DIE WIRTSCHAFT UND NICHT DIE MAFIA tReiBt
Transcrição
DIE WIRTSCHAFT UND NICHT DIE MAFIA tReiBt
16 gtr | Februar 2008 RUSSLAND: Die Wirtschaft und nicht die Mafia treibt Malware voran Von Dr. Igor Muttik gtr | Februar 2008 V iele Menschen nehmen an, dass die Mafia und der Inlandsgeheimdienst (FSB, früher als KGB bekannt) hinter den aus Russland kommenden Angriffen stehen müssten. Doch sind diese Organisationen wirklich die Hauptantriebskräfte? In diesem Artikel geben wir eine Antwort auf diese Frage. Zuerst werfen wir aber einen kurzen Blick auf die Geschichte der Malware-Entwicklung in Russland und die Hauptkräfte, die dahinter stecken. Wir besprechen die aktuellen Gesetze sowie die Erfolge und Niederlagen der Strafverfolgungsbehörden. Außerdem tauchen wir in den Schwarzmarkt ein, um herauszufinden, welche Produkte angeboten werden und mit welchen Preisen man bei Malware, Malware-Buildern und verwandten Tools rechnen muss und welche Funktionen sie bieten. Abschließend geben wir einige Prognosen über die wahrscheinliche Entwicklung dieser Problematik. Eine kurze Zusammenfassung zur Entwicklung von Malware In der Sowjetunion konzentrierte sich die Bildung traditionell mehr auf technische und angewandte Wissenschaften als auf Geisteswissenschaften. Daher gibt es in Russland und den anderen früheren Sowjetrepubliken sehr viele hochqualifizierte junge Menschen mit hervorragenden Kenntnissen in Mathematik, der IT und der Programmierung. Die Kombination aus relativ niedrigen Gehältern, einer hohen Arbeitslosenquote und der breiten Verfügbarkeit vernetzter Computer machen die Entwicklung von Malware für viele Menschen attraktiv. Zudem gelten in Russland – ebenso wie in vielen anderen Ländern – Hacker in der Bevölkerung als außergewöhnlich kluge Menschen. Dadurch umgibt MalwareAutoren die Aura des Besonderen. Früher haben russische Programmierer viele ausgefeilte Viren entwickelt. Einer der bemerkenswertesten Viren war ein mehrteiliger Virus namens Zaraza (auch 3APA3A genannt), der ein neuartiges Verfahren zur Infektion von Festplatten anwendete: Er erstellte ein Duplikat der DOS-Betriebssystemdatei „io.sys“. Aufgrund dieses Viruses mussten sogar Antivirenmodule geändert werden! Ein anderer bemerkenswerter Virus – W32/Zmist – wurde von einem berüchtigten, produktiven und sehr einfallsreichen Virenautor geschrieben, der sich selbst Z0mbie nennt. Dieser parasitäre Virus dekompiliert bei einer Infektion Dateien und setzt sie wieder zusammen, sodass der Virus nahtlos in den Host integriert wird. Sicherheitsforscher aller Antivirenfirmen sind einstimmig der Meinung, dass Viren mit diesem Verhalten am schwersten zu erkennen sind. Während der vergangenen Jahre haben immer öfter finanzielle Beweggründe zu einer vermehrten Erstellung von Malware geführt. Auch Spam und Spam-Tools sind gefragt. Gleichzeitig greifen diese Bereiche ineinander. So werden beispielsweise Botnets häufig für die Verbreitung von Spam verwendet. „Die Macht des Geldes“, Analyse globaler Sicherheitsbedrohungen, Jg. 1, Ausgabe 1, Seite 13. http://www.mcafee.com/us/local_content/white_papers/threat_center/mcafee_sage_v11_en.pdf. Lokalisierte Versionen sind unter http://www.mcafee.com/us/threat_center/ white_paper.html verfügbar. Copyright © 2008 McAfee, Inc. Gleichzeitig gibt es in Russland viele Unternehmen, die systemnahe Kenntnisse für legitime Zwecke wie erstklassige Schwachstellenforschung (www.securitylab.ru) oder häufig verwendete Kopierschutztechnologien (http://www.star-force.com) nutzen. IDApro, ein Softwareanalyse-Toolkit der Spitzenklasse (www.idapro.ru, www.idapro.com), ist das branchenweit führende Programm