-Nets passen seiner Ansicht nach genau ins Bild eines aufstrebenden Dienstleistungsunternehmens für Netzkriminelle mit dem Ziel der Spam-Marktführerschaft.
Hier versuche jemand, die "Assets" seines Unternehmens zu schützen und zu mehren, wie das auch in der offiziellen Wirtschaft geschehe, sagt Pichlmayr.
Bot-Nets hätten nun einmal eine recht hohe regelmäßige Ausfallsrate durch Anti-Virus-Maßnahmen, System-Updates usw. und schrumpften, sobald sie nicht mehr ausgebaut würden.
Assets und DDoS
Eine großangelegte DDoS-Attacke durch die "Storm-Worm-Zombies" sei freilich nicht auszuschließen, sagt Pichlmayr abschließend. Wenn der Preis stimme, sei natürlich alles möglich.
Ein derartiger Großangriff hätte zwar verheerende Folgen für den Angegriffenen, für das Bot-Net selbst aber unweigerlich auch. Aus ökonomischen Gründen sei es deshalb nicht sehr wahrscheinlich, dass die Betreiber alle "Assets" für eine einzige Welle von DDoS-Attacken riskieren.
Den "Storm Worm" selbst finde man relativ gut mit den Virenscannern von Ikarus und anderen Herstellern, es komme nur darauf an, dass diese auch eingesetzt würden.