Esthost unschädlich gemacht – größter Schlag aller Zeiten gegen Cyber-Kriminalität

Originalartikel von Feike Hacquebord (Senior Threat Researcher)

Am 8. November konnten das FBI und die estnische Polizei in Zusammenarbeit mit Trend Micro und einer Reihe anderer Branchenpartner ein langlebiges Bot-Netz aus mehr als 4.000.000 Bots außer Gefecht setzen.

Im Rahmen der vom FBI als „Ghost Click“ bezeichneten Operation wurden zwei Rechenzentren in New York City und Chicago durchsucht und eine C&C-Infrastruktur (Command & Control) aus über 100 Servern abgeschaltet. Zur gleichen Zeit nahm die estnische Polizei in der Stadt Tartu in Estland mehrere Mitglieder fest. Unter diesem Link finden Sie die Pressemitteilung des FBI (in englischer Sprache).

Das Bot-Netz bestand aus infizierten Computern, deren DNS-Einstellungen so manipuliert worden waren, dass sie auf ausländische IP-Adressen zeigten. DNS-Server lösen menschenlesbare Domänennamen in IP-Adressen auf, die bestimmten Computerservern im Internet zugewiesen sind. Die meisten Internet-Benutzer verwenden automatisch die DNS-Server ihrer Internet-Service-Provider.

DNS-modifizierende Trojaner ändern die Computereinstellungen still und heimlich,‏ so dass ausländische DNS-Server verwendet werden. Diese DNS-Server werden von bösartigen Dritten installiert und übersetzen bestimmte Domänen in bösartige IP-Adressen. Das Ergebnis: Die nichts ahnenden Opfer werden unbemerkt auf potenziell bösartige Websites umgeleitet.

Kriminelle verwenden eine ganze Palette von Methoden, um aus dem DNS Changer-Bot-Netz Geld zu schlagen. Beispielsweise ersetzen sie Werbeanzeigen auf Websites, die von den Opfern geladen werden, „entführen“ Suchergebnisse und verbreiten zusätzliche Malware.

Zum Vergrößern klicken

Wir bei Trend Micro wussten bereits seit 2006, wer mit aller Wahrscheinlichkeit hinter diesem Bot-Netz steckt, doch wir beschlossen, gewisse Daten und Einblicke unter Verschluss zu halten, um die Arbeit der Strafverfolgungsbehörden nicht zu behindern.

Jetzt, da die Hauptverantwortlichen festgenommen wurden und das Bot-Netz abgeschaltet wurde, können wir einige der von uns in den vergangenen fünf Jahren gesammelten Daten veröffentlichen.

Rove Digital

Die cyber-kriminelle Gruppe, die jeden Schritt von der Infizierung mit Trojanern bis hin zur Monetarisierung der infizierten Bots kontrollierte, war das estnische Unternehmen Rove Digital. Dabei handelt es sich um einen Mutterkonzern, dem eine Reihe anderer Unternehmen wie Esthost, Estdomains, Cernel, UkrTelegroup und weniger bekannte Mantelgesellschaften unterstellt waren.

Rove Digital ist ein scheinbar rechtmäßiges IT-Unternehmen mit Sitz in Tartu. In den Büros des Hauptsitzes gehen die Menschen tagtäglich ihrer ganz „normalen“ Beschäftigung nach – wie in Tausenden anderen Unternehmen auch. In Wirklichkeit aber steuert die Zentrale in Tartu Millionen infizierter Hosts rund um den Globus und macht Jahr für Jahr unrechtmäßig erworbene Millionengewinne mit ihren Bots.

Esthost, ein Reseller von Webhosting-Services, tauchte bereits im Herbst 2008 in der Presse auf. Damals ging das Unternehmen offline, als sein Provider Atrivo in San Francisco aufgrund von Klagen durch Privatpersonen dazu gezwungen wurde, vom Netz zu gehen. Zur gleichen Zeit verlor ein Domänenregistrierungsunternehmen von Rove Digital – Estdomains – seine ICANN-Akkreditierung, da der Eigentümer, Vladimir Tsastsin, in seiner Heimat Estland wegen Kreditkartenbetrugs verurteilt wurde.

Zum Vergrößern klicken

Diese Aktionen waren das Ergebnis öffentlichen Drucks, der aus dem Verdacht entstand, dass Esthost in erster Linie mit Kriminellen Geschäfte machte. Rove Digital wurde gezwungen, die von Esthost bereitgestellten Hosting-Services einzustellen, nichtsdestotrotz aber setzte das Unternehmen seine kriminellen Machenschaften fort. Ihre Lektion lernten die Köpfe, die hinter Rove Digital steckten, erst, als sie die C&C-Infrastruktur weltweit verbreiteten und einen Großteil der zuvor bei Atrivo gehosteten Server zum Rechenzentrum Pilosoft in New York City verschoben, wo bereits einige ihrer Server gehostet wurden.

Im Jahr 2008 war es kein Geheimnis mehr, dass viele der Kunden von Esthost Kriminelle waren. Nicht bekannt aber war, dass sowohl Esthost als auch Rove Digital intensiv in cyber-kriminelle Machenschaften verwickelt waren.

Trend Micro war bekannt, dass Rove Digital nicht nur Trojaner hostete, sondern auch C&C-Server und bösartige DNS-Server sowie die Infrastruktur steuerte, über die aus den betrügerischen Klicks des DNS Changer-Bot-Netzes Geld gemacht wurde. Neben den DNS-modifizierenden Bot-Netzen verbreiteten Esthost und Rove Digital auch FAKEAV- und Trojaner-Klicker. Außerdem waren die Unternehmen in den Online-Verkauf fragwürdiger Medikamente und andere Cybercrimes verwickelt, die in diesem Blog nicht weiter erläutert werden.