für Reverse Engineering. Und die Systeme zum Software-Schutz AsPack und AsProtect (www.aspack.com, www.star-force.ru) werden häufig zum Packen kommerzieller Software verwendet. Natürlich gibt es aber auch einige halblegale Sites (http://wasm.ru, www.xakep.ru), die sich dem Disassemblieren und Modifizieren von Software verschrieben haben und eine hervorragende Ressource für das Reverse Engineering bieten (http://www.cracklab.ru). Die in diesen Bereichen eingesetzten Kenntnisse und Fähigkeiten könnten für die Entwicklung von Malware sehr hilfreich sein. Und viele junge und unerfahrene Menschen könnten von der sehr hohen Rentabilität bei Computerkriminalität angezogen werden. Was hält diese jungen Programmierer also davon ab, sich der Kriminalität zuzuwenden? Mit welchen gesetzlichen Kontrollen müssten sie rechnen? Viele junge und unerfahrene Menschen könnten von der sehr hohen Rentabilität bei Computerkriminalität angezogen werden. 17 18 gtr | Februar 2008 Aktuelle Gesetzeslage In Russland traten Gesetze für Delikte im Zusammenhang mit Computern im Juni 1996 in Kraft (in Kapitel 28 des Strafgesetzbuchs der Russischen Föderation). Im November 2001 wurden dann einige Änderungen vorgenommen. Es gibt drei Hauptparagraphen, die die folgenden Delikte abdecken (hierbei handelt es sich nicht um eine offizielle Übersetzung): § 272) Nicht autorisierter Zugriff auf Computerdaten, wenn dadurch ein Verlust, Blockieren, Ändern, Kopieren oder Zusammenbrechen des Computerbetriebs, des Systems oder eines Netzwerks verursacht wird. § 273) Absichtliche Erstellung von Computerprogrammen oder Änderung vorhandener Programme, wenn dadurch ein Verlust, Blockieren, Ändern, Kopieren oder Zusammenbrechen des Computerbetriebs, des Systems oder eines Netzwerks verursacht wird. Dazu gehört auch die Verwendung und Verbreitung entsprechender Programme oder Computermedien mit solchen Programmen. § 274) Eingreifen in den normalen Betrieb eines Computers, Systems oder Netzwerks durch eine Person, die Zugriff auf einen Computer, ein System oder ein Netzwerk erlangt, wodurch ein Verlust, Blockieren, Ändern, Kopieren oder Zusammenbrechen des Computerbetriebs, des Systems oder eines Netzwerks verursacht wird und wenn dadurch erheblicher Schaden entsteht. Das Strafmaß beginnt bei reinen Bußgeldern oder gemeinnütziger Arbeit. Für Delikte mit ernsthaften Folgen (oder wenn sie von einer organisierten Bande begangen wurden) können auch Haftstrafen von vier bis sieben Jahren verhängt werden. Im Jahr 2006 erließ die russische gesetzgebende Kraft – die Duma – Gesetze zum Schutz persönlicher Daten (http://www.akdi.ru/gd/proekt/097697GD.SHTM) und zum Datenschutz (http://www.russianlaw.net/law/laws/t3.htm). Das erstere Gesetz verlangt die Zustimmung der betreffenden Person für die Verwendung personenbezogener Informationen und gibt nur sehr wenigen begründeten Ausnahmen Raum. Diese Regelung steht im Einklang mit der international üblichen Vorgehensweise. Im Juli 2006 verabschiedete der Gesetzgeber außerdem ein Gesetz, nach dem Inserenten das so genannte Opt-In-Modell befolgen müssen und Werbung somit nur mit ausdrücklicher Zustimmung der Nutzer versendet werden darf. In der Folge wurde in Russland vorübergehend weniger Spam versendet. Nach nur vier Monaten war jedoch alles wieder beim Alten – ca. 80 Prozent Spam im normalen E-Mail-Verkehr (http://www.cnews.ru/news/top/index.shtml?2007/02/19/236529). Die Gesetzgebung ist also im Aufwind und kümmert sich allmählich um die Krisenherde. Aber funktioniert das auch bei der Malware-Erstellung? Erfolge und Niederlagen der Strafverfolgung Es gibt ein russisches Sprichwort, das besagt, dass