Internet-Betrüger enttarnt – mit Hilfe aus Lüneburg

Botnetze haben Millionen Computer mit Schadsoftware infiziert. Hier der Blick in die Zentrale der südkoreanischen Korea Internet & Security Agency (KISA) in Seoul, die Internet Systeme kontrolliert © Picture Alliance

Hamburg/Lüneburg. Millionen von Rechnern mit Schadsoftware Andromeda ausgespäht. Trojaner lauerten auch auf Video-Plattformen.

Das amerikanische FBI (Federal Bureau of Investigation) hat mit Hilfe von Lüneburger Polizei-Experten sowie der Staatsanwaltschaft Verden (Aller) ein weltweit agierendes Botnetz zerschlagen, das Millionen Computer mit Schadsoftware infiziert hat. Wie der Sprecher der Staatsanwaltschaft Verden, Lutz Gaebel, dem Abendblatt sagte, sei ein Weißrusse verhaftet worden. Die Besitzer infizierter Rechner würden in Kürze oder haben bereits Post – nicht per E-Mail – von ihren Providern bekommen, um ihre Rechner zu „säubern“.

Neben dem FBI waren Ermittler der Zentralen Kriminalinspektion Lüneburg und der Staatsanwaltschaft Verden beteiligt. Mit dem international agierenden Botnetz wurde die Schadsoftware Andromeda weltweit verbreitet. Auslöser für die Beteiligung der Norddeutschen war der Erfolg bei der Zerschlagung des „Vorgängers“ Avalanche. Andromeda war ein Teil von Avalanche. Die Software hat dafür gesorgt, dass sich Schadprogramme auf Millionen Rechnern verbreiteten. Dadurch konnten auch mithilfe von Trojanern Daten ausgespäht und auch das Online-Banking manipuliert werden.

So werden die Trojaner ausgetrickst

Der „Takedown“, also das Abschalten der Schadsoftware, habe am vergangenen Mittwoch stattgefunden. Dabei, so Staatsanwalt Gaebel, senden die Schadprogramme immer wieder Anfragen an ihren Steuerungsserver, der von den Betrügern kontrolliert wird. Diese Anfragen werden nun umgeleitet zu einem Behördenserver, der den Schadprogrammen mitteilt, was sie zu tun oder zu lassen haben. Nun kann man die IP-Adressen der betroffenen Rechner identifizieren und die Provider der mutmaßlich betrogenen oder ausgespähten und infizierten Computer ermitteln. Im nächsten Schritt müssen die Provider, also zum Beispiel die Telekom oder O2, ihre Kunden informieren – per herkömmlicher Post.

Andromeda kam unter anderem per E-Mail und dank schadhafter Links auf die Computer. Infiziert wurden Rechner auch per „Drive-by-Exploits“. Sie befinden sich auf Werbebannern oder Websites von Pornoseiten, illegalen Verkaufsseiten im Netz oder Video-Streamingdiensten, die viele User nutzen, um (illegal) Kino-Filme anzusehen.

BSI: Hier erhalten Betroffene Hilfe

„Der Schädling späht das infizierte Opfer-System aus und ist in der Lage, einen Banking-Trojaner nachzuladen, der auf die ausgespähten Daten der Opfer abgestimmt ist. Mittels dieser Schadsoftware gelang es den Tätern in den letzten Jahren mehrere Millionen PC-Systeme zu infizieren“, so die Staatsanwaltschaft. Die Hauptangriffsziele der Schadsoftware seien Nordamerika, Asien und in Europa schwerpunktmäßig die Länder Rumänien, Italien, Deutschland und Polen gewesen.

Bei dem verdächtigen Weißrussen habe man jetzt „zahlreiche verfahrensrelevante Datensysteme und Speichermedien“ beschlagnahmt sowie sieben Steuerserver in sechs Ländern. Sie wurden abgeschaltet. 1500 Domains wurden durch „Sinkholing“ unschädlich gemacht, also durch das Umleiten der Anfragen der Schadsoftware an ihre Steuerserver. Man habe weltweit 1,35 Millionen IT-Systeme entdeckt, die befallen waren. Beim BSI können sich Betroffenen informieren. Hier klicken.

Europol hat diese Aktion zur Zerschlagung von Andromeda koordiniert. Der Verbund Eurojust koordinierte die internationalen Ankläger. 27 Staaten seien eingebunden gewesen, hieß es, darunter neben den Europäern und den USA sowie Kanada auch Australien, Pakistan, Singapur, Taiwan und Tonga.