THEMEN

Interview mit Panda Security zum Thema Mariposa Botnetz
Veröffentlicht am Donnerstag, 01.April 2010 von Redaktion


Mariposa - das größte bislang entdeckte Botnetz - ein Interview mit Luis Corrons, Technischer Direktor von Panda Security. Anlässlich der Entdeckung des Mariposa Botnetz bekam Virenschutz.info die Gelegenheit zu einem Interview mit Luis Corrons, dem Technischen Direktor von Panda Security. Das ist eine gute Gelegenheit Einiges über die Hintergründe zu Mariposa zu erfahren.



Luis Corrons von Panda SecurityDas Interview wurde auf Spanisch und Englisch abgehalten, und wird für die Leser hier auf Deutsch übersetzt. Richard Wahlen von Virenschutz.info hat mit Luis Corrons gesprochen. Wir durften Luis Corrons als einen sehr sympathischen, humorvollen, aufgeschlossenen und intellektuellen Gesprächspartner kennen lernen.

Richard Wahlen: Luis, wie kam es zu der Zusammenarbeit zwischen Panda Security, Defense Intelligence, FBI und der Guardia Civil?

Luis Corrons: Defense Intelligence ist ein kanadisches Unternehmen mit Kunden auch aus den USA. Bei einem Kunden hat Defense Intelligence merkwürdige Ereignisse auf Client Rechnern von Kunden festgestellt und ist der Sache nach gegangen. Der Verdacht in Richtung Internet-Wurm hat sich erhärtet. Das Ausmaß der Infizierungen schien immer größer zu werden, und Defense Intelligence schaltete das US-amerikanische FBI ein. Zwischenzeitlich überschritt die Spur die US Grenze und führte nach Europa, genauer nach Spanien. So wandte sich Defense Intelligence an Panda Security und bot uns eine Team Arbeit an. Gemeinsam stellten wir bald fest, daß wir nicht weiter kommen wenn wir nicht die Behörden einschalten. Die Cyberkriminellen bzw. Betreiber des Botnetzes haben dynamische IP-Adressen gemietet, und nähere Hintergrund Informationen zu IP Adressen erhält man im Sinne des spanischen Datenschutzes nicht so ohne Weiteres. Ab diesem Zeitpunkt arbeiteten wir mit der Guardia Civil zusammen.

Richard Wahlen: Nach unseren Informationen wurden insgesamt 3 Verdächtige festgenommen. Wie ist die Festnahme verlaufen?

Luis Corrons: Zunächst haben wir die dienstleistenden ISPs zur Offenlegung der IP Adressen Daten auf den 23.12.2009 terminiert. Der Grund dafür was ganz einfach: Wir wollten den Tätern die Möglichkeit Gegenmaßnahmen zu ergreifen möglichst schwer machen, da dachten wir an den Tag vor Heiligabend. Auch Cyberkriminelle denken an solchen Tagen eher an die Festlichkeiten. Um 17.00 Uhr ging es dann los. Wir waren zunächst "Netkairo" auf der Spur. Er ist der Hauptakteur. Netkairo bemerkte wohl das wir ihm auf der Spur waren.

Richard Wahlen: Welchen Fehler hat Netkairo gemacht?

Luis Corrons: Da er seinen Zugang zum Botnetz immer über einen VPN-Channel administriert hat, war es uns zunächst nicht möglich ihn ausfindig zu machen. Und doch machte er 2 Fehler: 1. Er dachte nur von Defense Intelligence verfolgt zu werden. Defense Intelligence hatte nämlich zuvor in seinem Blog veröffentlicht da eine Spur zu verfolgen. So hat Netkairo gewusst wer ihm auf der Spur war. Die "Verfolgungsjagd" war sehr spannend, so wie man es aus den Filmen kennt. Wir fanden etwas, er hat es wieder versteckt, über dynamische IPs. So ging dieses Spiel eine ganze Weile, doch wir von Panda-Security waren nicht unter Beobachtung von Netkairo und konnten so somit frei agieren. Während der Verfolgungsjagd schien ihm dann eine Idee zu kommen. Er zündete eine DDOS Attacke gegen die Server von Defense Intelligence, mit Erfolg. Er legte Defense Intelligence damit lahm, aber nicht Panda Security.