die unbeugsame Härte des russischen Gesetzes nur durch die Unmöglichkeit ausgeglichen wird, es durchzusetzen. Wir müssen also den Härtetest machen und überprüfen, wie diese Gesetze in der Praxis angewendet werden. Wie bei High-Tech-Kriminalität üblich liegen die Gesetze immer ein wenig hinter den aktuellen Entwicklungen bei der missbräuchlichen Nutzung dieser Technologie zurück. Russische Gesetze zur Computerkriminalität sind jedoch ziemlich allgemein gehalten und konnten bereits eingesetzt werden, um einen Spammer zu verurteilen (http://www.ifap.ru/eng/projects/as02.pdf) – obwohl die Gesetzgeber nicht an die Folgen von Spam dachten, als sie die entsprechenden Gesetze erließen. Ein weiterer Hacker wurde nach Paragraph 273 wegen nicht autorisierter Änderung eines Computersystems verurteilt (www.internet-law.ru/intlaw/crime/tumen.htm), und gegen einen Studenten wurde wegen Betreibens einer Website Anklage erhoben, auf der er ca. 4.000 Malware-Beispiele zum Download anbot. Was die internationale Computerkriminalität betrifft, so verurteilte ein Gericht in der Oblast Saratow, etwa 850 Kilometer südöstlich von Moskau, drei russische Hacker zu jeweils acht Jahren Gefängnis sowie einer Geldstrafe von 3.700 US-Dollar (http://www. whatreallyhappened.com/archives/cat_computersinternetsecurity. html). Sie hatten versucht, 4 Millionen US-Dollar von globalen Internetfirmen zu erpressen. Computerbasierte Delikte sind häufig grenzüberschreitend. Und manchmal überqueren auch die Kriminellen die Grenze. Dann unterliegen sie den örtlichen Gesetzen und können festgenommen und verurteilt werden. Im August 2007 berichteten US-amerikanische Behörden über eine organisierte Bande, die es auf Identitätsdiebstahl und dabei speziell auf reiche Amerikaner abgesehen hatte. Der Kopf der Bande wurde in New York festgenommen, als er aus Russland in die USA flog, um Goldbarren im Wert von 7 Millionen US-Dollar in Empfang zu nehmen, von denen er dachte, dass sie mit dem gestohlenen Geld eines seiner Opfer erworben wurden (http://www.informationweek.com/security/ showArticle.jhtml?articleID=201800899). Grenzüberschreitende Angriffe auf Webserver sind nicht außergewöhnlich. In der Regel werden dabei Server manipuliert und Malware (oder böswillige Links zu Malware) platziert. In einem Fall bemerkten Webadministratoren aus mehreren Ländern Angriffe von demselben in St. Petersburg registrierten Netzwerk. Ein solcher Zufall zeigt, dass diese Aktivitäten recht häufig sind. Auf der im August 2007 in Washington abgehaltenen Konferenz Internet Security Operations and Intelligence III hat einer meiner Kollegen erfahren, dass die überwältigende Mehrheit der größten Betrugsfälle von Kriminalität im Internet mit russischen oder ehemals sowjetischen Cyber-Kriminellen in Verbindung zu stehen scheint. „Go Away, Russian Business Network!“ (Lass mich in Ruhe, Russian Business Network!), Dusting My Brain. http://dustingmybrain.com/archives/002375.html und „More on the Russian Business Network!“ (Mehr zum Russian Business Network!), Dusting My Brain. http://dustingmybrain.com/archives/002379.html Copyright © 2008 McAfee, Inc. gtr | Februar 2008 Im Juli 2007 hat das russische Exploit-Paket MPack Webserver in Italien massiv kompromittiert. (Eine grafische Beschreibung der Funktionsweise dieses Pakets finden Sie im Symantec-Blog.) Um solche Angriffe bewältigen zu können, müssen Gesetzgeber, Strafverfolgungsbehörden und Internetdiensteanbieter (Internet Service Provider, ISP) eng und grenzüberschreitend zusammenarbeiten – eine unglaublich schwierige Aufgabe. Die Ressourcen- und Mittelbeschaffung für Einheiten gegen Computerkriminalität