Skip to content

"Koobface Gang" enttarnt - Die erfolgreiche Verkettung digitaler Identitäten

Der Wurm "Koobface", der sich vor allem über Social Networks, anfangs vor allen über Facebook, verbreitet hat, ist seit 2008 aktiv, und auch als im November 2010 ein Teil der Command&Control-Server aus dem Verkehr gezogen wurde, konnte das dass zugehörige Botnet nicht großartig stören. Und jetzt legen die Cyberkriminellen ihr Botnet selber lahm, indem sie die Command&Control-Server deaktivieren. Und das "nur", weil sie zumindest zum Teil identifiziert wurden - u.a. über ihre eigenen Facebook-Profile. Da habe ich doch ein paar Bemerkungen zu...

Facebook stellt "Koobface Gang" an den Pranger

Am 16. Januar erschien auf der Website der New York Times ein Artikel über die Cyberkriminellen hinter Koobface, die sich selbst als "Ali Baba & 4" bezeichneten, aber auch als "Koobface Gang" bekannt waren. Darin wurden auch die Namen von fünf Verdächtigen genannt, gegen die bisher aber anscheinend weder offizielle Ermittlungen laufen noch Anklagen existieren. Weitere Informationen wurden von Facebook am 17. Januar veröffentlicht. Interessanterweise ohne die Verdächtigen zu nennen, das überlässt man wohl lieber der New York Times?

Mal sehen: Da gibt es fünf Verdächtige, gegen die bisher laut New York Times weder ermittelt wird noch irgend eine Anklage erhoben wurde. Und die stellt Facebook mal eben so an den Pranger? Einfach weil man sie nach einer Analyse der eigenen Daten für die Schuldigen hält? OK, das ist Facebook, da muss man mit sowas wohl rechnen, von Datenschutz hält man da ja nicht viel. Aber es zeigt wieder einmal, wie Facebook mit den anvertrauten Daten umgeht. Wessen Daten man dort wohl als nächstes analysiert und veröffentlicht?

Sophos kennt die Gang schon länger

Sophos nahm den Artikel der New York Times zum Anlass, um die eigenen Forschungsergebnisse, die zu den gleichen Namen führten, zu veröffentlichen. Allerdings ohne die vollständigen Namen zu nennen. Aber das hat Facebook ja schon die New York Times erledigen lassen.

Aufgedeckt wurde die "Koobface Gang" von Jan Drömer, der von Dirk Kollberg von SophosLabs unterstützt wurde - und das schon im Zeitraum von Anfang Oktober 2009 bis Februar 2010. Seitdem wurden verschiedene Strafverfolgungsbehörden informiert. Wieso es dann laut New York Times bisher keine Ermittlungen gegen die Verdächtigen geben soll, ist mir schleierhaft.

Wie wurde die "Koobface Gang" enttarnt?

Jan Drömer folgte "einfach" den vielen Spuren, die die Verdächtigen im Netz hinterlassen haben: Ausgehend von einem im Oktober 2009 für einige Zeit unsicher konfigurierten Command&Control-Server konnten nach und nach immer mehr Informationen über die Koobface-Infrastruktur und die Cyberkriminellen dahinter aufgedeckt werden. In Backups der Command&Control-Software wurde u.a. ein PHP-Skript entdeckt, dass Statistiken per SMS an 5 Mobilfunk-Nummern in Russland schickte. Außerdem waren in den Backups Benutzernamen der Cyberkriminellen angegeben sowie ein Foto ohne weiteren Bezug zur Software enthalten. Dieses Foto enthielt in den EXIF-Metadaten Standortinformationen, die zu einer Adresse im russischen St. Petersburg führten.

Ausgehend von den Telefonnummern und Benutzernamen konnten dann weitere Informationen gesammelt werden, wobei die Telefonnummern schnell in eine Sackgasse führten. Dafür führten die Benutzernamen zu weiteren Spuren, z.B. Profilen auf Flickr, Netlog, LiveJournal, vkontakte.ru, YouTube, FourSquare, Twitter und mehr.

Nach und nach konnte so einer der Verdächtigen bis zu einem Unternehmen zurückverfolgt werden, über dass dann die Spur zur "Koobface Gang" weiter verfolgt werden konnte. Zuerst zu weiteren Unternehmen, danach ging es zurück zu den Social Networks, wo Freunde und Verwandte der Verdächtigen zu weiteren Verknüpfungen führten. Danach ging es dann über Verbindungen im Bereich "Adult Entertainment" weiter zum letzten Verdächtigen, der dann wiederum über Social Networks und Verbindungen zu seiner Frau und Tochter identifiziert werden konnte. Und letztendlich landete man bei Googles Picasa, wo man alle Verdächtigen samt Frauen bzw. Freundinnen bei einem "fishing event" vereint sehen konnte.