Das konnte er nicht wissen. Dies war sein erster Fehler. 2. Netkairo würde während der rasanten Jagd immer nervöser, man konnte es merken. Und da passierte ihm der zweite und ultimative Fehler: Er vergaß in der Aufregung bei einem Verbindungsaufbau die VPN-Verbindung aufzubauen. Dann hatten wir seine echte IP-Adresse, und zwar die von seinem zu Hause.

Richard Wahlen: Wie lautete der Vorwurf bei der Festnahme von Netkairo?

Luis Corrons: Das ist genau das Problem: In Spanien ist es nicht verboten ein Botnetz zu besitzen, bzw. zu betreiben. Im Gegenteil, es ist sogar "cool" in den Augen von vielen Spaniern. Das bedeutet man kann eine Verhaftung nicht zu diesem Vorwurf vornehmen. Daher konnte Netkairo auch erst im Februar festgenommen werden, und der Vorwurf lautete "Cyberterrorismus". Im Ergebnis kam Netkairo nach 24 Stunden wieder frei.

Richard Wahlen: Was hat die Verhaftung dann gebracht?

Luis Corrons: Innerhalb dieser 24 Stunden haben wir seinen Computer beschlagnahmt und durchsucht.

Richard Wahlen: Und was die Durchsuchung ergeben?

Luis Corrons: Das war sehr aufschlussreich und erfolgreich. Wir konnten Zugangsdaten zu ca. 800.000 Bankkonten und E-Mail-Konten sicherstellen. Das war der Jackpot. Außerdem haben wir Kommunikationsverläufe zu 2 weiteren Beteiligten finden können. Die beiden konnten wir auf dem gleichen Wege ebenfalls festnehmen. Allerdings kam Netkairo nach 24 Stunden wieder frei. Und so konnte er die beiden warnen. Mit Erfolg! Bei der Durchsuchung der beiden anderen Computer konnten nur noch wenige zusätzliche Hinweise gefunden werden. Allerdings ist dabei heraus gekommen dass es eine vierte Person gibt die beteiligt ist. Im Gegensatz zu den 3 Festgenommenen handelt sich bei dem vierten Akteur nicht um einen Europäer.

Richard Wahlen: "Mariposa" ist spanisch und bedeutet "Schmetterling". Wie kam es zu diesem Namen?

Luis Corrons: Das ist Zufall und hat Nichts damit zu tun das Panda Security seinen Hauptsitz in Spanien hat. Einer der ersten identifizierten Server des Botnetzes hatte den Namen Mariposa. Bei diesem Namen blieb es dann auch.

Richard Wahlen: Nach unseren bisherigen Information hat Mariposa die Kontrolle über 13 Millionen Rechner erlangt. Damit ist es das größte bislang entdeckte Botnetz. Stimmt diese Zahl und welches ist das zweitgrößte Botnetz?

Luis Corrons: Ja, die Zahl ist quasi korrekt. Allerdings handelt es sich um 13 Millionen identifizierte IP-Adressen. Das bedeutet dass eine IP Adresse auch Zugang zu mehreren Rechnern bedeuten kann. Das zweitgrößte entdeckte Botnetz war "Conficker", es brachte circa 8-9 Millionen Rechner unter seine Kontrolle.

Richard Wahlen: Das ist eine imposante Zahl. Wie kann es sein dass Mariposa sich nach dem heutigen Stand der Technik so verbreiten konnte? Wie funktionierte das Botnetz?