ist ein weiteres – und alles andere als triviales – Problem für die Strafverfolgungsbehörden. (Dieses Problem stellt sich weltweit in vielen Ländern.) Da der Erfolg der Behörden gegen die Computerkriminalität hinter den Erwartungen der Bevölkerung zurück bleibt, eilten nichtstaatliche und internationale Institutionen zur Hilfe (http://www.crime-research.org/about/). Das Computer Crime Research Center (Zentrum zur Computerkriminalitätsforschung) hat ein Dokument herausgebracht, in dem der Status der Gesetze gegen Computerkriminalität in den früheren Sowjetrepubliken detailliert geschildert wird (http://www.crime-research.org/library/ Criminal_Codes.html). Das Open Forum of Internet Service Providers (ein offenes ISP-Forum) ist eine ähnliche nichtstaatliche Organisation und erstellte 2002 eine Reihe von Regeln für faire Netzwerknutzung. Diese Regeln dienten als Präzedenzfall (http://www.ofisp.org/documents/ofisp-008.html) für die Bestätigung eines Gerichtsurteils zum russischen Anbieter ISP MTUIntel, der den Internetvertrag für einen Spammer gekündigt hatte. Im Juli 2005 ging die Geschichte der Ermordung des berüchtigtsten russischen Spammers Vardan Kushnir durch die Medien. Die weit verbreitete Überzeugung, dass dieser Mord mit der Verbreitung von Spam zusammenhing, konnte sich nicht mehr halten, als die wahren Mörder im August 2005 festgenommen wurden. Es ist ironisch, vielleicht aber auch typisch für die Medienwelt, dass die unbegründeten Spekulationen weitaus mehr Schlagzeilen machten als die Fakten, die nach Abschluss des Mordfalls vorlagen. Schwarzmarktpreise Abbildung 1: Auf dieser Site wird Malware zum Kauf angeboten und in einer kleinen Befragung sogar um Kundenfeedback gebeten. „MPack, Packed Full of Badness“ (MPack, ein Paket voller Schlechtigkeiten), Symantec Enterprise WebLog. http://www.symantec.com/enterprise/security_response/ weblog/2007/05/mpack_packed_full_of_badness.html „Vardan Kushnir“, Wikipedia. http://en.wikipedia.org/wiki/Vardan_Kushnir Auf der Suche nach individuell gefertigter Malware wird man schnell fündig. Es gibt sogar spezielle Websites, die diese Dienstleistungen anbieten. In einigen Foren sind wir auch auf verschiedene Anfragen nach Malware gestoßen. Da es Käufer und Verkäufer gibt, ist natürlich auch ein Markt für Malware vorhanden. Auf der in Abbildung 1 gezeigten Site haben wir Ergebnisse einer Befragung gefunden, in der Besucher angeben sollten, ob sie an Angeboten für Bankkonten, Tagebücher, PayPal, eBay usw. interessiert wären. Überraschenderweise antworteten 67 Prozent (das sind 149 Personen) mit „Ja“. Die Site bietet die folgenden „speziellen“ Absatzgebiete: • Bots • • Bruter (offensichtlich • Brute-Force-Cracker) • • Flooder • • Grabber • Infektionen • (Viren und Würmer) Keylogger Sniffer Spam-Software Sploits (Exploit-Demos und -Schwachstellen) Trojaner Finanz-Malware Abbildung 2: Malware-Einkauf: Was ist im Angebot? Diese Site bietet insgesamt sieben Einträge. Dazu gehören: • PG Universal Grabber (Power Grabber Version 1.8): unterstützt Microsoft Internet Explorer und kompatible Browser; installiert sich selbst und entfernt die Spuren der Installation; umgeht Firewalls; ist unsichtbar und wird nicht erkannt; sendet Protokolle sofort nach einem POST-Befehl; lädt externe Dateien; aktualisiert Bots; blockiert ausgewählte Sites; zerstört sich nach dem n-ten Neustart selbst; verschlüsselt URLs. • Grabber-Toolkit: „Alles für den Carding-Neuling“ – Builder; Schlüsselgenerator; stellt Statistiken über eine administrative Seite bereit. • Grabber Ghost Version 2.0: ändert im aktivierten Zustand URLs, die von Suchmaschinen zurückgegeben werden, oder wenn bestimmte Schlüsselwörter verwendet werden. 