Underground Economy zerfleischt sich selbst

Die Elite Crew war einer der kleinen Zusammenschlüsse von jungen Hackern und Hackerinnen in der deutschsprachigen Internetszene die sich vor einigen Jahren gefunden hatten. Diese oft losen Zusammenschlüsse, auch Crews genannt, eröffneten Foren in der sich frei über "interessante Themen" ausgetauscht werden konnte. Im Fall der Elite Crew waren diese Themen u.a. (Passwort-)Cracking (das Entschlüsseln von Passwörtern), Social Engineering, Trojaner und Keylogger (Spionagesoftware, Ausspähen von Passwörter), (SQL-)Injections, Carding (Kreditkartenbetrug), Faking (Erschleichung von Leistungen unter Angabe falscher Daten), Skimming (Kopieren von Bankkarten mit gleichzeitiger Ausspähung der PIN), Lockpicking (zerstörungsfreies Türöffnen), Phreaking (Kostenlose Nutzung von Telefonen u.a. durch akustische oder elekronische Manipulation) sowie diverse kriminelle Handlungen (wie z.B. Einbrüche, Waffenbau, Sprengen von Geldautomaten, Fälschung von Dokumenten).

Hacksector.cc - Der Anfang der "Underground Economy"

Einige Monate bevor die Elite Crew enstanden war, wurde das Forum "hacksector.cc" von einer anderen Crew eröffnet. Zuvor wurde sich innerhalb der "Cracking"-Szene(n) relativ klandestin ausgetauscht. Neue Mitglieder wurden von den Crews ausgewählt, und nicht umgekehrt, oder ein Bürge bzw. eine Bürgin musste sich für das neue Mitglied verantworten. Aber auch (Geld-)Leistungen oder "Auswahlgespräche" waren in der Szene an der Tagesordnung. Mit "hacksector.cc" wurde Computerkriminalität populär gemacht. Das Forum öffnete sich für alle Menschen mit einem Internetanschluss, eine Datenbank mit vielen speziellen Programmen und Literatur wurde offen zugänglich gemacht. Sicher gab es auch eine klandestine Struktur im Hacksector, doch das Offene und die vielen jungen konsumierenden Nutzer und Nutzerinnen (Script Kiddies), die selbst nicht programmieren konnten und kaum 1 und 1 zusammenrechneten, sorgten dafür, dass das Forum "hacksector.cc" von anderen Crews attackiert wurde.

Im Hacksector gab es nicht nur vielen brauchbare Dateien zum Herunterladen (z.B. Bitfrost, Shark, CIA, Personalausweis-Fälscher), auch eigene "Schadsoftware" wurde von der Hacksector-Crew und Forenmitglieder entwickelt. Die inzwischen von der Schweizer Polizei aus dem Internet genommene Entwicklungs- und Vertriebsplattform "codesoft.cc" stammte z.B. aus dem Umfeld von Hacksector.

Im Dezember 2007 gab es einen internen Streit im Hacksector, worauf eine Vertrauensperson eines Administrators die Homepage "defacte" (die eigentlichen Inhalte offline nahm) und die SQL-Forendatenbank mit allen gespeicherten IPs und Passwörter der Nutzer und Nutzerinnen veröffentlichte. Zu dieser Zeit hatte das Forum etwa 33.000 aktive Nutzer.und Nutzerinnen. Am 9. April 2008 gab es dann koordinierte Wohnungsdurchsuchungen der Polizei gegen die mutmasslichen Betreiber von Hacksector.cc - Gegen 11 Personen im Alter von 15 bis 22 Jahren soll Anklage erhoben werden, so die Staatsanwaltschaft Augsburg damals.

Die Staatsanwaltschaft und die Polizei stellten damals fest, dass es sich um einen "Ermittlungserfolg" der Behörden handelte. Tatsächlich ermittelten verschiedene Behörden (etliche Landespolizeien und Staatsanwaltschaften, das BKA und die BAW) gegen Hacksector.cc - Allerdings ohne Erfolge vorweisen zu können. Die Behörden hatten nicht die (technischen) Möglichkeiten, um erfolgreich gegen ein Forum von technisch versierten Kids vorzugehen. Erst der Verrat untereinander und die anschliessende Veröffentlichung der kompletten Forendatenbank (inlusive IPs und privaten Nachrichten) sorgte dafür, dass die Repressionsorgane an die Namen der Verantwortlichen Moderatoren und Administratoren kam. Die Auswertung dieser Daten dauerte allerdings mehr als drei Monate und erst dann konnten die Durchsuchungen stattfinden.

