Ein Forum für Hacker Nicht nur im Darknet lauern digitale Risiken

Das Darknet ist Anlaufstelle Nummer Eins, wenn es darum geht, an sensible (Unternehmens-)Daten zu kommen. Einschlägige Hacker-Foren verstecken sich jedoch nicht nur im dunklen Teil des Netzes.

 

Einer der beliebtesten Umschlagplätze für sensible Informationen im Darknet war bislang AlphaBay. Auf der Plattform wurden Geschäfte mit Drogen, Waffen, gefälschten Dokumenten und Kinderpornografie geschlossen sowie mit Informationen wie Steuerformularen und Zugangsdaten gehandelt. Im Sommer dieses Jahres gelang es dem FBI gemeinsam mit Ermittlern aus Kanada und Thailand die kriminelle Vertriebsstruktur auszuheben.
Cyber-Gefahren lauern nicht nur im Darknet.

 

AlphaBay bot Cyberkriminellen aber nicht nur die richtigen Informationen, um Hackerangriffe zu starten. Der Handelsplatz bot seinen Nutzern auch entsprechende Tools und stellt die neuesten Taktiken, Techniken und Prozeduren (TTPs) vor. So konnten Hacker beispielsweise die SMS-Verifizierung von Accounts umgehen, um auch bei mehrstufigen Authentifizierungverfahren einfach und schnell anzugreifen. Auch Konfigurations-Dateien für Tools wie Sentry MBA, die eine Kontoübernahme durch “Credential Stuffing” ermöglichen, standen zum Verkauf.
Alles zu Security auf CIO.de
AlphaBay ist down, die Hack-Gefahr bleibt

Im Darknet gibt es dutzende solcher Marktplätze, die im Kampf um potentielle “Kunden” mit harten Bandagen kämpfen. In der Vergangenheit nutzten weniger bekannte Umschlagplätze beispielsweise Botnetze, um Werbung und Sonderangeboten via Spam-Mail an AlphaBay-Nutzer zu senden und sie so zu einem Anbieterwechsel zu bewegen.

Nicht alle diese Plattformen im Dark Web sind so erfolgreich und leicht zugänglich wie es AlphaBay war. Klar ist jedoch: Mit dem Ende der Plattform ist die Gefahr von Datenleaks und kompromittierten Zugangsdaten für Unternehmen längst nicht vorbei. Die kriminellen Hacker werden sich in Zukunft einfach bei anderen Anbietern bedienen und neue Geschäftsmodelle testen.
Das Darknet in Bildern
1/13

Enter the Dark
In den 1970er Jahren war der Ausdruck “Darknet” kein bisschen unheilverkündend. Er bezeichnet damals einfach nur Netzwerke, die aus Sicherheitsgründen vom Netz-Mainstream isoliert werden. Als aus dem Arpanet zuerst das Internet wird, das dann sämtliche anderen Computer-Netzwerke “verschluckt”, wird das Wort für die Bereiche des Netzes benutzt, die nicht ohne Weiteres für jeden auffindbar sind. Und wie das im Schattenreich so ist: Natürlich ist es auch ein Hort für illegale Aktivitäten und beunruhigende Güter aller Art, wie Loucif Kharouni, Senior Threat Researcher bei Damballa unterstreicht: “Im Darknet bekommen Sie so ziemlich alles, was man sich nur vorstellen kann.”
Foto: Perfect Lazybones – shutterstock.com

Dabei sollten sich Unternehmen bewusst machen, dass kriminelle Aktivitäten nicht nur im dunklen Teil des Netzes stattfinden. Nach wie vor ist die Strafverfolgung ein schwieriges Unterfangen. In einigen Staaten werden Cyberkriminelle nicht ausgeliefert, zudem sind die Ermittlungen oft lang und komplex, weil mehrere Länder und Behörden beteiligt sind.