19 20 gtr | Februar 2008 Bots und Builder Angepasste Malware Auf dem Markt erhältliche Bots (Abbildung 3): • WDLX Version 1.1: enthält einen Downloader, der eine in einem Builder angegebene URL verwendet; installiert sich selbst und wartet auf eine bestehende Internetverbindung. Nach Ablauf einer vom Käufer festgelegten Zeit, wird das Programm ausgeführt, und alle Spuren seiner Aktivitäten werden entfernt. • Xloader: täuscht Firewalls; enthält detaillierte Statistiken über PHP-Scripting. • Mehrschichtiger DDoS-Angriff (Distributed Denial of Service): neue Mehrfachfunktion; Mehrschichtiger Bot für Unix, Linux und verwandte Betriebssysteme. Diese Anzeige (Abbildung 4) wurde in mehreren Foren geschaltet und bietet folgende Dienste an: • Eindringen in Websites und Foren: 50 US-Dollar • Garantiertes Eindringen in Postfächer von mail.ru und yandex.ru: 45 US-Dollar • Umfangreiches Ausbringen von Trojanern und Spionageprogrammen: 100 US-Dollar • Verbreiten von Spam: 70 US-Dollar Und die Preise in US-Dollar: • Bot-Builder mit DDoS-Funktionen: 250 US-Dollar • Bot-Build: 35 US-Dollar • Bot: 25 US-Dollar • Downloader (mit einer Größe von 5-6 K): 10 US-Dollar • Form-Grabber: 350 US-Dollar • Keylogger: 20-30 US-Dollar • WebMoney-Trojaner/Builder: 60 US-Dollar Abbildung 3: Bots im Angebot Abbildung 5: Spam – Alles was Sie sich wünschen (und bezahlen können) Copyright © 2008 McAfee, Inc. Spam-bezogene Dienste Auf dieser Site (Abbildung 5) werden „Spam-Dienste“ für E-MailAdressen-Sammlungen zu folgenden Preisen angeboten: • 400.000 Unternehmen: 55 US-Dollar •1.800.000 Einzelpersonen: 100 US-Dollar • 90.000 Unternehmen in St. Petersburg: 30 US-Dollar • 450.000 Einzelpersonen in der Ukraine: 50 US-Dollar • 6.000.000 russische Einzelpersonen: 150 US-Dollar • 4.000.000 Adressen [email protected]: 200 US-Dollar Bei Bezahlung per WebMoney bietet der Dienst sogar großzügig Rabatte an. Abbildung 4: Wählen Sie Ihr Exploit gtr | Februar 2008 DDoS-Angriff auf Estland Prognosen Im April und Mai 2007 gab es einen großen DDoS-Angriff, der auf viele Regierungswebsites in Estland gerichtet war. Ermittler gehen davon aus, dass der Angriff durch die Umsetzung des „bronzenen Soldaten“ veranlasst wurde, einem Denkmal für einen unbekannten russischen Soldaten im Zweiten Weltkrieg. Estnische Behörden hatten beschlossen, das Monument vom Zentrum Tallins auf einen vorstädtischen Militärfriedhof zu versetzen. Dieser Beschluss löste unter der Bevölkerung Tallins Unruhen aus, bei denen eine Person getötet wurde. Später, kurz vor dem Jahrestag des Sieges (zur Beendigung des 2. Weltkriegs, der in Estland am 9. Mai gefeiert wird), begann ein mehrere Tage andauernder DDoS-Angriff. Viele große estnische Websites standen während dieser Zeit nicht zur Verfügung. Unter Sicherheitsexperten herrscht die Meinung vor, dass dieser Angriff von einer Gruppe von Einzelpersonen durchgeführt und von deren patriotischen Gefühlen angeheizt wurde. Weitere technische Informationen über den Angriff finden Sie im unten angegebenen Artikel. Es konnten keine Hinweise auf eine Beteiligung der russischen Regierung an diesen Angriffen gefunden werden, und selbst wenn es eine Verbindung gäbe, würde diese mit sehr großer Wahrscheinlichkeit nicht entdeckt werden., Nach dem Vorfall beschuldigten sich beide Seiten gegenseitig der Cyber-Angriffe.10 Mit Verbesserungen in der Gesetzgebung, einer Stärkung der Wirtschaft und Senkung der Arbeitslosigkeit sowie stärkerer Strafverfolgung in Russland erwarten wir einen allmählichen Rückgang bei der Malware-Erstellung. Andere frühere Sowjetrepubliken