Das es so ein Forum in Deutschland gab und das die Polizei dagegen so lange nichts machen konnte, wollten die Behörden nicht veröffentlichen. So wurde die Durchsuchung zuerst geheim gehalten. Erst als ich am 22. April 2008 einen Artikel über die Durchsuchungen veröffentlichte - siehe:  http://de.indymedia.org/2008/04/214285.shtml - und dadurch Recherche der kommerziellen Medien begannen, sah sich die Staatsanwaltschaft Augsburg genötigt zusammen mit der Polizei eine Pressemitteilung herauszugeben.

21 Monate nach den Durchsuchungen gegen Hacksector.cc wurde immernoch keine Anklage gegen die 11 Beschuldigten erhoben. Das hat verschiedene Gründe. Zum einen wissen die Repressionsorgane, dass 33.000 Menschen, auch wenn nur ein Bruchteil davon aktiv ist, nicht wütend gemacht werden sollten. Die Repressionsorgane wissen, dass durch einen öffentlichen Prozess die Namen der ErmittlerInnen, RichterInnen und AnklägerInnen öffentlich werden. Für die Repressionsorgane bedeutet das ein Leben lang "den Pizzaservice" vor der Tür. Aber auch einen negativen Grund gibt es, warum es zu keiner Anklage kam: Viele Beschuldigte kooperierten mit den Repressionsorganen. Die Behörden haben selbst nicht die nötigen Kenntnisse und vor allem nicht die Ressourcen um sich mit diesem Phänomen und dessen Ausmass hinreichend auseinanderzusetzen.

Nonpub und FUD

"Full undetected" (FUD) bedeutet, dass eine Schadsoftware nicht von den gängigen Antivirenprogrammen erkannt werden kann. Im "hacksector.cc" wurde erstmals dieser Standart entwickelt. CrackerInnen mussten zuvor immer wissen, welches (Abwehr-)System ihr "Opfer" (Szenesprache: vic) hatte. Der Programmcode der Schadsoftware wurde dann von den CrackerInnen solange verändert (Szenesprache: gecryptet), bis das System des "Opfers" die Datei nicht mehr als Schadsoftware erkannte. Dieser Standart wurde "undetected" genannt, denn die Schadsoftware kam so unerkannt auf den Computer des "Opfers". Beim Standart FUD wurde das nun für die gängigsten "Antivirenprogramme" gemacht - das sind etwa zwischen 30 und 40.

Das Problem hierbei ist nur, dass manche Antivirenprogramme ein Rückmeldesystem haben. Besonders bei gängigen Online-Virenscannern werden alle Dateien nachträglich nochmal analysiert. Das sorgt dafür, dass Schadsoftware in den ersten Tagen zwar nicht als solche erkannt wird, nach einer Weile sich das Ergebnis ändert - Die Schadsoftware erkannt wird. Dies verunmöglichte den CrackerInnen aber nicht Kapital aus ihren Trojaner-Servern zu schlagen. Denn wer erstmal am Drücker ist, ist erstmal am Drücker!

Neben Antivirenprogrammen gab es dann noch Sandboxies (virtuelle Computer, in denen Dateien ausgeführt werden konnten und dann analysiert wurde, was diese Dateien in diesen virtuellen Computer machten), die Schadsoftware erkennbar werden liess. Im Hacksector.cc und in der Elite Crew wurde daraufhin eine zweite Generation der FUD-Schadsoftware entwickelt. Dabei handelte es sich um ein Programm, dass den "Opfern" vorgaukelte ihre Sandbox wäre noch aktiv. Währenddessen wurde die Sandbox aber einfach von der Schadsoftware ausgeschaltet und der Sniffer gefaked (die Netzwerkanalyse gefälscht).

In der Szene gab es sogenannte pub-Programme und -Tutorials sowie nonpub-Programme und -Tutorials. Das Wort "pub" meint "public", heisst also, dass ein Programm oder ein Tutorial öffentlich bekannt ist. Das Wort "nonpublic" bezeichnet dem entgegen, dass ein Programm oder ein Tutorial öffentlich nicht bekannt ist. Beispielsweise eine Anleitung wie jemand an eine EC-Karte mit PIN und Konto kommt, wurde nicht im öffentlichen Bereich gehandelt oder weitergegeben. (Zumindest keine die funktionierte.) Auch Tutorials wie ein anonymes "Cashout" (Wie wird virtuelles Geld bzw. virtuelle Waren zu echten Geld in Deinem Geldbeutel, ohne dass eine Verbindung zu Dir nachweisbar ist?) funktioniert, wurde nur für sehr viel Geld gehandelt. Wurde ein nonpub-Programm, eine nonpub-Backdoor oder ein nonpub-Tutorial "pub", so konnte jeder und jede davon ausgehen, dass innerhalb kürzester Zeit damit kein Geld mehr gemacht werden konnte. So gingen übrigens viele Firmen in den Konkurs, weil eine Sicherheitslücke in ihrem System "pub" wurde, und sich mehrere tausend Scriptkiddies darauf stürzten, die Firmen mit der Sicherheistlücke auszubeuten.

