Haupt Software Facebook, Forscher heizen Koobface-Bande an
Software

Facebook, Forscher heizen Koobface-Bande an

NachrichtenTablets 17. Januar 2012 7:40 Uhr PST Monster Gremlin-Bug

Sicherheitsforscher befürchten, dass die angeblich in Russland ansässigen Autoren von Koobface, einer bösartigen Software, die soziale Netzwerke wie Facebook heimgesucht hat, entkommen könnten, bevor die Strafverfolgung sie erwischen kann.

Diese Bedenken kommen nach der Veröffentlichung einer Fülle von Informationen über die fünf Männer, die angeblich in St. Petersburg, Russland, ansässig sind und die Sicherheitsunternehmen, Facebook und das FBI seit mindestens zwei Jahren sorgfältig verfolgen.

Die Männer sollen Koobface erstellt haben, ein Netzwerk infizierter Computer, das verwendet wurde, um den Verkehr auf Websites zu lenken, die Web-Belästigungen wie gefälschte Antivirensoftware verkaufen. Sie haben seit 2008 schätzungsweise 2 Millionen US-Dollar oder mehr verdient, indem sie Computer infizierten und sie auf schädliche Websites verwiesen, wobei sie für jede erzwungene Empfehlung eine Gebühr verdienten.

Die veröffentlichten Informationen umfassen Fotos, E-Mail-Adressen, Namen, die sie in sozialen Netzwerken verwendet haben, und physische Standorte – im Wesentlichen genug Details, um zu ihren Büros zu gehen, an die Tür zu klopfen und sie beim Namen anzurufen.

Das erste Leck kam am 9. Januar von Dancho Danchev, einem Sicherheitsforscher und Autor, der umfangreiche Informationen gepostet in seinem Blog über Anton Korotschenko, einen der Angeklagten. Danchev sammelte eine Fülle von Informationen, die Korotchenko, der den Spitznamen KrotReal trug, öffentlich auf Diensten wie Twitter und Foursquare veröffentlichte.

Danchev sagte am Dienstag, dass er veröffentlicht, was ich recherchiere, und meine Absicht ist es, die Untersuchung der Koobface-Botnet-Master zu beschleunigen. Er fügte hinzu, dass er die Informationen veröffentlicht habe, weil er sehr frustriert sei, da die Sicherheitsgemeinschaft seit Jahren davon Kenntnis hat und ihre Daten an die Strafverfolgungsbehörden weitergegeben hat.

Viele der Informationen waren bereits in der Sicherheitsgemeinschaft bekannt. Eine streng geheime Kabale, bekannt als die Koobface Working Group, habe Forscher verschiedener Sicherheitsunternehmen zusammengebracht, um die Gruppe zu verfolgen, sagte Graham Cluley, Senior Technology Consultant bei Sophos.

Tatsächlich habe Sophos eine umfassende Untersuchung durchgeführt und ein Papier vorbereitet, das letztes Jahr auf einer Sicherheitskonferenz des Virus Bulletins vorgestellt werden sollte, sagte Dirk Kollberg, einer der Autoren. Aber weil das FBI an den Ermittlungen beteiligt war, wurde die Präsentation abgesagt.

Wir mussten warten, um nicht zu riskieren, den Strafverfolgungsbehörden die Möglichkeit zu geben, Maßnahmen zu ergreifen, sagte Kollberg.

Aber nach Danchevs Bericht beschloss Sophos, zu veröffentlichen der Bericht am Dienstag. Kollberg sagte, es sei eine Schande, dass die ersten Informationen veröffentlicht wurden, da dies die Ermittlungen der Strafverfolgungsbehörden beeinträchtigen könnte.

Die New York Times Auch einen Artikel veröffentlicht zu dem Leak am Dienstag und schrieb, dass Facebook plant, weitere Informationen über die Gruppe preiszugeben. Der Schritt von Facebook ist beispiellos, da die meisten Technologieunternehmen selten so detaillierte Informationen über Personen preisgeben, von denen sie behaupten, dass sie etwas Kriminelles tun.

Die Männer wurden von den russischen Behörden nicht angeklagt. Die anderen vier Männer wurden als Alexander Koltyshev, Roman Koturbach, Syvatoslav Polinchuk und Stanislav Avdeiko identifiziert. Korotschenko reagierte nicht auf Instant Messages oder E-Mails, die am Montag gesendet wurden.

