Der Kopf von Esthost/Rove Digital soll für sechs Jahre ins Gefängnis

Originalartikel von Trend Micro

Im November 2011 half Trend Micros Forward-Looking Threat Research Team dem FBI bei der größten Abschaltaktion in der Geschichte der Online-Kriminalität. Bei der als “Operation Ghost Click”bekannten Aktion des FBIs wurden mehr als hundert Server der Esthost/Rove Digital Group vom Netz genommen. Die Datencenter der Gruppe in New York und Chicago wurden durchsucht, und mehr als vier Millionen Opfer konnten innerhalb eines halben Jahres auf nicht bösartige DNS-Server wechseln. Nun wurde der Anführer dieser Cybercrime-Gruppe, Vladimir Tsastsin, vom US-Bundesgericht in mehreren Punkten der Anklage für schuldig befunden.

Ihn erwarten bis zu sechs Jahre Haft. Im Grunde genommen war das Esthost/Rove Digital-Schema relativ einfach: DNS-ändernde Malware wird auf Nutzersysteme abgelegt und leitet die Anfragen für beliebte Domänen auf bösartige Server um. Damit konnten die Angreifer den Verkehr auf diese Domänen umleiten und schwer zu erkennende Angriffe, wie das Kapern von Suchergebnissen und Ersetzen von Werbung auf Website, durchführen. Auch boten gefälschte Antivirus-Programme eine gute Einkommensquelle.

Die Angreifer nutzten diese Methoden, weil sie relativ schwer zu entdecken sind und daher über längere Zeit angewendet werden können. Trend Micro hatte bereits 2006 die Aktivitäten der Gruppe entdeckt und sie beobachtet. 2009 dann startete die Zusammenarbeit mit der Polizeibehörde in Estland und in den Vereinigten Staaten, um der Gruppe das Handwerk zu legen. Die Recherche von Trend Micro, und vor allem die von Feike Hacquebord, trug essenziell dazu bei, Tsastsin ins Gefängnis zu bringen. Sechs Anführer wurden beim Takedown der Server verhaftet.

Vladimir Tsastsin vor der Verhaftung

Erst 2014 wurden wurde Tsastsin in die USA überstellt und angeklagt.

Das Whitepaper The Rove Digital Takedown fasst das Wissen des Forward-Looking Threat Research Teams zu der Gruppe zusammen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.