Informationen aus dem nonpub-Bereich erscheinen auf den ersten Blick unglaubwürdig. Windows, das sicherste Betriebssystem - Wer glaubt das schon? Und auch andere sichere Erkenntnisse werden zu schieren Unsinn, wenn sie widerlegt werden.

Sachschaden in Milliardenhöhe und 1.000.000 Dollar Kopfgeld

Die "Elite Crew" war stark hierarchisch organisiert. An der Spitze stand ein Jugendlicher aus Wien, der ein riesiges Bot-Netz beherrschte und ein Informationsmonopol besass. In den kommerziellen Medien wird zur Zeit berichtet, dass das Bot-Netz eine grösse von 100.000 Computer umfasste. Nach meinen Informationen - die ich nicht belegen kann - ist diese Zahl masslos untertrieben. Speedtest, so nannte sich dieser Mensch, besass meines Wissens nach, weltweit eines der grössten (bekannten) Bot-Netze. Ein Bot-Netz sind mehrere Computer die Anfragen an Homepages machen können. Meist sind das infizierte Computer von anderen Menschen, die davon nichts wissen. Verbreitet werden diese Botserver indem diese in "interessante Dateien", wie Cracks von Computerspielen, Pornofilme oder Sprengstoffanleitungen (beste Grüsse an den BKA-Beamten Mark S., der "ausversehen" viele deutsche Behördencomputer infizierte. - Jaja, leichte Passwörter sind nicht zufällig leicht!) versteckt werden.

Mit 100.000 Computer können mehr als 100.000 Anfragen an einer Homepage gleichzeitig gemacht werden. So mancher Server einer Homepage macht da nicht mit und die Homepage ist nicht mehr abrufbar bzw. überlastet.

Mit so einen Netz lässt sich viel Geld verdienen. Zuerst bekämpfte die 1337crew andere Foren mit den gleichen Thema und z.B. Blogs die negativ über die Crew berichteten. Auch Gulli konnte nichts gegen einen solchen Angriff ausrichten und ging kurzzeitig offline. Schliesslich wurde bemerkt, dass es sinnvoller ist die Seiten zu übernehmen anstatt sie zu zerstören. Von nun an hatten SeitenbetreiberInnen die Wahl: Das Forum geht offline, wechselt zur 1337crew oder eine Geldleistung wird an die 1337crew bezahlt. So übernahm die 1337crew etliche Cracking-Homepages, stampfte auch etliche Homepages ein und machte auch eine Menge Geld. Ein Teil des Bot-Netzes der 1337crew konnte auch gemietet werden.

Schliesslich beauftragte ein Berliner Finanzdienstleister die 1337crew für einige tausend Euro damit, ein New Yorker Finanzportal auszuschalten. Da für manche HomepagebesitzerInnen Zeit Geld ist, gingen durch die 1337crew so mache Firmen pleite. Nachdem die 1337crew die Commerzbank hackte, wurde ein Kopfgeld von 1.000.000 US-Dollar auf die Verantwortlichen der 1337crew ausgesetzt. Doch auch dies fürhte nicht zu den Wohnungsdurchsuchungen.

Die Macht wurde zum Verhängnis

Es ging um viel Geld und Macht. Speedtest baute sich mit heihachi.net einen Host für illegale Seiten auf, spionierte um seine Macht zu erhalten die Inhalte und Bewegungen der gehosteten Seiten aus. Einige Seiteninhaber wurden erpresst, andere nonpub-Inhalte öffentlich gemacht. Da ein so grosses Netzwerk wie die 1337crew unmöglich alleine zu handhaben ist, musste Speedtest auch Entscheidungsgewalt und Macht abgeben. Wie schon zuvor bei "hacksector.cc" wurde das der 1337crew zum Verhängnis. Und so "defacte" am 19. November 2009 eine Person der Führungsebene das Forum und stellte die SQL-Datenbank des Forums mit allen IPs und der privaten Nachrichten zum Download bereit.

Dies, und nicht eigene Ermittlungen, führte dazu, dass am 24. November 2009 etwa 50 Wohnungen in Deutschland und Österreich durch die Bundeskriminalämter (BKA Deutschland und .BK Österreich) und den Landespolizeien durchsucht wurden. Etwa 200 Beamte und Beamtinnen fanden etliches belastendes Material, sodass die meisten Verantwortlichen der Elite Crew mit der Polizei zusammenarbeiteten und nun wieder auf freien Fuss sind. Anklagen und Strafen sind nicht zu erwarten!

 http://www.bka.de/pressemitteilungen/2009/pm091125.html