Finanzielle Interessen als Motivation für Malware-Programmierer

Spam-Mails und DDoS-Attacken dienen Daten-Spionage, Klickbetrug und Phishing

18.06.2007 | Autor / Redakteur: Peter Riedlberger / Stephan Augsten

Bei Viren und Trojanern geht es längst nicht mehr um Jux und jugendliche Zerstörungsfreude. Heute werden Schadprogramme von Kriminellen geschrieben oder sogar in Auftrag gegeben, um davon finanziell zu profitieren. Dabei kann es sich um einen um Spam-Versand über infizierte Computer handeln oder um Daten- und Industriespionage mittels Distributed-Denial-of-Service-Attacken und Trojaner.

Berühmte Viren der vergangenen Jahre, deren Autoren man kennt – also etwa ILOVEYOU, Blaster oder Sasser – wurden lediglich aus pubertierendem Übermut geschrieben. Keiner der blutjungen Autoren hatte dabei die Absicht, Geld zu verdienen. Dasselbe gilt für die frühen Trojaner: Ging es bei illegitimer Fernsteuerungssoftware ursprünglich um kindische Scherze, etwa die Schublade des optischen Laufwerks auszuwerfen und wieder einzuziehen, wird heute viel Geld mit Malware verdient.

Das Internet und die Versäumnisse vieler unerfahrener Anwender machen es Kriminellen relativ leicht, massenweise Schadsoftware zu installieren. Der heute übliche Typ ist ein Trojaner-Wurm ohne Schadroutine, aber mit Backdoor. Der Besitzer des infizierten Computers bemerkt erst gar nichts davon, dass nunmehr Malware auf seinem Rechner läuft.

Auf der anderen Seite wird sich der Kriminelle hüten, Daten zu zerstören oder sichtbare Verzögerungen bei der Computernutzung zu verursachen. Schließlich will er ja erreichen, dass sein Trojaner möglichst lange unerkannt weiterläuft.

Botnetze

Was den Heimcomputer von Privatanwendern wertvoll macht und worauf es der Kriminelle abgesehen hat, ist nichts anderes als die Internetverbindung. Bei einem Computer allein mag dies nicht spektakulär sein, aber wenn man weiß, dass ein 2005 enttarntes Botnetz 1,5 Millionen Rechner kontrollierte, erhält man eine Vorstellung der so zu erzielenden Gesamtbandbreite.

Damit lässt sich allerhand anfangen. Die dominierende Form der Geldverwertung ist der Spam-Versand. Dass heute der weitaus überwiegende Teil der versandten Mails Spam ist, liegt an der Existenz der Botnetze. Egal, wie gering der Prozentsatz der Anwender ist, die auf Spam oder Phishing (Abgreifen von Kontodaten) hereinfällt: Da prinzipiell unbegrenzt viele Anfragen ohne Geldaufwand erzeugt werden können, lohnt dies stets.

Auch lassen sich mit diesen enormen Bandbreiten sehr schwer abzuwehrende DDoS-Attacken starten. Das kann Gegner wie Anti-Spam-Services, Spyware-Foren und auch Verlagsangebote treffen oder aber dazu dienen, Firmen um Geld zu erpressen. Dies betraf in der Vergangenheit beispielsweise Online-Wettbüros.

Nicht jedes Werbebanner ist sicher

Andere Einnahmemöglichkeiten haben mit Online-Werbung zu tun. Botnetze können für den Klickbetrug missbraucht werden (d.h., einem Werbepartner wird vorgegaukelt, Abertausende von Interessenten hätten seine Anzeigen angeklickt), oder aber dem Benutzer des infizierten Rechners wird Werbung anzeigt.

Letztere Methode, die das Konzept der Spyware mit dem des Botnetzes verknüpft, ist aber wenig elegant. Denn so bemerkt das Opfer die Infektion und wird eventuell aktiv, um seinen Computer zu säubern.

Dabei sind Botnetze dann am effizientesten, wenn sie als nicht störender und daher unbemerkter Parasit dauerhaft existieren. Manche Experten vermuten, dass jeder vierte Rechner Teil eines Botnetzes sein könnte.

Die neue Form der Industriespionage

Für Unternehmen wesentlich gefährlicher als massenweise verbreitete Botnetz-Trojaner sind maßgeschneiderte Industriespionage-Versuche. Darüber gibt es nur wenig öffentlich verfügbare Informationen, denn Spionage will per Definition im Geheimen bleiben.

Selbst ein Unternehmen, das einen solchen Versuch aufdecken konnte, wird sich hüten, ein derartiges Vorkommnis an die große Glocke zu hängen. Insofern ist man auf die wenigen Informationen angewiesen, die professionelle Sicherheitsunternehmen oder staatliche Agenturen nach außen geben.

Die Schweizer Melde- und Analysestelle Informationssicherung (MELANI) erstellt Halbjahresberichte, die regelmäßig auch auf dieses Problem eingehen. Laut MELANI erfolgte im 2. Halbjahr 2006 die Wirtschaftsspionage regelmäßig über ungepatchte Lücken in MS-Office-Produkten. Dies ist naheliegend, denn solche Dokumente lassen sich gezielt an Entscheider verschicken.

Gefahr aus dem Reich der Mitte

Die Experten von MELANI denken, dass sich viele der Wirtschaftsspione in China befinden; besonders gefährdet seien daher Firmen mit chinesischen Geschäftspartnern, Rüstungsfirmen und abstrakter, allgemein Firmen mit hohem technischem Know-How. Auffällig sei vor allem, dass die Virenmails persönlich auf die Adressaten zugeschnitten waren, was also auf nicht unerhebliche Vorrecherchen hinweise.

Die erste Quartalsanalyse 2007 von Kaspersky prognostiziert ebenfalls einen „Anstieg zielgerichteter Attacken auf mittelständische Firmen und Großunternehmen“. Auch hier geht man vom selben Angriffsweg aus: „Beim Eindringen ins System werden MS Office-Dateien und Verwundbarkeiten in diesem Softwarepaket eine wesentliche Rolle spielen“.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2005507 / Sicherheitslücken)