DNSChanger-Malware: 350.000 droht Blackout
Veröffentlicht am: 24.04.2012 12:38:57

Hallbergmoos/Washington (pte003/24.04.2012/06:10) - Nach einer Infektion mit der DNSChanger-Malware droht 350.000 Usern ab 9. Juli ein Internet-Blackout. Denn dann werden die Backup-Server, die im Rahmen der "Operation Ghost Click" zum Schutze der Nutzer eingerichtet wurden, aus Kostengründen vom Netz gehen. Zwar wurden die Hintermänner von Esthost und Rove Digital, die mithilfe verschiedener Schädlinge ein Botnetz aufgebaut hatten, vergangenen November festgenommen, viele Betroffene schweben aber weiter im Dunkeln. Martin Rösler, Director Threat Research bei Trend Micro http://trendmicro.de</a> , erklärt im Interview, warum es nach wie vor so viele kompromittierte Rechner gibt, und warum die User das Problem nur selbst lösen können.

Das Federal Bureau of Investigation (FBI) http://fbi.gov hatte nach der Beschlagnahmung hunderter Server die Anzahl der infizierten Rechner auf zumindest 568.000 geschätzt. Diese hatten unwissentlich den DNS-Server der Cyberkriminellen für ihren Datenverkehr verwendet, welche dies nutzten, um sie auf Fakeseiten umzuleiten oder den Code geladener Webpages für Einblendung eigener Werbung zu manipulieren. Damit konnten sie einen Umsatz von rund 14 Mio. Dollar erwirtschaften.

"Nach langen Diskussionen wurde schließlich beschlossen, im Zuge der 'Operation Ghost Click' einen Backup-Server einzurichten, damit die Betroffenen nicht plötzlich offline sind", erklärt Rösler. Für die User der kompromittierten Rechner war die Umsetzung der Maßnahme praktisch nicht zu spüren.
Trend Micro war den Betrügern aus Estland bereits seit 2006 auf der Spur. Dass es bis zum Takedown mehr als fünf Jahre brauchte, liegt an vielen Faktoren. So dauerte es einige Zeit, um das FBI zu überzeugen und eine ausreichende Beweislage herzustellen. Und auch die estnischen Behörden zauderten zuerst, da die beteiligten Unternehmen Esthost und Rove Digital als Vorzeigebetriebe galten.

Um den Usern zu ermöglichen, eine Manipulation ihrer DNS-Einstellungen zu erkennen, wurde unter anderem vom FBI eine Website online gestellt, die einen Erkennungsmechanismus anbietet und Tipps zur Behebung des Problems gibt. Diese besteht im Ändern der Einträge, sodass diese wieder auf die Server des eigenen Internetproviders zeigen. Eine Prozedur, die im Idealfall mit wenigen Mausklicks erledigt ist.
Trotz der umfangreichen Medienberichterstattung haben sich bislang aber nur etwa 200.000 Betroffene der falschen Einträge entledigt und surfen wieder sicher. Alle anderen werden ihr Problem selbst bemerken und beheben müssen. "Es gäbe noch zwei andere Möglichkeiten", erklärt Rösler. "Eine wäre, einen weiteren Backup-Server einzurichten oder den bestehenden weiterlaufen zu lassen. Die Kosten dafür möchte aber niemand tragen. Oder die ISPs finden heraus, welche ihrer Kunden nach wie vor die falschen DNS-Adressen nutzen, und informieren sie. Das ist sehr zeitaufwändig und ebenfalls teuer."

Im Endeffekt stellt sich eine Verantwortungsfrage, attestiert Rösler, der auch in mangelndem Interesse und fehlender Computerkompetenz vieler Anwender ein erhebliches Problem sieht. "Die Leute, die sich im vergangenen halben Jahr nicht für das Thema interessiert haben, werden das auch in den nächsten Monaten nicht tun", meint der Sicherheitsforscher. "Und selbst wenn man sie auf eine Hinweisseite umleitet, die ihnen erklärt, dass sie die für ihre Netzwerkverbindung eingestellte DNS-Adresse auf jene ihres Providers ändern müssen, werden viele sich nicht auskennen."

De facto ist davon auszugehen, dass zu Sommerbeginn tatsächlich mehrere hunderttausend User aufgrund falscher Einstellungen vom Internet abgeschnitten sind - zumindest temporär. Aus diesem Grunde wäre Rösler sogar froh über einen solchen Präzedenzfall. Denn am Horizont schwelt bereits die nächste, erhebliche Schwierigkeit, die es zu beheben gilt.
"Gegen die Beschlagnahmung der IP-Adresse des DNS-Servers ist in Holland eine Beschwerde anhängig. Das FBI könnte hier möglicherweise niederländisches Recht verletzen", erzählt der Experte. Wird der Beschwerde stattgegeben, könnte die IP-Adresse schnell einen neuen Besitzer finden, der plötzlich die Kontrolle über den Traffic von mehr als 300.000 Nutzern hätte.

DNSChanger-Testseite des deutschen BKA: http://www.dns-ok.de/</a>




Gedruckt von WCM (http://www.wcm.at/contentteller.php/news_story/dnschanger_malware_350000_droht_blackout.html)