"Conficker": Sommerferien für Zombie-Rechner

Die Betreiber des momentan größten bekannten Netzes aus gekaperten Rechnern sind keine gewöhnlichen Cyberkriminellen. Die Millionen "Conficker"-Zombies wurden weder bisher für Spam noch für DDoS-Attacken benutzt und jetzt sogar in die Sommerferien geschickt.

An sich ist es nicht ungewöhnlich, wenn ein Vortrag bei den Black Hat Briefings, die vergangene Woche in Las Vegas über die Bühne gingen, nicht so stattfindet, wie er angekündigt war.

Im vergangenen Jahr hatte Cisco zum Beispiel verhindert, dass Lücken in seinem IOS-Betriebssystem auf der Hackerkonferenz offengelegt wurden. 2009 wiederum hatte ein Forscher des Anti-Virus-Herstellers F-Secure von sich aus seinen Vortrag über den "Conficker"-Virus stark verkürzt.

Die Veröffentlichung seiner gesamten Informationen würde sich negativ auf die Arbeit der Behörden auswirken, sagte Mikko Hypponen, Technikchef von F-Secure, etwas kryptisch zur Branchenzeitschrift "Network World".

Rätselhaftes Verhalten

Die "Conficker"-Wurmkomponente - darüber verbreitet sich die Schadsoftware - war der erfolgreichste Wurm seit dem "Slammer" anno 2003.

Ende Juli 2009 nahm dieser Wurm zwar nur noch Platz fünf auf der Schadsoftware-Hitparade des Anti-Virus-Hauses McAfee ein. Das ist freilich nur ein Aspekt dieser Sache, der andere ist weit weniger beruhigend.

Auch wenn davon auszugehen ist, dass ein großer Teil der infizierten Maschinen inzwischen wieder gesäubert ist, kontrolliert das "Conficker"-Team momentan das weltgrößte bekannte Botnet.

Während alle anderen bekannten Zombie-Netze über gekaperte Rechner ahnungsloser User Spam en gros verschicken, Phishing-Websites hosten oder solche für Penny-Stock-Betrug, tut das "Conficker"-Botnet genau nichts dergleichen.

Wurm, Trojaner, Downloader

Dabei müsste gerade ein solch großes Unterfangen Refinanzierung dringend nötig haben, wenn man den Arbeitsaufwand betrachtet, der in "Conficker" steckt. In den Monaten vom ersten Auftauchen im November 2008 bis April 2009 erschienen allein vier große Updates, die jeweils neue Features mit sich brachten.

Insgesamt besteht die Suite aus praktisch allen Typen von Schadprogrammen: Wurm, Trojaner, Downloader und einige weitere Tools wie ein Zufallsgenerator für Domain-Namen, von denen neue Schadsoftware heruntergeladen wird. In der bisher letzten Version "E" kam noch ein Rootkit dazu, das der Tarnung aller anderen Schadprogramme dient.

Pro neue Version wurden zudem immer mehr Prozesse verschlüsselt, "Conficker" überprüft auch eine digitale Signatur auf ihre Authentizität, bevor neue Komponenten installiert werden. Dazu hat das "Conficker"-Team seine Suite monatelang stets auf dem Laufenden gehalten und blitzschnell aktualisiert, um die Gegenmaßnahmen der Anti-Virus-Firmen zu konterkarieren.

Chronologie

Nach einem massiven Ausbruch in den ersten Monaten 2008 formierte sich eine Ad-hoc-Expertengruppe der Anti-Virus-Hersteller, um "Conficker" zu bekämpfen, von Microsoft wurden 250.000 Dollar Kopfgeld auf die Virenschreiber ausgesetzt.

• Version E: "Conficker" lädt schädliche Funktionen nach

• Experte warnt vor "Conficker"-Hysterie

• "Conficker" wütet im britischen Parlament

• Deutsche Bundeswehr kämpft mit "Conficker"

• Microsoft: Kopfgeld auf "Conficker"-Autor

• "Conficker" in nö. Spitälern aufgetaucht

• Wurm Conficker wütet in Kärntner Spitälern

Die Ökonomie des Untergrunds

Klar ist, dass hinter all diesem Aufwand nicht das gewöhnliche Cybercrime-Geschäftsmodell stehen kann. Gerade im Botnet-Geschäft ist Zeit Geld, denn diese Netze wachsen zwar rasch bis explosiv, beginnen aber sofort zu schrumpfen, sobald die Malware bekanntgeworden ist und Gegenmaßnahmen gesetzt werden.

