Im Schutz des dunklen Netzes floriert der Handel mit Hacking-Tools und -Serviceangeboten. Wir werfen einen Blick auf das Crimeware-Ökosystem im Netz-Untergrund.
Unternehmer-Größen wie Jeff Bezos, Larry Page oder Warren Buffet kennt wohl jeder. Es gibt aber auch Business-Bosse, die täglich mit Millionen hantieren und den meisten Menschen dennoch unbekannt bleiben. Das liegt in einigen Fällen daran, dass sie Unternehmen lenken, die sich einem genauso aufstrebenden wie illegalen Geschäftsfeld verschrieben haben: Crimeware-as-a-service (CaaS).
Hacking-Tools shoppen wie bei Amazon: Dank Crimeware-as-a-service kann heute jeder zum Hacker werden. Foto: photomak - shutterstock.com
Im Grunde versorgen diese CaaS-Unternehmer Kriminelle mit weniger ausgeprägten, technischen Kenntnissen mit den richtigen Werkzeugen und Services für das kriminelle Hacker-Dasein. So lassen sich Cybercrime-Aktivitäten ganz ohne lästige Bildungsoffensiven professionalisieren und automatisieren - die Schwelle für den Eintritt ins Computerverbrecher-Milieu sinkt auch hierdurch immer weiter. Vom Botnetz über Browser-Exploit-Packs bis hin zum DDoS-Toolkit wird im Crimeware-as-a-service-Bereich inzwischen alles beworben, entwickelt, verkauft und gekauft, was Cyberkriminelle für ihr Handwerk brauchen. Gemeinsam mit Aditya K. Sood vom Security- und Cloud-Spezialisten Blue Coat Systems werfen wir einen Blick auf das Ökosystem der Cyberkriminellen und Hacker.
Das Darknet in Bildern
Enter the Dark In den 1970er Jahren war der Ausdruck "Darknet" kein bisschen unheilverkündend. Er bezeichnet damals einfach nur Netzwerke, die aus Sicherheitsgründen vom Netz-Mainstream isoliert werden. Als aus dem Arpanet zuerst das Internet wird, das dann sämtliche anderen Computer-Netzwerke "verschluckt", wird das Wort für die Bereiche des Netzes benutzt, die nicht ohne Weiteres für jeden auffindbar sind. Und wie das im Schattenreich so ist: Natürlich ist es auch ein Hort für illegale Aktivitäten und beunruhigende Güter aller Art, wie Loucif Kharouni, Senior Threat Researcher bei Damballa unterstreicht: "Im Darknet bekommen Sie so ziemlich alles, was man sich nur vorstellen kann."
Made in the USA Ein aktuelles Whitepaper von Recorded Future klärt über die Verbindungspunkte zwischen dem Web, das wir alle kennen, und dem Darknet auf. Erste Spuren sind normalerweise auf Seiten wie Pastebin zu finden, wo Links zum Tor-Netzwerk für einige Tage oder Stunden "deponiert" werden. Tor wurde übrigens von der US Navy mit dem Ziel der militärischen Auskundschaftung entwickelt. Die weitgehende Anonymisierung hat Tor schließlich zum Darknet-Himmel gemacht.
Drogen Im Darknet floriert unter anderem der Handel mit illegalen Drogen und verschreibungspflichtigen Medikamenten. "Das Darknet hat den Drogenhandel in ähnlicher Weise revolutioniert, wie das Internet den Einzelhandel", meint Gavin Reid vom Sicherheitsanbieter Lancope. "Es stellt eine Schicht der Abstraktion zwischen Käufer und Verkäufer. Bevor es Seiten wie Silk Road gab, mussten Drogenkonsumenten in halbseidene Stadtviertel fahren und das Risiko eines Überfalls ebenso auf sich nehmen, wie das, von der Polizei erwischt zu werden. Jetzt können die Leute das bequem von zuhause erledigen und müssen dabei kaum mit dem Dealer interagieren. Das hat viele Personen dazu veranlasst, auf diesen Zug aufzuspringen und dadurch sowohl den Verkauf von Drogen als auch das Risiko das durch ihren Konsum entsteht, dezentralisiert."