Weil weitreichende Folgen für die Cyberkriminellen ausbleiben, besteht für sie auch kein Grund mehr, sich in verschlüsselten Foren im Darknet zu verstecken. Cyberkriminalität ist vielmehr ein generelles Problem des Internets – auch im Open Web.
Hacking-Tools per Onlineshop

Ein Paradebeispiel dafür ist Deer.io. Dieser Onlineshop bietet ganz legal Hosting von Webseiten sowie Design- (basierend auf WordPress-ähnlichen Vorlagen) und Zahlungslösungen an. Neben diesen harmlosen Angeboten, werden jedoch auch noch andere “Güter” über den Marktplatz vertrieben. Dazu zählen zum Beispiel:

Social Bots, mit denen innerhalb der entsprechenden Netzwerke Spam erzeugt werden soll – oder Accounts und Posts gepusht werden sollen;

Gestohlene Social-Media-Konten, die – im Vergleich zu den Bots – in kleineren Mengen und für einen höheren Preis angeboten werden können;

Coupons für Services, mit denen die Beliebtheit von Accounts und Posts künstlich erhöht werden kann;

Gestohlene Accounts anderer Dienstleister, zum Beispiel von Banken und Zahlungsdiensten oder auch Gutscheincodes und Kundenkarten;

Namen dedizierter Server und Domains.

Kriminelle Aktivitäten finden nicht nur im Dark Web, sondern auch im Open Web statt.

 

Ein Forum für kriminelle Hacker kann überall existieren. Ein Sicherheitskonzept, das nur auf die Gefahren des Darknets ausgelegt ist, greift daher zu kurz und ermöglicht kein umfassendes Risikoprofil. Zudem reicht es nicht aus, die Erwähnung von Unternehmens-Assets und -Zielen zu überwachen. Benötigt wird der Kontext, in dem die Informationen gepostet werden.
Data Scientists & Security-Experten im Kampf gegen Hacker-Foren

Ein ganzheitlicher Blick auf mögliche Cyber-Risiken setzt auf eine Kombination aus Technologie und dem Know-how von Sicherheitsexperten. Automatisierte Lösungen zur Datenerfassung können verdächtige Vorfälle in einen zeitlichen Kontext setzen, in Echtzeit verfolgen und lokalisieren – egal ob im Open, Deep oder Dark Web.

Eine Überprüfung vorangegangener Posts anderer Nutzer im selben Thread kann darüber hinaus Aufschluss geben, wie hoch die Gefahr für Unternehmen, Mitarbeiter oder Kunden tatsächlich ist. Entsprechende Lösungen ermöglichen zudem ein genaues Profiling des betreffenden Users, inklusive Informationen wie Name, Aktivitäten und Reputation.

Doch nicht alle Plattformen lassen sich mit solchen Lösungen überwachen. Gilt es, verschlüsselte Marktplätze auf Risiken zu untersuchen, sind Data Scientists und Security-Experten gefragt. Sie können die gesammelten Daten individuell bewerten und Prioritäten festlegen. Mit Hilfe von Analyse-Tools lassen sich mögliche Risikien frühzeitig identifizieren, zeitliche Abläufe von Angriffen abschätzen und präzise Handlungsanweisungen festlegen.

Ein Sicherheitsansatz, bei dem Technologie und menschliche Experten gemeinsam das gesamte Netz untersuchen, liefert nicht nur Informationen darüber, wer, wann und wo erwähnt wird. Er gibt auch Aufschluss über deren Folgen. Diese Breite und Tiefe an erfassten Informationen ist unerlässlich, wenn sich Unternehmen gegen die Bedrohung, die von Marktplätzen und Foren krimineller Hacker ausgeht, schützen wollen.
Crimeware-as-a-service: Darknet-Hits
1/5

Botnetze
Ein Netzwerk von Rechnern die mit Schadsoftware infiziert wurden, kann von Cyberkriminellen gesteuert werden, ohne dass deren User etwas davon mitbekommen. Im Cyber-Untergrund können (Pseudo-)Hacker Zugang zu bereits infizierten Rechnern – oft auch im Verbund – erwerben. Ab etwa 100 Dollar pro Monat ist die Infrastruktur eines Botnetzes „mietbar“, ein komplettes, fertiges System kostet circa 7000 Dollar.

Browser Exploit Packs
In Kombination mit einem Botnetz-Framework erlauben BEPs ihren Käufern, Ransomware oder Malware in großem Stil zu verbreiten. Wie jede fortgeschrittene Malware verfügen auch BEPs über integrierte Module zur Verschleierung, Optimierung und Administration der kriminellen Aktivitäten. Ein komplettes BEP-Package kostet im Untergrund zwischen 3000 und 7000 Dollar.