Danchev veröffentlichte mehr als 35 Fotos von Korotchenko, darunter seinen ICQ-Namen, seine Telefonnummer, E-Mail-Adressen und Spitznamen auf Flickr, Twitter, Foursquare und Vkontakte.ru, einer russischen Social-Networking-Site.

Kollberg von Sophos hatte auch viele Informationen über Korotchenko gesammelt, der ein begeisterter Benutzer von Foursquare war, einer standortbasierten Anwendung, mit der Personen an Orten einchecken können. Korotschenko tat es häufig, bis zu drei- oder viermal am Tag. Kollberg hat die Check-in-Standorte von Korotchenko und die Posts auf Twitter in Google Earth eingezeichnet.

Es sieht toll aus, sagte Kollberg. Sie können eine Tour machen und seinen Spuren folgen.

Aber die Spur kann bald kalt werden. Seit der öffentlichen Veröffentlichung der Informationen sind alle Konten von Korotchenko verschwunden. Die Veröffentlichung könnte ein größeres Problem für das FBI darstellen, mit dem Sophos laut Kollberg seit Dezember 2009 in diesem Fall Kontakt hat.

Das FBI bestätigt keine laufenden Ermittlungen. Sprecherin Jenny Shearer sagte am Dienstag, sie könne Koobface nicht kommentieren. Das FBI habe Agenten, die sich auf Ermittlungen im Bereich Internetkriminalität in der Ukraine, Rumänien, Estland und den Niederlanden spezialisiert haben, aber nicht über solche Agenten in der US-Botschaft in Moskau, sagte sie.

Russland wurde häufig als Brutstätte der Cyberkriminalität bezeichnet, und Sicherheitsforscher haben festgestellt, dass es schwierig ist, mit dem Land bei Ermittlungen zusammenzuarbeiten. Russland ist keine Vertragspartei des Übereinkommens über Computerkriminalität, auch bekannt als Budapester Übereinkommen. Der im November 2001 zur Unterzeichnung aufgelegte Vertrag legt Richtlinien für Gesetze und Verfahren zum Umgang mit Internetkriminalität fest. Russland hat sich gegen den Vertrag mit der Begründung ausgesprochen, dass er Bestimmungen enthält, die dem Land zufolge gegen internationale Rechtsnormen und die Souveränität der Länder verstoßen.

Cyberkriminelle können die mangelnde Koordination zwischen den Ländern ausnutzen und sich zwischen den Rissen verstecken, sagte David Emm, Senior Security Researcher beim russischen Sicherheitsanbieter Kaspersky Lab. Es ist großartig, gemeinsame Initiativen zu haben, aber wenn einige der Schlüsselbereiche in Bezug auf die Entwicklung der Cyberkriminalität nicht unterzeichnet werden, hinterlässt das eine kleine Lücke, sagte er.

Die mutmaßlichen Schöpfer von Koobface könnten dies ausnutzen und versuchen, jetzt, da die Hitze aufgedreht ist, wegzuschmelzen oder andere Identitäten anzunehmen, sagte Alex Kuzmin, der US-Direktor von Group-IB, einem Sicherheitsunternehmen mit Sitz in Moskau.

Wir denken sicherlich, dass die Offenlegung weiterer Informationen über die Personen, die am Koobface-Botnet beteiligt sind, die laufenden Ermittlungen tatsächlich beeinträchtigen oder beschädigen könnte, sagte Kuzmin.

Es sei nicht beispiellos, dass russische Cyberkriminelle gelegentlich drastische Maßnahmen ergreifen, um nicht erwischt zu werden, einschließlich gefälschter Ausweise und sogar plastischer Operationen, sagte Kuzmin.

Group-IB habe einen Mann verfolgt, der einen russischen E-Payment-Anbieter namens QIWI ins Visier genommen habe, sagte Kuzmin. Er wurde 2009 von der russischen Polizei beinahe festgenommen, floh jedoch nach Westsibirien, wo er sich gefälschte Ausweise besorgte, sich einer Schönheitsoperation unterzog und als neuer Mann in die cyberkriminelle Unterwelt zurückkehrte, bevor er schließlich gefasst wurde, sagte Kuzmin.