Neues Geschäftsmodell: Botnet-Aufbau und anschließender Verkauf
Experten: Storm-Botnet wird bald Einkommensquelle
Das mysteriöse Storm-Botnet könnte bald zum Verkauf an interessierte Onlinekriminelle stehen. Das meinen zumindest die Sicherheitsexperten von Secureworks und erhalten mit dieser Einschätzung Unterstützung von anderen Security-Anbietern. Doch nicht das ganze Netz wird verkauft werden, sondern jeweils nur Teile. Darauf deuten die Verschlüsselungen hin, welche die neuesten Strom-Varianten verwenden.
Der Command-and-Control-Verkehr zwischen den Bot-Commandern und den eigentlichen Bots des Storm-Botnets wird neuerdings mit einer 40-Byte-Verschlüsselung chiffriert. Die wahrscheinlichste Erklärung dafür ist laut Joe Steward, Sicherheitsexperte bei Secureworks, dass die Entwickler ihr Storm-Botnet segmentieren wollen, um dann einzelne Teile jeweils separat an Spam-Versender oder DDoS-Angreifer (Distributed Denial of Service) verkaufen zu können. "Durch die neue Verschlüsselung können jetzt nur noch die Knotenpunkte miteinander kommunizieren, die denselben Code benutzen. Damit lässt sich das Botnet in kleine Segmente aufteilen und als komplett eingerichtetes und wirksames Delivery-Vehikel verkaufen," warnt Stewart. Falls dem tatsächlich so ist, erwartet er für die Zukunft eine Flut an Angriffen aus dem relativ jungen Storm-Netz.
Stewarts Einschätzung bestätigt Security-Anbieter Sophos: "Stewart hat mit seiner Analyse höchstwahrscheinlich recht," so Graham Cluley, Technikberater bei Sophos. Er und sein Team haben sich auch schon über die neuerliche Verwendung von Verschlüsselungstechniken beim Storm-Netz gewundert. "Es würde mich nicht überraschen, wenn das Storm-Netzwerk nun vermehrt durch andere Kriminelle missbraucht wird," so seine Einschätzung.
Allerdings hat die neue Verschlüsselung für die Betreiber den Nachteil, dass Administratoren die Angriffe besser erkennen können, da sich diese Anweisungen vom Rest des P2P-Traffics (Peer-to-Peer) deutlich unterscheiden. Dies wird laut Stewart den Sicherheitsforschern sogar helfen: "Wir sollten schon bald in der Lage sein, mit einen Blick zu erkennen, ob der Traffic von einem Storm-Knotenpunkt oder einem anderen P2P-Client kommt."
Stewart beobachtet die Entwicklung des Storm-Botnets bereits seit Januar, als es erstmals als Malware-Wurm in einem E-Mail-Anhang auftauchte. Falls er mit seiner Einschätzung richtig liegt, würden die Storm-Botnet-Betreiber erstmals Geld mit ihrem Meganetz verdienen, denn bislang diente der Traffic nur dazu, noch mehr PCs zu infizieren. "Bisher hat Storm noch keinen echten Schaden angerichtet, außer dass das Netzwerk stetig wächst", bestätigt der Sicherheitsexperte Bruce Schneier, der ebenfalls besorgt über den gewaltigen weltweiten Netzaufbau ist. Bis zu zehn Millionen Systeme sind seiner Meinung nach bereits infiziert. Doch das genaue Ausmaß sei kaum abzuschätzen, da viele der infizierten Computer auf Standby sind.
Das Storm-Botnet (Botnet: kurz für Robot Network oder Roboternetzwerk, ein Verbund gekaperter PCs) gehört zur neuesten Generation der Botnets , die wie die alte Napster-Technik funktionieren. Sie nutzen dezentrales P2P und verschlüsseln ihre Kommunikation. Selbst wenn es gelingt, einzelne Rechner aus dem Netz zu nehmen, "lebt" ein P2P-Botnet weiter. "Das Storm-Botnet funktioniert wie eine Ameisenkolonie durch Arbeitsteilung, bei der nur ein kleiner Teil der infizierten Wirtsysteme den Wurm weiterverbreitet. Werden diese Wirte aufgespürt und ausgeschaltet, übernimmt die nächste Fraktion den Job. Damit ist das System praktisch resistent gegen die normalen Gegenmaßnahmen," so Schneier.
Katharina Guderian/wg
Lesen Sie mehr zum Thema