Phishing-Toolkits
Kriminelle Hacker, die eine bestimmte Gruppe oder einfach ganz normale Nutzer attackieren möchten, können im CaaS-Umfeld fertig eingerichtete SMTP-Server, Scam-Webseiten oder hochqualitative Mailing-Listen erwerben – und zwar zum kleinen Preis: Zwischen 15 Dollar und 40 Dollar werden dafür fällig. Populär ist auch die Kombination mit „waffenfähigen Dokumenten“ – also Dateien, die auf den ersten Blick wie Word-Dokumente oder Powerpoint-Präsentationen aussehen, aber Schadcode beinhalten, der bekannte und unbekannte Schwachstellen in Office ausnutzt, um Malware auf dem Rechner der Nutzer zu installieren. Dabei kann es sich um Ransomware oder Remote Access Toolkits handeln – je nachdem welche Zwecke die Computerverbrecher verfolgen. Die Kosten für so einen Office-Exploit liegen zwischen 2000 und 5000 Dollar.

Ransomware
Zu den derzeit beliebtesten Hacking-Tools im Cyber-Untergrund gehört die Familie der Erpressungs-Malware. Diese Art der Schadsoftware kann in sehr verschiedenen Komplexitätsstufen entwickelt werden und verheerende Folgekosten verursachen. Untersuchungen von Trend Micro zufolge ist ein anpassbares Crypto-Locker-File schon ab circa 50 Dollar zu bekommen. Allerdings streichen viele Ransomware-Provider in der Regel eine zusätzliche “Provision” ein, deren Höhe sich am verursachten Schaden orientiert – in der Regel liegt diese bei circa zehn Prozent.

 

Die Munition kommt mit der Post
Amoklauf im OEZ in München, 2016

Besucher verlassen währen des Amoklaufs im Jahr 2016 mit erhobenen Händen das Olympia-Einkaufszentrum. (Foto: Lukas Barth)

Feedback

Im Prozess gegen den Waffenhändler des Münchner Amokläufers wird deutlich, wie bizarr die Szene im Darknet ist – und wie gewissenlos dort gefährliche Waren verkauft werden
Von Martin Bernstein

Ein Jahr hat David S. in den Tiefen des Darknets nach einer Glock 17 gesucht. Er ist Angebern aufgesessen, die sich im Waffenforum nur wichtig machen wollten. Er hat bei einer Online-Auktion mitgeboten, doch die 1650 Euro, die der junge Münchner sich zu diesem Zeitpunkt durch Zeitungsaustragen zusammengespart hatte, waren viel zu wenig. Er hat sogar, ohne es zu wissen und ohne dass die Gegenseite wusste, mit wem sie es zu tun hat, mit einem Frankfurter Zollfahnder Kontakt gehabt, der als verdeckter Ermittler im finsteren Teil des Internets mit dem übernommenen Account eines Waffennarren unterwegs war.

Schließlich ist der 17 Jahre alte Münchner Schüler auf “Rico” gestoßen. Rico kann liefern. Eine Glock 17? Kein Problem, so etwas holt er aus seiner grünen Bundeswehrkiste, die er nahe Köln an der Autobahn verbuddelt hat. Und wenn in der Kiste nicht die gesuchte Schusswaffe vorrätig ist, dann fährt Rico schnell mal nach Tschechien oder in die Slowakei oder in die Schweiz. Dort sitzen Leute, die sich Kronos nennen oder Hyena oder Cultimate. Und die können liefern. Die Glock 17 für David S. holt Rico Anfang April in Prag bei Hyena. 1600 Euro zahlt der Waffenhändler dafür.
Internet Das verbirgt sich hinter dem Darknet
Das verbirgt sich hinter dem Darknet
Im anonymen Netz handeln Kriminelle mit Waffen, Drogen und Kinderpornografie. Doch das Darknet hat auch eine helle Seite. Von Simon Hurtz mehr …

Dann treffen sich die beiden – der Händler und der Kunde. “RLT” heißt das in der Szene, “Real Life Treffen” – absolut unüblich. Normalerweise werden Waffen verschickt, bezahlt wird mit Bitcoins, der virtuellen Währung. So was macht Rico nicht. Rico will Cash, runde Summen, Hunderter. 40 davon hat David S. in der Tasche, als er nach stundenlanger Flixbusfahrt in Marburg eintrifft.

