Microsoft greift mit dem FBI das Citadel Botnetz an

Microsoft hat zusammen mit dem FBI und unter Mithilfe von Behörden aus 80 Ländern einen der größten kriminellen Ringe im Internet angegriffen. In der konzertierten Aktion gelang es den Behörden, einen Großteil des als Citadel-Botnet bekannten Konglomerats lahmzulegen.

Microsoft bestätigte, dass seine Cyber Crime Unit am Mittwoch mindestens 1.000 der vermutlich rund 1.400 kriminellen Netze, die zusammen das Citadel-Botnetz ausmachen, vom Netz genommen hat. Das kriminelle Netzwerk wird beschuldigt, in den letzten 18 Monaten mehr als 500 Millionen US-Dollar von Finanzinstituten wie beispielsweise American Express, Bank of America, Citigroup, Credit Suisse, eBays PayPal, HSBC, JPMorgan Chase, Royal Bank of Canada und Wells Fargo gestohlen zu haben. Von den 1.000 lahmgelegten Netzen waren 455 in 40 Rechenzentren in den USA gehostet, ohne dass deren Betreiber davon Kenntnis hatten, wie das FBI bestätigt.

Insgesamt soll der Netzzusammenschluss bis zu fünf Millionen Computer in den Vereinigten Staaten, West-Europa, Hong Kong, Indien und Australien infiziert haben. Laut Richard Domingues Boscovich, dem stellvertretenden Syndikus von Microsofts Digital Crimes Unit, sind zwar keine der Hauptfiguren des Rings namentlich bekannt, jedoch habe man ihnen „technisch einen Schlag versetzt, den sie spüren werden“. Das FBI arbeitet eng mit Europol zusammen, um der Hintermänner habhaft zu werden. „Wir verstärken unser Engagement in dieser Sache, indem wir die Macher des Botnetzes verfolgen“, sagte der FBI-Assistent der Direktion, Richard McFeely, in einem Interview.

Die Software, die von Citadel verwendet wird, legt die Anti-Viren-Programme der infizierten Rechner lahm, so dass diese die Infektion und das Steuern durch „Command and Control Server“ nicht bemerken. Die Software tauchte Anfang 2012 erstmals auf und wird im Internet ab 2.400 US-Dollar angeboten.

Microsoft hatte ein Zivilverfahren gegen John Doe No. 1 angestrengt, dessen Nickname im Internet Aquabox lautet, um eine Handhabe zur Abschaltung der Server zu haben. Ermittler versuchen, die Identität von Aquabox zu klären, der vermutlich das Netz ursprünglich installiert hat und mit über 80 Personen zusammenarbeiten soll, die die Bots überall auf der Welt steuern. Sein Aufenthaltsort wird in Ost-Europa vermutet. Die Vermutung stützt sich auf die Tatsache, dass die Botnetze so konfiguriert sind, dass sie keine Banken in Russland und der Ukraine angreifen, um die Strafverfolgungsbehörden dieser Länder nicht zu provozieren.

Die „American Bankers Association“, die mit Microsoft zusammenarbeitete, nimmt erfreut zur Kenntnis, dass das FBI dazu übergeht, die Täter in solchen Fällen auch im Ausland zu verfolgen. Hierdurch steige die Chance, dass die Verluste der Finanzinstitute in solchen Fällen zukünftig sinken. Banken in den USA erstatten Privatpersonen in der Regel Verluste aus Cyber-Diebstählen dieser Art, Firmenkunden tragen die Verluste jedoch selbst.