und sogar China werden voraussichtlich demselben Muster folgen. Gleichzeitig weisen aktuelle Trends bei den Malware-Zahlen deutlich auf eine beschleunigte Erstellung in fast allen Regionen weltweit hin. Selbst wenn die Malware-Produktion in Russland also auf „westliches Niveau“ sinken sollte, ist sie immer noch beträchtlich. Fazit Wir werden in nächster Zeit wohl keinen allgemeinen Rückgang bei der Anzahl an Malware verzeichnen können. Computerkriminalität ist einfach zu gewinnbringend und birgt momentan zu wenige Risiken. Und entgegen der vorherrschenden Meinung ist sie nicht nur ein technologisches, sondern vielmehr ein soziales und wirtschaftliches Problem. So wie fast immer werden sich die Dinge wahrscheinlich erst einmal verschlechtern, bevor sie besser werden. Wir sind davon überzeugt, dass sich die Situation auf lange Sicht entscheidend ändern kann, wenn weltweite Vereinbarungen über die Internetnutzung gefunden werden (z. B. obligatorische InternetID-Karten). Eine Änderung zum Besseren wird jedoch eher durch Fortschritte bei der Computersicherheit – sowohl im Hardware- als auch im Softwarebereich – möglich sein. Wir von McAfee® Avert® Labs haben ein gutes Gefühl dafür, was die Erstellung von Computer-Malware vorantreibt. Alle Länder mit relativ armen Computerbenutzern mit guten Computerkenntnissen und einem gut verfügbaren Internet tragen zu diesem Problem bei. Dazu gehören Länder wie China, Russland, Brasilien und die Ukraine. Für uns ist offensichtlich, dass die russische Mafia und der russische Inlandsgeheimdienst FSB nicht hinter dem Anstieg bei Malware-, Spam- und Phishing-Angriffen stecken, die von der früheren Sowjetunion ausgehen. Aufgrund der extrem hohen Gewinne und der niedrigen Risiken muss die Mafia jedoch ein Interesse daran haben, Computerkriminalität zu unterstützten. Gleichzeitig wäre es sehr überraschend, wenn die Neuauflage der Geheimpolizei keine auf Computersicherheit spezialisierte Abteilung hätte und nicht in die Erforschung des Computerkriegs investieren würde. Dasselbe gilt für das Militär. Nichtsdestotrotz sehen wir wirtschaftliche Faktoren als Hauptursache für die Entwicklung von Malware in Russland und den anderen früheren Sowjetrepubliken. „Bronze Soldier of Tallinn“ (Bronze-Soldat von Tallin), Wikipedia. http://en.wikipedia.org/wiki/Bronze_Soldier_of_Tallinn „Estonian DDoS—a final analysis“ (DDoS auf Estland – eine Abschlussanalyse), Heise Security. http://www.heise-security.co.uk/news/90461 „Estonian DDoS Attacks—a summary to date“ (DDoS-Angriffe auf Estland – eine Zusammenfassung der bisherigen Ereignisse), Arbor Networks. http://asert.arbornetworks.com/2007/05/estonian-ddos-attacks-a-summary-to-date/ „DDoS attacks on the Estonian servers were not a cyber war“ (DDoS-Angriffe auf estnische Server waren kein Cyber-Krieg), Heise Online. http://www.heise.de/english/newsticker/news/91095 „Massive DDoS attacks target Estonia; Russia accused“ (Massive DDoS-Angriffe auf Estland; Russland beschuldigt), Ars Technica. http://arstechnica.com/news.ars/ post/20070514-massive-ddos-attacks-target-estonia-russia-accused.html 10„Malware Evolution: April–June 2007“ (Malware-Entwicklung: April bis Juni 2007), Viruslist.com. http://www.viruslist.com/en/analysis?pubid=204791956 Dr. Igor Muttik arbeitet als Senior Architect für McAfee Avert Labs. Er ist Doktor der Physik und Mathematik. Aufgrund seiner Untersuchungen der ersten Computerviren begann er bei Dr. Solomon's Software, einem später von McAfee, Inc. erworbenen Unternehmen. Neben seinen Forschungen zu Malware hält Dr. Muttik rund um den Globus regelmäßig Vorträge auf Sicherheitskonferenzen. 21