David S. zittert, obwohl er an dem heißen Spätfrühlingstag Ende Mai 2016 einen langen Mantel trägt. So erinnert sich Rico später. Im wirklichen Leben heißt Rico Philipp K. Und im wirklichen Leben steht der 32-Jährige seit drei Wochen vor Gericht. Illegaler Waffenhandel wird ihm vorgeworfen, auch ein Verstoß gegen das Kriegswaffenkontrollgesetz. Und fahrlässige Tötung in neun Fällen. Es sind die neun Menschen, die David S. am fünften Jahrestag des Breivik-Attentats am Münchner Olympia-Einkaufszentrum mit einer Waffe gleichen Typs, wie sie der norwegische Massenmörder benutzt hatte, erschossen hat. Mit der Glock 17, die Rico ihm in einem Park in Marburg verkauft hat.

Doch noch während des Treffens kommen David Zweifel. Ob Rico denn nicht noch etwas anderes habe, eine Maschinenpistole zum Beispiel? Rico hat eine Maschinenpistole. Die hat aber einen Defekt. Nichts für den Münchner Kunden, der sich im Darknet “Maurächer” nennt. Er wolle damit schon gleich herumballern, sagt er. Dann doch lieber die Glock.

Mit der ballert David S. im Keller des Mietshauses in der Dachauer Straße. Er filmt sich dabei selbst. Als die 100 Schuss verbraucht sind, muss Nachschub her. Ein Magazin bestellt der gerade 18 Jahre alt gewordene Münchner ganz legal online bei einem Geschäft im Landkreis München. 19 Schuss für 29 Euro inklusive Versandkosten. “Das ist ein Massenartikel”, sagt der Versandhändler. Das frei erwerbbare Magazin wird mit DHL verschickt. Ein Magazin ohne Waffe kann ja keinen Schaden anrichten.
Freitag der 13.

Der Prozess gegen den Marburger Waffenhändler Philipp K. vor dem Landgericht München I läuft seit Ende August. Eigentlich hätte das Urteil in ein paar Tagen gefällt werden sollen. Doch mittlerweile wurden schon fünf neue Verhandlungstage anberaumt, der Prozess damit um drei Wochen verlängert. Urteilsverkündung könnte jetzt am 13. Oktober sein. Für den Angeklagten könnte es ein Freitag der 13. werden, wenn nämlich das eintreten sollte, was einige Nebenklägeranwälte von Beginn an fordern: Dass der Waffenhändler nicht wegen fahrlässiger Tötung verurteilt wird, sondern wegen Beihilfe zum Mord in neun Fällen. Die Anwälte sehen den Tatbestand der Beihilfe dadurch erfüllt, dass der Waffenhändler zumindest eine ernsthafte Ahnung davon haben konnte, was sein seltsamer Kunde “Maurächer” alias David S. mit der Glock und der Munition tun wollte, und dass er diese Möglichkeit billigend in Kauf genommen habe. An den nächsten Verhandlungstagen wird es auch um die Persönlichkeit des Waffenhändlers gehen, unter anderem um seine von Zeugen beschriebenen Gewaltfantasien. bm

“In unserem Shop müssen Sie bei einer Bestellung nicht zwangsläufig ein Kundenkonto einrichten”, heißt es auf der Homepage. Dann kann man als Gast bestellen. David S. bestellt als Gast. “Ich weiß ja leider nicht, wer’s kauft”, sagt der Händler. Und wenn es ein Minderjähriger wäre?, will einer der Nebenklage-Anwälte wissen. Da müsse man dann halt drauf vertrauen, dass die Eltern das schon mitbekämen und die Lieferung zurückschicken.
Er wolle im Urlaub herumballern, sagte David S. – für K. war das völlig normal