Luis Corrons: Mariposa unterscheidet sich von klassischen Botnetz im Wesentlichen im Einstieg der Schädlinge. Während es heute extrem schwer ist von außen in Firmennetzwerke zu gelangen, so hat Mariposa einen anderen Pfad benutzt. Die Schwachstelle ist das Endgerät, welches auch sowohl an den Firmenrechner als auch an den Heimrechner angeschlossen wird. Dazu gehören iPods, iPhones, Blackberries, MP3-Player und alle möglichen Geräte die auf die USB-Schnittstelle zugreifen. Verseuchte Binary-Dateien wurden über die mobilen Geräte und die USB-Schnittstellen in die Firmennetze hinein getragen. Ist der erst Wurm im Firmennetz, so kann er nur schwer gefunden werden, da die Firmensecurity von außen nach innen schützt, aber nicht von innen nach außen.

Richard Wahlen: Wie kann es sein dass es so lange gedauert hat, bzw. dass Mariposa so groß werden konnte? Haben die Honeypots versagt, wurden keine eingesetzt?

Luis Corrons: Dazu muss man wissen dass Panda Security sowie quasi alle High Level Security Firmen circa 60.000 potentielle Schädlinge pro Tag! entdecken. Die meisten sind eher harmlos, bzw. haben begrenzte Reichweiten. Wie auch bei Mariposa bedarf es erst regelrecht einer langen Detektivarbeit bis man darauf kommt das Schädlinge zu einem Botnetz gehören, und nicht "nur" eine einzige oder wenige Funktionen haben.

Richard Wahlen: Welche Rechner-Betriebssysteme waren betroffen? Waren nur bestimmte Browser betroffen? War die Verbreitungsquelle typischerweise wieder einmal der mIRC-Channel? Waren auch Mac OS bzw. Ubuntu oder ähnliche Systeme außer Microsoft OS betroffen?

Luis Corrons: Nein, es waren nur Microsoft Rechner betroffen. Alle Browsersysteme waren vertreten. Der Grund dafür ist unter Anderem dass einer der gefährlichsten Mariposa zugehörigen Schädlinge über den MSN Messenger agierte. So kam es dass beispielsweise zwei Chatpartner miteinander kommunizierten, ohne zu wissen dass der andere auch unwissende Chatpartner mit seinem MSN Client gerade gefährliche Aktivitäten vollzieht. Z.B. ab der 4. oder 5. Frage / Antwort hat einer der Clients dem anderen etwas geschrieben was der angeblich Schreibende gar nicht sehen konnte. Der Empfänger hat in diesem Moment aber eine "böse" Datei empfangen, die damit den Chatpartner Rechner auch noch gekapert hat. Der mIRC-Channel war unangetastet.

Richard Wahlen: Viele bisher entdeckte Botnetze wurden mit Hilfe des "Butterfly Bot Kit" gebaut. Dieses stand früher noch zum Verkauf. Heute gibt es das nicht mehr zu kaufen. Wurde Mariposa auch mit Hilfe des Butterfly Bot Kit gebaut?

Luis Corrons: Ja das ist auch in diesem Fall zutreffend.

Richard Wahlen: Vielen Dank, Luis das war eine wirklich spannende Geschichte, sie hat den Charakter eines Films. Es hat mich sehr gefreut Dich kennen zu lernen.

Luis Corrons: Gerne, und Danke ebenso! Für weitere Rückfragen stehe ich gerne zur Verfügung. Gleich habe ich noch Radio Interview zu dem Thema, die Geschichte ist wirklich spannend - besonders wenn man sie selbst erlebt hat - ich erzähle sie deshalb auch gerne.

Links zum Thema:
Panda Security
Defense Intelligence
FBI
Guardia Civil






letzten News

  So schützt man sich wirksam vor DDoS-Attacken wenn der Server den Dienst versagt
  Schaedlinge im Netz So wird trotzdem sicher gesurft
  Gefahren aus dem Internet erkennen und vorbeugen
  Navigationsgeraete werden zunehmend von Smartphone und Tablet PC abgeloest
  Panda Cloud Fusion bietet ganzheitliche IT Security

Kommentar:
Kommentare werden erst geprüft und dann freigeschaltet.

erlaubter HTML Code:
<b> <i> <em> <br> <strong> <blockquote> <tt> <li> <ol> <ul>
Security Code Security Code
  VIREN TICKER
weitere Informationen:
Grisoft AVG
Etrust Anti Virus