Sicherheit
Mutmaßlicher Botnetz-Betreiber enttarnt?
von
Thorsten
Eggeling - 05.01.2012
Foto: www.m86security.com.
Etwa 75 Prozent aller versendeten E-Mails sind Spam. Doch wer ist verantwortlich dafür? Einem Blogger ist es jetzt gelungen, über Informationen aus Chatprotokollen einem mutmaßlichen Botnetz-Betreiber auf die Spur zu kommen.
Nach Recherchen des Bloggers Brian Krebs bezeichnet sich der Verantwortliche des Spammer-Botnets Cutwail selbst als „Google“. Seine Identität, Adresse und Telefonnummer konnte Krebs mithilfe von Chatprotokollen und weiteren Internet-Recherchen herausfinden. Die Chatprotokolle waren von der russischen Polizei beschlagnahmt worden und kurz darauf im Internet aufgetaucht.
Bei den Chatprotokollen aus dem Jahr 2007 handelt es um die Korrespondenz zwischen Betreibern von Spamit.com und „Google“. Das „Spamit“-Netz hatte sich hauptsächlich auf gefälschte Medikamente wie Viagra aus chinesischer und indischer Produktion spezialisiert und diese über die Spam-Emails vermarktet. Die russische Spamit kooperierte mit „Subunternehmern“, um ausländische Helfer zu gewinnen. Spamit.com wurde bereits Anfang Oktober 2010 geschlossen, weil Hacker Kundendaten veröffentlicht hatten. Zudem haben russische Behörden Druck auf das Affiliate-Programm für Medikamente ausgeübt.
Laut Krebs geht aus den Chatlogs mit Spamit hervor, dass „Google“ über mehr als ein Dutzend Accounts bei dem Netzwerk verfügte. „Google“ kassierte darüber fast $175.000 an Provisionen. Mehr Einnahmen brachte allerdings die Verbreitung von Arzneimittel-Spam über das Botnetz Cutwail und die Vermietung des Botnetzes an andere Spammer aus dem Kundenkreis von SpamIt.
Nach einer aktuellen Statistik des amerikanischen Sicherheitsdienstleisters M86 Security ist das Botnetz Cutwail - auch unter dem Namen Pushdo und Pandex bekannt - für etwa 22 Prozent des weltweiten Spam-Aufkommens verantwortlich.
In den Chatlogs hat Krebs unter anderem eine ICQ- und Mobiltelefon-Nummer gefunden. Die Telefonnummer taucht auch in den Registrierungsdaten einiger Internet-Domains auf, deren Registrar „Dmitry S Nechvolod“ sein soll. Bei Nechvolod könnte es sich um einen Software-Entwickler bei der Firma 8000/portfolio/di2/team/:Digital Infinity Developers Group handeln (die Webseite wird von der Suchmaschine Google als „gefährlich“ eingestuft und soll Malware verbreiten). Die gefundene ICQ-Nummer taucht im Internet ebenfalls an diversen Stellen auf, etwa bei der Anwerbung von Programmierern. Auch hier lässt sich eine Verbindung zwischen dem Namen Nechvolod und Spamit herstellen. Zurzeit ist allerdings noch völlig offen, ob es sich dabei um ein Pseudonym oder den richtigen Namen einer Person handelt. Es ist auch nicht auszuschließen, dass hier eine falsche Spur gelegte wurde, die von den eigentlichen Tätern ablenken soll.