Die ganze Geschichte der Aufdeckung der "Koobface Gang" ist wirklich sehr interessant. Und lehrreich, auch wenn man sich nicht cyberkriminell betätigen möchte. Ich kann Ihnen nur empfehlen, sich das mal durch zu lesen! Und dann Denken Sie mal darüber nach, dass Sie ebenfalls jede Menge Spuren im Netz hinterlassen, die sich verknüpfen lassen.

Digitale Spuren löschen ist gar nicht so einfach

Auf der Webinale 2008 habe ich einen Vortrag zur Verkettung digitaler Identitäten gehalten: "Was weiß das Web über mich?". Das ist damals alles etwas ungünstig gelaufen: Ich hatte beim Einreichen der Session ein paar schöne Beispiele mit mehreren digitalen Identitäten vorbereitet (es dauert ja einige Zeit, bis die Daten in den verschiedenen Suchmaschinen etc. landen), diese Identitäten aber wieder gelöscht, als die Session abgelehnt wurde. Kurz darauf wurde sie dann doch angenommen, da waren die eigentlichen Identitäten aber schon gelöscht und ich musste mir für den Vortrag etwas anderes ausdenken, was dann viel weniger eindrucksvoll wurde. Ich will hier aber auf etwas anderes hinaus: Spuren dieser Identitäten, z.B. Kommentare im Web, kann ich auch heute noch finden - 4 Jahre, nachdem die Identitäten selbst gelöscht wurden. Und das gilt entsprechend auch für Daten, die Sie löschen (bzw. zu löschen versuchen). Es lohnt sich, da mal drüber nach zu denken.

Die Folgen der Aufdeckung

Nach der Veröffentlichung der Namen der fünf Verdächtigen hat der Command&Control-Server des Botnets die Ausgabe neuer Befehle eingestellt und die Verdächtigen sind eifrig damit beschäftigt, überall ihre Profile zu löschen, wie Graham Cluley von Sophos berichtet. Facebook wertet das Stillegen der Command&Control-Server durch die Cyberkriminellen als Erfolg. Wie dauerhaft der ist, muss sich noch zeigen. Die infizierten Rechner warten derweil weiter auf neue Anweisungen, die ja jederzeit wieder gesendet werden können. Ggf. von einem anderen Server aus.

Übrigens wurde zumindest bisher in Russland nicht gegen die Verdächtigen ermittelt - aus dem einfachen Grund, dass es bisher keine entsprechende Anzeige durch das Opfer, in diesem Fall Facebook, gab. Das sollte man dann vielleicht mal nachholen.

Wieso die Aufdeckung vor der Verhaftung?

Generell ist es ziemlich ungeschickt (um härtere Ausdrücke zu vermeiden), Kriminelle zu warnen, dass man ihnen auf der Spur ist, bevor man sie verhaften kann. Auch wenn Facebook sich freut, dass die fünf Verdächtigen die Ausgabe neuer Befehle an das Botnet eingestellt haben. Denn warum sollten sie nicht weiter machen, so lange sie auf freien Fuss sind? Jetzt sind sie erst mal damit beschäftigt, ihre Spuren zu verwischen. Aber die Polizei ist sowieso hinter ihnen her, auf ein paar ergaunerte Millionen mehr oder weniger kommt es dann wohl auch nicht mehr an - warum um alles in der Welt sollten sie also das Botnet nicht wieder in Betrieb nehmen, nachdem sie ihre Spuren verwischt haben? Jedenfalls so gut das jetzt noch möglich ist, denn die Verfolger habe sicher alle relevanten Daten gesichert, und zwischen "vom Benutzer gelöscht" und "Daten wirklich weg" besteht ja auch immer noch ein gewaltiger Unterschied.

Die Veröffentlichung der Namen war aber auf jeden Fall sehr wahrscheinlich kontraproduktiv, und eigentlich sollte das sogar Facebook wissen. Warum also die Eile? Nun, schon am 9. Januar hat Dancho Danchev in seinem Blog einen der Verdächtigen identifiziert, und das viel genauer als später Facebook und Sophos. Ich vermute, Facebook wollte zeigen, dass man den Cyberkriminellen selbst auch auf der Spur ist. Und Sophos wollte sich dann den eigenen Ruhm natürlich auch nicht nehmen lassen.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : 2007 - Würmer im Sturm und in Facebook

Vorschau anzeigen
Bei der Reise durch die Welt der Computerwürmer nähern wir uns nun der Gegenwart. Während die bisher beschriebenen Würmer, mal mehr, mal weniger als "ausgestorben" gelten können, geht es nun um solche, die immer noch ihr

Dipl.-Inform. Carsten Eilers am : Botnets - Zombie-Plagen im Internet

Vorschau anzeigen
Die mit einer spezifischen Schadsoftware infizierten Rechner werden oft zu sog. Botnets zusammengefasst. Wie die Schadsoftware verbreitet wurde, egal ob als Virus, Wurm, Trojaner, Drive-by-Infektion oder wie auch immer, ist dabei egal. Die infiz