Bitte bewerten Sie Ihren Einkauf! Das Internet hat den Handel revolutioniert - zum Beispiel durch Bewertungs- und Rating-Systeme. Das gleiche Prinzip kommt auch im Darknet zur Anwendung - nur bewertet man eben keine SSD, sondern Crack. Nach dem Untergang von Silk Road dient mittlerweile The Hub als zentrale Plattform für den Drogenhandel.
Waffen Drogenkonsumenten nutzen das Darknet in manchen Teilen der Welt, um bewaffneten Dealern aus dem Weg gehen zu können. Letztgenannte Zielgruppe kann im dunklen Teil des Netzes hingegen aufrüsten: Bei einer groß angelegten Razzia wurde eine große Waffenlieferung, die von den USA nach Australien gehen sollte, gestoppt. Neben Schrotflinten, Pistolen und Gewehren sind im Darknet unter anderem auch Dinge wie eine Kugelschreiber-Pistole zu haben. James Bond lässt grüßen. Strahlende Persönlichkeiten finden in den Web-Niederungen gar Uran. Zwar nicht waffenfähig, aber immerhin.
Identitätshandel Viele Untergrund-Händler bieten im Darknet auch gefälschte Dokumente wie Führerscheine, Pässe und Ausweise an. Ganz ähnlich wie der Zeitgenosse auf diesem thailändischen Markt, nur eben online. Was sich damit alles anstellen ließe... Jedenfalls ist die Wahrscheinlichkeit ziemlich gering, dass ein Teenie sich im Darknet ein Ausweisdokument beschafft, um das Bier für die nächste Facebook-Party kaufen zu können.
Digitale Leben Raj Samani, CTO bei Intel Security, zeigt sich erstaunt darüber, wie persönlich die Produkte und Services im Darknet im Laufe der Zeit geworden sind: "Der Verkauf von Identitäten geht weit über Karten und medizinische Daten hinaus: Dort werden ganze digitale Leben verkauft - inklusive Social-Media- und E-Mail-Accounts sowie jeder Menge anderer persönlicher Daten."
Auftragskiller Bevor Sie jetzt den Eindruck gewinnen, dass das Darknet ein Ort ist, wo man wirklich jede Dienstleistung kaufen kann: Die allermeisten Leute, die Tötungs-Dienstleistungen anbieten, sind Betrüger. Die nehmen zwar gerne Geld von den willigen Kunden, machen sich die Finger aber weniger gerne schmutzig. Der Betreiber von Silk Road, Ross Ulbricht, ist so einem Betrüger zum Opfer gefallen: Eine Million Bitcoins investierte der halbseidene Darknet-"Pionier" in Auftragsmorde, die nie ausgeführt wurden. Bei einer Crowdfunding-Plattform für Attentate auf Prominente dürfte es sich ebenfalls um ein einträgliches Betrugsgeschäft handeln.
Schnellausstieg Es kommt jetzt vielleicht überraschend, aber die Leute die man so im Darknet trifft, sind in der Regel keine ehrbaren Naturen. Die zunehmende Professionalisierung im Darknet und der psychische Druck, der auf Drogen- und Waffenhändlern im Darknet lastet, führt zu einem neuen Trend: dem Exit-Scam. Hierbei entscheidet sich ein Händler, der bereits Kundenvertrauen aufgebaut hat, seine Aktivitäten zu beenden. Dazu beendet er die Beziehungen zu seinen Lieferanten, nimmt aber weiterhin Bestellungen und Geld von Kunden entgegen. Und zwar genauso lange, bis diese merken, dass sie keine Leistungen für ihr Geld erhalten. Das so entstandene Zeitfenster wird von den Händlern genutzt, um noch einmal so richtig abzukassieren, bevor sie schließlich im digitalen Nirvana verschwinden.
Freiheit? Eines sollte man in Bezug auf das Darknet nicht vergessen: Während wir in diesem Zusammenhang vor allem an Drogen, Waffen und Auftragsmord denken, stellt das Darknet für Menschen in Ländern, in denen Krieg und/oder politische Verfolgung herrschen, oft das einzige Mittel dar, gefahrlos und/oder ohne Überwachung mit der Außenwelt in Kontakt zu treten.