Die Zeitspanne, in der damit Geld verdient werden kann, ist also relativ kurz, und dabei muss stets für Nachschub für die laufend ausfallenden Bots gesorgt werden. Ein so großes Botnet wie "Conficker" acht Monate lang ungenutzt zu lassen ergibt in der Untergrundökonomie daher keinen Sinn.

Das Untypische

Auch das letzte Update im April passt überhaupt nicht mit dem bis dahin zu beobachtenden Verlauf zusammen.

Neben den üblichen Upgrades - Ausnützen einer ganz neuen Windows-Sicherheitslücke zur weiteren Verbreitung - kamen auch zwei für "Conficker" gänzlich untypische Programme mit.

Zum einen wurde der bekannte Waledac-Spambot heruntergeladen, ohne dass der danach je benutzt worden wäre, um Spam zu verschicken. Zum anderen handelte es sich um ein "Scareware"-Programm, das dem Benutzer eine Infektion des Rechners meldet und gegen eine typische Summe von 50 Dollar die Entfernung des Programms anbietet.

Mindestens eine Million

Zudem stellten die Anti-Virus-Firmen fest, dass sich Version "E" selbst deaktiviert, während die Vorgängerversionen "C" und "D" unbehelligt auf dem Rechner weiterlaufen.

Obwohl "Conficker" in den Top Ten langsam weiter nach hinten rutscht und die Windows-Sicherheitslücken, über die "Conficker" auf die Rechner kam, längst geschlossen sind, ist das kein Grund zur Entwarnung.

In der Zeit seiner stärksten Verbreitung im Frühjahr hatte "Conficker" irgendeine Zahl zwischen drei und zwölf Millionen Computern weltweit befallen. Nimmt man die konservativste Schätzung von drei Mio und zieht davon zwei Drittel mittlerweile verlorener Bots ab, bleiben eine Million Rechner übrig.

Hype statt DDoS-Attacken

Eine solche Zombie-Armee verfügt über die zehn- bis 20-fache "Feuerkraft" jenes Botnets, dessen DDoS-Attacken ganz Südkorea fast eine Woche lang in die Knie zwingen konnten.

Der explosionsartige Befall von Regierungsstellen und Behörden weltweit in den ersten beiden Monaten des Jahres hatte nämlich ein entsprechend großes Medienecho ausgelöst. Da aus dem "Conficker"-Code abzulesen war, dass ausgerechnet am 1. April ein weiteres Update fällig würde, wurde daraus ein Medienaufreger, ein regelrechter Hype.

Was dann passierte? Genau nichts. Der befürchtete Großangriff blieb aus, die Update-Version "E" kam verspätet, brachte den erwähnten Scareware-Krimskrams, aber auch ein Rootkit mit. Wenig später deaktivierte sich "Conficker E", ließ aber die Vorversionen "C" und "D" unangetastet, die mit dem neuen Rootkit auch über eine Software-Tarnkappe verfügen.

Angriffe auf Südkorea

Nachdem alles auf die nächste Entwicklung bei"Conficker" vergeblich gewartet hatte verschwand das Thema Ende April aus den Breitenmedien. Im Juli tauchte dann aus dem Nichts ein verhältnismäßig kleines Botnet auf, das die IT-Infrastruktur Südkoreas mit DDoS-Attacken angriff.

• Clinton soll die Bot-Nets stoppen

• Gestaffelter Netzangriff auf Südkorea

• Südkorea sucht Urheber der Internet-Attacken

Nicht eingetroffene Erwartungen

Als er seine "Conficker"-Analyse vor einem halben Jahr bei den Black Hat Briefings angemeldet hatte, sei er davon ausgegangen, dass die Betreiber zur Zeit der Konferenz längst hinter Schloss und Riegel säßen, sagte Mikko Hypponen.

Zu dieser Zeit war man noch davon ausgegangen, dass nun eine riesige Spamwelle zu erwarten sei, da gewöhnliche Cyberkriminelle hinter "Conficker" vermutet wurden.

Dann erwartete man DDoS-Attacken, die ebenso ausblieben. Nicht wirklich erwartet hatte man, dass die Betreibergruppe des "Conficker"-Botnets ihre Zombie-Armee so einfach in den Urlaub schickt.

(futurezone/Erich Moechel)