Botnetze bilden das Fundament der Internetkriminalität, das die einzelnen Glieder der Online-Betrugs-Kette miteinander verbindet. Um diese System zu verstehen und für eigene Zwecke zu missbrauchen, bedarf es keiner besonderen technischen Kenntnisse – die Geschäftsverhandlungen der Cyberkriminellen finden im Netz statt, mit einem Besuch einer entsprechenden Webseite lässt sich das nötige Wissen erwerben.

Am intensivsten werden Botnetze von Onlinebetrügern aus Russland genutzt, daher verkehren die meisten Botnetz-Betreiber im russischen Internet, dem so genannten Runet. Aus diesem Grund sind die Screenshot-Texte im vorliegenden Artikel in russischer Sprache.

Die Kriminellen

Wie in jedem gut funktionierenden Geschäftszweig gibt es auch in der Cybercrime-Szene Spezialisierungen auf verschiedene Fachgebiete. Will man diese Szene genauer analysieren, sollte man zuerst einen Blick auf jene Webseiten werfen, auf denen illegale Waren und Dienstleistungen angeboten werden. Denn die Hauptabnehmer solcher Waren und Dienstleistungen sind Botnetzbetreiber.

Entwicklung von Schadcode

Die meisten Internetverbrechen stehen in direkter oder indirekter Verbindung mit schädlichen Programmen – mit Viren, Trojanern, Netzwürmern und Programmen zur Durchführung von Remote-Angriffen. Schadcode ist also das wichtigste Werkzeug für Cyberkriminelle.

Die Hauptabnehmer von Malware sind Botnetzbetreiber. Sie setzen diese Programme nicht nur für den Aufbau von Zombie-Netzen ein, sondern auch, um vertrauliche Informationen von infizierten Rechnern abzuschöpfen, Spam zu versenden, infizierte Computer in Proxy-Server umzuwandeln und gefälschte Antiviren-Programme und Werbung zu verbreiten.

Programmierer von Schadcode und Betreiber von Botnetzen wissen ganz genau, dass der Erfolg ihrer Geschäfte vor allem von einer erfolgreichen Zusammenarbeit untereinander abhängt. Wer ein umfangreiches Botnetz steuert, benötigt ständig neue Schadprogramme – wer Schadcode programmiert, braucht zufriedene und zuverlässige Abnehmer.

Heutzutage ist es kein Problem, Leute zu finden, die Schadprogramme auf Bestellung liefern. Denn die entsprechenden Angebote werden in allgemein zugänglichen Hacker-Foren veröffentlicht. In derartigen Foren gehen Onlinekriminelle ihren Geschäften nach. Hier ein typisches Beispiel für eine Anzeige in einem Hacker-Forum:

Bildupload

Schreibe Trojaner auf Bestellung

Aufträge für die Programmierung von trojanischen Programmen richten Sie bitte an -----@mail.com. Geben Sie in Ihrer Mail bitte an, über welche Funktionen der von Ihnen benötigte Trojaner verfügen soll. Verschiedene Ausführungen, unter anderem als Backdoor sind möglich. Bearbeitungszeit (zwischen 1 und 3 Tagen) sowie Preis auf Verhandlungsbasis, doch ich verspreche schon jetzt, dass Sie mit meiner Arbeit zufrieden sein werden. Keine Vorkasse. Zu einem bestellten Trojaner erhalten Sie als Geschenk einen (ebenfalls von mir geschriebenen) Joiner.

Diese Anzeige bietet die Programmierung eines individuell programmierten Trojaners an. Zusätzlich kann ein so genannter „Joiner“ bestellt werden, ein Programm, das es ermöglicht, Schadprogramme in eine ausführbare Datei einer legalen Anwendung einzuschleusen.

Meist werden in solchen Hackerforen passwortstehlende Programme angeboten. Neben diesen Foren gibt es noch Webseiten, auf denen echte Profis verkehren. Meist handelt es sich dabei um Einzelgänger, die sich auf Sicherheitsfragen von Windows spezialisiert haben und problemlos mit den Entwicklern von Microsoft konkurrieren könnten. Das Problem dabei: Diese Computerexperten arbeiten nicht für, sondern gegen Windows-Anwender, indem sie komplexe Schadprogramme entwerfen – ein großes Problem für Entwickler von Antiviren-Software als auch für die großen Internet-Provider.

Glücklicherweise bewegen sich die meisten illegalen Inserenten im Internet, die Abnehmer für ihre Schadprogramme suchen, nur auf unterem oder mittlerem Niveau. Über kurz oder lang taucht bei vielen solcher Inserate der Moderatorvermerk „gesperrt“ auf. Das bedeutet, dass der Anbeiter eine Person betrogen hat und der Moderator von diesem Kunden ein negatives Feedback erhalten hat. Da dadurch Misstrauen gegenüber den Anbietern entstehen kann, hat sich eine wichtige Position in der Cybercrime-Szene etabliert, die dem entgegen wirken soll: der so genannte Garant.

Garanten

Der Garant hat folgende Aufgabe: Er soll den potentiellen Käufern die Lieferung der Ware/Dienstleistung und den Verkäufern die Bezahlung seiner Leistung garantieren. Er ist unabhängig von beiden an einem Internetgeschäft beteiligten Parteien. Manchmal überprüft der Garant auch, ob die Waren oder Dienstleistungen den Anforderungen oder der in der Anzeige versprochenen Qualität entsprechen. Ein Verkäufer von Schadcode oder cyberkriminellen Dienstleistungen hat wesentlich bessere Chancen seine Produkte an den Mann zu bringen, wenn sie von einem namenhaften Garanten kontrolliert wurden. Garanten spielen auch beim Kauf und Verkauf von Botnetzen und deren Komponenten (z.B. Bots) eine Rolle.

In der Regel sind Garanten gleichzeitig Moderatoren einschlägiger Hackerforen. Dabei nimmt der Garant mehrere Positionen ein – er moderiert beispielsweise den Abschluss einfacher Vereinbarungen zwischen drei miteinander bekannten Personen, ist aber auch mit der formalen Beschreibung seiner eigenen Funktion und den Bedingungen des Geschäftsvertrags in pseudo-juristischem Stil beschäftigt.

Im Folgenden ist ein Auszug aus einer derartigen Vereinbarung zu finden, die die Aufgaben des Garanten und die Bezahlung seiner Dienste zum Inhalt hat:

Auf Webseiten, die mit Garanten arbeiten, finden sich oft Listen mit unterschiedlichen virtuellen Dienstleistungen oder Waren, die von Cyberkriminellen angeboten werden. Darunter finden sich auch Leistungen, die unter anderem für Botnetzbetreiber von großem Interesse sind, wie zum Beispiel die Verschlüsselung und das Packen von schädlichem Code, Browser-Exploits, Traffic, Hosting etc.

• Verwandte Themen
• %^ef$g73$5r(@&#!! – Über Verschlüsselung und Algorithmen
• Brasilien – Land der Bank-Trojaner