Aber David S. will mehr Munition, viel mehr Munition. Wieder vereinbart er ein Treffen mit Rico. Diesmal geht alles entspannter zu. Rico und Maurächer kennen sich ja schon. Übergabe im Park am Marburger Busbahnhof, danach geht man zusammen noch ins McDonald’s. Vier Tage vor den tödlichen Schüssen im Moosacher McDonald’s. Wie immer bei solchen Treffen hat Rico das Nummernschild seines blauen Lupo abgeschraubt, wie immer hat er eine Waffe im Schulterholster dabei. Nur zur Sicherheit, falls ein Kunde ihn “abziehen” will. Nie hätte er damit auf einen Menschen geschossen, erzählt Philipp K. später. Aber die Szene ist halt, wie es ein weiterer Kunde vor Gericht schildert, ziemlich paranoid. Langwaffen werden gerne im Gitarrenkoffer übergeben.

Worüber Käufer und Verkäufer an jenem 18. Juli 2016 im Marburger McDonald’s plaudern, wird vor Gericht nur bruchstückhaft deutlich. Denn Philipp K. schweigt. Zu Prozessbeginn hat er seine Anwälte eine Erklärung verlesen lassen, ein Geständnis des Waffenhandels. Anbei zwei ziemlich konfuse Listen der An- und Verkäufe, die wird er später noch mal nachbessern lassen. Und eine Entschuldigung an die Familien der Todesopfer und der Schwerverletzten.
Prozess “Was genau du mit den Waffen machst, ist deine Sache”
“Was genau du mit den Waffen machst, ist deine Sache”
Der Waffenhändler des Münchner Amokläufers gibt sich vor Gericht als naiver Waffennarr. Am zweiten Verhandlungstag wird diese Eigendarstellung aber deutlich korrigiert. Von Martin Bernstein mehr …

Mitglieder dieser Opferfamilien sitzen Philipp K. seit drei Wochen gegenüber. Doch der Angeklagte schweigt, was sein gutes Recht vor Gericht ist. Er hält meist den Kopf gesenkt, hat die Arme verschränkt. Nur selten geht der Blick zu den Verteidigern, manchmal schaut Philipp K. auch auf. Vor allem dann, wenn ein Zeuge über waffentechnische Details berichtet.

Im McDonald’s jedenfalls plaudern Rico und Maurächer. Der erzählt, was er mit der Glock und den 400 Schuss vorhat. Nach Österreich in den Urlaub fahren, dort mit Freunden ein bisschen herumballern. Das kennt Rico. Das macht er auch: In den Wald fahren, dort mit Freunden herumschießen. Vorher im Auto ein paar rassistische Witzchen machen, Possen reißen, man lacht sich schlapp. “Das waren halt so seine Späße” – “das habe ich nicht so ernst genommen”: Solche Sätze sind im Prozess immer wieder zu hören, von K.s Freunden, von einem Mithäftling, von ihm selbst.

Wenn nach dem Österreich-Urlaub Munition übrig sein sollte, sagt David S., wolle er damit “noch ein paar Kanaken abknallen”. Das irritiert den Waffenhändler dann doch. Er werde doch keinen “Scheiß” mit der Waffe anstellen, fragt er erschrocken seinen Kunden. Das sei doch nur so ein Spaß gewesen, soll David S. geantwortet haben. Nach dem Attentat werden die Münchner Ermittler 567 Patronen und Hülsen zählen, die David S. im Übungskeller verschossen, auf seine Opfer abgefeuert oder nach seinem Selbstmord im Rucksack hat.

Dass Philipp K. Waffen und Munition verkauft hat, hat er zugegeben. Aber die Frage, warum die Kunden das alles haben wollten – die stellt man in der Szene nicht, auch wenn K. behauptet, das bei seinen Treffen getan zu haben. Erinnern kann sich daran niemand. Die Kunden, die als Zeugen auftreten, wollen sich die Frage noch nicht einmal selbst gestellt haben. “Aus Interesse”, sagt einer. “Zur Verteidigung”, sagt er im nächsten Satz. Stutzt, denkt nach und murmelt: “Wie auch immer.” Seit er erwischt wurde und ausgepackt hat, bekommt der Mann Drohungen aus der Szene.
Amoklauf in München Der geheimnisvolle Zeuge im Waffenhändler-Prozess
Der geheimnisvolle Zeuge im Waffenhändler-Prozess

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

code