F5-Experte Dan Woods zum Genesis-Marktplatz
Schöner shoppen nach Angriffs-Tools
Fortsetzung des Artikels von Teil 1
Verderbliche Ware, breite Auswahl
Genesis dient ausschließlich dem Vertrieb der „Bots“ – innerhalb dieser Grenzen ist die Auswahl allerdings mit über 400.000 sehr groß. Die Bot-Preise beginnen laut Woods bei 70 Cent und können bis 350 Dollar reichen, etwa wenn sie brandneu sind und der kompromittierte Browser dem Angreifer Zugang zu zahlreichen Einkommensmöglichkeiten verschafft.
Bots sind verderbliche Ware: Sie bleiben höchstens sechs Wochen auf dem Marktplatz, dann verramscht die Betreibergruppe sie zum Schlussverkaufspreis. „Ein Bestand an 400.000 bedeutet damit, dass alle paar Wochen Millionen dieser Bots den Marktplatz durchlaufen“, so Woods.
Der Marktplatz unterhält für seine Kundschaft, wie sich das gehört, einen Helpdesk mit Ticketing-System: „Sie reagieren schnell und leisten sehr gute Hilfe“, erzählt Woods. „Und was mich überraschte: Sie antworten in perfektem Englisch.“ Dennoch geht er davon aus, dass die Genesis-Gruppe russischen Ursprungs ist, da die Domäne bei einem russischen Registrar eingetragen wurde und auch keinerlei Bots aus Putins Einflussbereich im Angebot sind: „Das ist das typische Vorgehen russischer Akteure“, sagt der Cybercrime-Fachmann. Das sei aber noch kein Beweis: Schließlich könne die Gruppe diese Herkunft nur vortäuschen wollen, so Woods.
Passwortwechsel reicht nicht zur Abwehr
Käufer der sogenannten Bots erhalten nicht nur Zugriff auf einen kompromittierten Rechner, sondern außerdem Updates zu ihren Käufen: Legt das Opfer mit dem infizierten Browser neue Passwörter an, erfährt der Kriminelle dies und kann das dadurch nachträglich ausnutzen. Die Schlussfolgerung: „Es reicht nicht, Passwörter zu ändern“, erklärt Woods. „Man muss den Rechner von der Malware säubern und dann erst die Passwörter erneuern.“
F5 – genauer die Shape-Truppe – habe das Genesis-Plugin per Reverse Engineering untersucht. Die hauseigene Software erkenne anhand von Telemetriedaten, wenn es im Einsatz ist. Den eigentlichen Schadcode – also die Malware, die Genesis nutzt, um die Bot-Informationen von den Zielrechnern abzuziehen – bekam das Shape-Team aber bislang noch nicht zu fassen. Aufgrund der Bot-Nomenklatur vermutet Woods, dass die Kriminellen die Bots mittels unterschiedlicher Schadsoftware-Varianten abgreifen. Wer eine solche Malware betreibt, kann eine Partnerschaft mit Genesis schließen und erhält dann eine Gewinnbeteiligung – die gute alte Arbeitsteilung in der Cybercrime-Lieferkette. „Es ist wirklich ein bemerkenswertes Geschäftsmodell“, sagt Woods.
Obwohl Genesis nicht nur im Dark Web, sondern auch über das öffentliche Internet erreichbar ist, können sich die Betreiber seit Jahren den Strafverfolgungsbehörden entziehen – offenbar haben sie solide Opsec-Prozesse (Operations Security, Schutz betriebswichtiger Informationen). „Man kann nicht identifizieren, wo die Daten liegen, wenn man nicht direkt vor dem Server steht“, erläutert Woods. „Ich bin schockiert, denn das geht nun schon seit Jahren so, und sie (die Genesis-Gruppe, d.Red.) scheinen nach wie vor ohne jegliches Nachspiel zu arbeiten. Die Strafverfolgung sollte eigentlich inzwischen schon Fortschritte gemacht haben.“
Die Gruppe nutze offenbar VPNs und ein Netzwerk aus kompromittierten Rechnern: „Wenn man ein Strafverfolger ist, dann endet die Sichtbarkeit hier – besonders, wenn der nächste Netzwerk-Hop in Russland liegt“, so der US-Security-Forscher. Sein bedrückendes Urteil: „Wenn jemand gute Opsec praktiziert, und Genesis scheint das zu tun, dann ist es praktisch unmöglich, ihn lahmzulegen.“
Wirtschaftswissenschaftler betonen gerne: Wo es Nachfrage gibt, da gibt es einen Markt. Das gilt auch in der Cybercrime-Branche. Und solange den Genesis-Betreibern kein Opsec-Fehler unterläuft, wird es offenbar auch diesen Marktplatz erst mal weiterhin geben.
- Schöner shoppen nach Angriffs-Tools
- Verderbliche Ware, breite Auswahl
Lesen Sie mehr zum Thema