Hacker-Tools: Die Darknet-Hits
In CaaS-Onlineshops lässt sich mit nur wenigen Klicks der Zugang zu Unternehmensgeheimnissen, Zahlungsinformationen und persönlichen Daten erkaufen - und zwar ähnlich schnell und komfortabel wie man das von großen Online-Shops wie Amazon und Co. kennt. Dabei wird der CaaS-Marktplatz jedoch nicht von einigen wenigen Anbietern dominiert, sondern bildet ein hochkomplexes und organisiertes Netzwerk ab, das in den Untiefen des Darknets verankert ist. Für gewöhnliche Internetnutzer sind diese Seiten also weder sicht- noch erreichbar. Das tut ihrem Wachstumspotenzial allerdings keinen Abbruch: Wie APWG berichtet, ist das "Business" mit Phishing-Tools und -Attacken im abgelaufenen Jahr um satte 250 Prozent gewachsen. Dabei ist das nur ein kleiner Bereich von Crimeware-as-a-service.
Vor zehn Jahren war von diesen Entwicklungen noch nichts zu sehen: Wie in "A Brief History of Hacking" nachzulesen ist, haben die Hacker zwar bereits damals die Werkzeuge und Technologien zur Verfügung, um massive Angriffe zu fahren - allerdings liegt der Fokus der Szene damals eher auf Macht als auf Profit. Mit der Fokussierung auf monetäre Ziele steigt die Zahl von DDoS-Attacken genauso wie die der Angriffe mit Hacking-Tools, insbesondere im Bereich von Browser Exploit Packs, Malware und Spyware. Schließlich verspricht diese Art von Angriffen für die kriminellen Hacker den höchsten Profit.
Das sind die derzeit beliebtesten Crimeware-as-a-service-Produkte:
Crimeware-as-a-service: Darknet-Hits
Botnetze Ein Netzwerk von Rechnern die mit Schadsoftware infiziert wurden, kann von Cyberkriminellen gesteuert werden, ohne dass deren User etwas davon mitbekommen. Im Cyber-Untergrund können (Pseudo-)Hacker Zugang zu bereits infizierten Rechnern – oft auch im Verbund – erwerben. Ab etwa 100 Dollar pro Monat ist die Infrastruktur eines Botnetzes „mietbar“, ein komplettes, fertiges System kostet circa 7000 Dollar.
Browser Exploit Packs In Kombination mit einem Botnetz-Framework erlauben BEPs ihren Käufern, Ransomware oder Malware in großem Stil zu verbreiten. Wie jede fortgeschrittene Malware verfügen auch BEPs über integrierte Module zur Verschleierung, Optimierung und Administration der kriminellen Aktivitäten. Ein komplettes BEP-Package kostet im Untergrund zwischen 3000 und 7000 Dollar.
Phishing-Toolkits Kriminelle Hacker, die eine bestimmte Gruppe oder einfach ganz normale Nutzer attackieren möchten, können im CaaS-Umfeld fertig eingerichtete SMTP-Server, Scam-Webseiten oder hochqualitative Mailing-Listen erwerben – und zwar zum kleinen Preis: Zwischen 15 Dollar und 40 Dollar werden dafür fällig. Populär ist auch die Kombination mit „waffenfähigen Dokumenten“ – also Dateien, die auf den ersten Blick wie Word-Dokumente oder Powerpoint-Präsentationen aussehen, aber Schadcode beinhalten, der bekannte und unbekannte Schwachstellen in Office ausnutzt, um Malware auf dem Rechner der Nutzer zu installieren. Dabei kann es sich um Ransomware oder Remote Access Toolkits handeln – je nachdem welche Zwecke die Computerverbrecher verfolgen. Die Kosten für so einen Office-Exploit liegen zwischen 2000 und 5000 Dollar.
Ransomware Zu den derzeit beliebtesten Hacking-Tools im Cyber-Untergrund gehört die Familie der Erpressungs-Malware. Diese Art der Schadsoftware kann in sehr verschiedenen Komplexitätsstufen entwickelt werden und verheerende Folgekosten verursachen. Untersuchungen von Trend Micro zufolge ist ein anpassbares Crypto-Locker-File schon ab circa 50 Dollar zu bekommen. Allerdings streichen viele Ransomware-Provider in der Regel eine zusätzliche "Provision" ein, deren Höhe sich am verursachten Schaden orientiert - in der Regel liegt diese bei circa zehn Prozent.
Hacking-as-a-service: Illegale Goldgruben
Natürlich sind die hier genannten Preise für die Darknet-Services nur Richtwerte: Wenn es sich um ganz spezielle, auf den jeweiligen Kunden angepasste Services handelt, kann der Preis - je nach Art der Crimeware - ein Vielfaches betragen. Will beispielsweise ein geschasster Ex-Mitarbeiter seiner Abteilung ganz gezielt schaden, könnte er eine DDoS-Attacke oder ein BEP kaufen. Erwerbbar ist darüber hinaus auch die konkrete Ausführung der Attacke (oder Unterstützung hierbei) - gegen Aufpreis versteht sich.
Welches Kapitalvolumen der Crimeware-as-a-service-Markt wirklich besitzt, ist schwer zu sagen. Allerdings lassen die Aktivitäten auf dem Markt für digitale Währungen vermuten, dass mit Hacking-Tools und den entsprechenden Marktplätzen jährlich Millionen - vielleicht sogar Milliarden - von Dollar umgesetzt werden. Die Untergrund-Unternehmen nutzen dabei ausschließlich digitale Währungen wie Bitcoin, weil diese anonyme, nicht nachverfolgbare Zahlungsvorgänge ermöglichen.
Dabei nutzen die kriminellen Hacker auch eigene Finanzinstitute. Von diesen Untergrund-Banken weiß man nicht viel - nur das, was im Rahmen von aufgeflogenen Institutionen dieser Art bekannt wird. Die Webseite LibertyReserve.com ist so ein Fall: Die Seite wurde 2013 von der US-Behörden geschlossen und stellte nach deren Worten "das Finanzzentrum der Cybercrime-Welt" dar. Von 2006 bis zur Schließung im Jahr 2013 wurden über Liberty Reserve Transaktionen im Gesamtwert von sechs Milliarden Dollar getätigt.
Hacking-Tools: Der Handel floriert
Der CaaS-Markt konnte im Wesentlichen im Schatten der immer weiter steigenden Malware-Aktivitäten wachsen und gedeihen. Dabei spielt die Weiterentwicklung und Verfügbarkeit digitaler Technologien eine ebenso große Rolle wie einfache Marktprinzipien. Denn auch beim Handel mit den Hacking-Tools bestimmen Angebot und Nachfrage über das Preisgefüge. So ließ sich in der Vergangenheit beobachten, dass die Preise für bestimmte kriminelle Services stiegen, nachdem größere Anbieter "hochgenommen" wurden. Wenn also ein BEP-Provider stirbt, hebt der nächste seine Preise an, um noch mehr Profit zu machen. Die stetig steigenden Preise ermutigen wiederum andere Hacker im kriminellen Milieu, ebenfalls in den CaaS-Markt einzusteigen. Die Höhe des zu erwartenden Gewinns übersteigt die wahrgenommenen Risiken scheinbar in den allermeisten Fällen.
Denn während FBI und Co. in schöner Regelmäßigkeit illegale Marktplätze und Foren - wie beispielsweise Darkcode - ausheben können, haben Cyberkriminelle und Hacker längst neue Wege zur Kommunikation und Kaufabwicklung gefunden. Tools und Programme wie IRC und Jabber werden bei den Cyberkriminellen zunehmend populär. Auch Targeted Advertising kommt inzwischen innerhalb geschlossener Foren zur Anwendung, um Crimeware-as-a-service-Angebote zu verbreiten, ohne dass die Strafverfolgungsbehörden davon etwas mitbekommen.
IT-Sicherheit: Hackern das Handwerk legen
Die IT-Sicherheits-Lösungen und -Mechanismen sollten dementsprechend stets auf dem aktuellen Stand sein, um den neuen Angriffsmethoden krimineller Hacker etwas entgegensetzen zu können. Dazu gehören auch robuste Detection- und Prevention-Lösungen, die Malware-Infektionen und Datendiebstahl entgegenwirken und schädlichen Aktivitäten den Wind aus den Segeln nehmen, noch bevor substantieller (finanzieller) Schaden entsteht.
US-Demokraten Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst.
Dyn Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar.
Panama Papers Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen".
Yahoo Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen.
NSA Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland.
Bitfinex Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch.
Healthcare-Ransomware Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.