Die Beweise, die wir in den letzten Jahren zusammengetragen haben, lassen keinen Zweifel daran, dass Esthost und Rove Digital unmittelbar in Cybercrime und Betrug zu tun haben. Erste Verdachtsmomente basierten auf schlichten aber eindeutigen Hinweisen:

Indikatoren für cyber-kriminelle Aktivitäten

Im Jahr 2006 bemerkten wir zunächst, dass es sich bei zahlreichen C&C-Servern des DNS-Changer-Netzwerks um Unterdomänen von Esthost.com handelte; beispielsweise die ausländischen, bösartigen DNS-Server, deren IP-Adressen in DNS-Changer-Trojanern hartkodiert waren und die auf „dns1.esthost.com“ bis „dns52.esthost.com“ gehostet wurden (52 Domänennamen).

Ein Backend-Server, der alle bösartigen DNS-Server gleichzeitig aktualisieren konnte, befand sich unter dns-repos.esthost.com. Ein Backend-Server für Trojaner mit gefälschtem Codec befand sich unter codecsys.esthost.com. Sofern die Domäne esthost.com nicht gehackt wird, kann nur Esthost diese sehr vielsagenden Unterdomänen zum Domänennamen hinzufügen. Als die Domäne esthost.com abgeschaltet wurde, begannen die C&C-Server von Rove Digital, private Domänennamen mit der Endung „.intra“ zu nutzen. Es gelang uns, die vollständige .intra-Bereichsdatei von einem der Server von Rove Digital in den USA herunterzuladen.

2009 erhielten wir eine Kopie der Festplatten zweier C&C-Server, die Werbeanzeigen auf Websites ersetzten, sobald sie von Opfern des DNS-Changers geladen wurden. Auf den Festplatten fanden wir öffentliche SSH-Schlüssel von diversen Rove Digital-Mitarbeitern. Mithilfe dieser Schlüssel konnten sich die Mitarbeiter auf den C&C-Servern ohne Kennwort anmelden – sie benötigten lediglich ihren persönlichen Schlüssel. Aus den Protokolldateien auf den Servern konnten wir darauf schließen, dass die C&C-Server über die Zentrale von Rove Digital in Tartu gesteuert wurden.

Darüber hinaus unterhielt Rove Digital ein FAKEAV- bzw. ein bösartiges DNS-Partnerprogramm namens Nelicash. Es gelang uns, ein Schema der Infrastruktur für den FAKAV-Bereich herunterzuladen. Über einen Nelicash-C&C-Server entdeckten wir Informationen über Opfer, die gefälschte Antiviren-Software erworben hatten.

Zum Vergrößern klicken Zum Vergrößern klicken

Unter diesen Käufen befanden sich zahlreiche Testbestellungen von Mitarbeitern von Rove Digital über IP-Adressen, die von Rove Digital in Estland und den USA kontrolliert wurden. Dies zeigt, dass Rove Digital direkt in den Verkauf von FAKEAV involviert war.

Über denselben Nelicash-C&C-Server könnten wir außerdem einen detaillierten Plan zur Entwicklung neuer bösartiger DNS-Server für 2010 und 2010 herunterladen. Tag für Tag verbreitete Rove Digital eine neue Malware, die die DNS-Einstellungen von Systemen in ein einzelnes Paar ausländischer Server änderte. Wir überprüften Trojaner von DNS-Changer einige Tage lang und stellten fest, dass diese Trojaner die DNS-Einstellungen der Opfer genau nach diesem Plan modifizierten.

Zum Vergrößern klicken

Es würde den Rahmen sprengen, wenn wir an dieser Stelle die Vielzahl weiterer, von uns gesammelter Beweise aufführen würden. Alle Ergebnisse weisen darauf hin, dass Rove Digital tatsächlich Cybercrime im großen Maßstab durchführt und unmittelbar verantwortlich für das riesige DNS Changer-Bot-Netz ist.

Angesichts dieser Tatsache freuen wir uns sehr, Ihnen mitteilen zu können, dass die enge Zusammenarbeit zwischen dem FBI, der estnischen Polizei, Trend Micro und anderen Branchenpartnern zur Abschaltung dieses gefährlichen Bot-Netzes geführt hat. Außerdem konnten die Hauptverantwortlichen festgenommen werden, und das, obwohl das Unschädlichmachen von Rove Digital kompliziert und extrem aufwändig war.

Trend Micro konnte die C&C-Infrastruktur von Rove Digital sowie die Backend-Infrastruktur bereits frühzeitig erfolgreich identifizieren und überwachte die C&C-Infrastruktur auch weiterhin bis zum 8. November 2011. Andere Branchenpartner stellten sicher, dass die Abschaltung des Bot-Netzes kontrolliert und ohne größere Störungen für die infizierten Kunden verlief, und leisteten somit einen überragenden Beitrag zur gesamten Operation bei.

Die folgenden Links befassen sich ebenfalls mit diesem Thema:

Weitere Informationen finden Sie im Beitrag von Rik Ferguson. Er beschreibt wie Sie prüfen können, ob auch Sie ein Opfer dieser Cyber-Kriminellen sind.

Zusätzlicher Text von Paul Ferguson

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*