FBI und Europol legen wichtigstes, englischsprachiges Cybercrime-Forum still

CyberkriminalitätSicherheit
Logo Europol (Bild: Europol)

Im Zuge der Aktion gegen Darkode wurden insgesamt 28 Personen festgenommen. Einem 20-jährigen US-Studenten wirft die Staatsanwaltschaft vor, während eines Praktikums bei der Firma Fireeye das Malware-Toolkit Dendroid verbreitet zu haben.

FBI und Europol haben in einer gemeinsamen Aktion das Cybercrime-Forum Darkode geschlossen und insgesamt 28 Personen sowie 37 Wohnungen und Häuser durchsucht. An der Aktion waren Ermittlungsbehörden in 20 Ländern, darunter Australien, Kanada, Kolumbien, Nigeria, Zypern, Schweden und Deutschland beteiligt.

Europol zufolge handelte es sich bei Darkode um das gefährlichste und aktivste englischsprachige Hackerforum und eines der fünf berüchtigtsten Einrichtungen dieser Art weltweit. Die anderen vier seien allerdings von russischsprechenden Personen dominiert. Bei Darkode hätten 250 bis 300 aktive Nutzer eine geschlossene Gemeinschaft gebildet. Mitglied konnte man nur auf Einladung werden. Darkode sei so eine Art “in-Forum” für englischsprachige Cyberkriminelle gewesen wo unter anderem mit Malware, Zero Day Exploits und Zugang zu kompromittierten Servern gehandelt wurde.

In den USA wurden 12 Personen angeklagt, darunter der 27-jährige Forumsgründer und ein 20-jähriger Student, der laut Forbes als Praktikant bei der Sicherheitsfirma Fireeye tätig war und während dieser Zeit auch die gefährliche Android-Malware Dendroid über Darkode in Umlauf gebracht haben soll.

Mit Darkode haben FBI udn Europol das führende englischsprachige Cybercrime-Forum ausgehoben (Screenshot: Europol)
Mit Darkode haben FBI udn Europol das führende englischsprachige Cybercrime-Forum ausgehoben (Screenshot: Europol).

Fireeye gehört zu den aufstrebenden Cybersecurity-Firmen in den USA. Es erhielt Finanzmittel von Goldman Sachs, Sequoia Capital und In-Q-Tel, dem Investitionsarm der CIA. Firmen wie Sony Pictures wandten sich an das Unternehmen, um schwerwiegende Cyberangriffe zu bewältigen. Der Student bezeichnet sich selbst als Android-Entwickler, der am Carnegie Institute of Technology studiert. Er gibt an, bei einem mehrmonatigen Praktikum im Sommer 2013 bei Fireeye im Bereich Mobile Malware Research im Advanced-Persistent-Threat-Team gearbeitet zu haben.

Die Staatsanwaltschaft wirft ihm vor (PDF), zwischen Januar und August 2013 die Android-Malware Dendroid über das Darkode-Forum verbreitet zu haben. Das überschneidet sich mit seiner Praktikumszeit bei Fireeye und legt nahe, dass er die dort erworbenen Spezialkenntnisse für die raffinierte Schadsoftware einsetzen konnte. Die Sicherheitsfirma erklärte inzwischen eine interne Untersuchung durchführen zu wollen.

Der Student nannte sich im Forum schlicht “Android”. Der Anklage zufolge bot er das Toolkit Dendroid für 300 Dollar an, zahlbar in Bitcoin oder einer anderen Kryptowährung. Der Quellcode der Malware sollte sogar 65.000 Dollar bringen. Ihr Schöpfer garantierte, dass die Software von Schutzprogrammen nicht erkannt wird und sogar problemlos über Google Play auslieferbar ist.

Dendroid bedeutet im Englischen “baumähnlich”, die Bezeichnung soll also offenbar auf eine Baumstruktur mit Verzweigungen hinweisen. Das Toolkit besteht aus Anwendungspaket (APK), einem “Binder” sowie einer Steuerkonsole für die Remote-Kontrolle der kompromittierten Geräte. Zum Download bereitgestellte Apps, die an Dendroid “gebunden” sind, werden in ihrer Funktionalität nicht beeinträchtigt. Nach der Installation nimmt die Software jedoch Verbindung zu einem Kommando- und Kontrollserver auf.

Über Dendroid können Cyberkriminelle Android-Nutzer gezielt aus der Ferne ausspionieren, indem sie Textnachrichten und Telefonanrufe mitschneiden, selbst Anrufe starten, Fotos und Videos aufnehmen und den Surfverlauf verfolgen. Möglich ist ihnen auch, Dateien, Fotos sowie Kontaktlisten zu entwenden oder zu löschen.

F-Secure warnte im April 2014 vor Dendroid als neu entdecktem Toolkit, das die Erstellung von Android-Trojanern mit wenigen Mausklicks verspreche. Es sei vergleichbar mit Viren-Werkzeugkästen und Exploit-Kits für PC-basierende Schadsoftware und erlaube die Erstellung von Malware auch ohne technische Kenntnisse.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen