Die Sicherheitsbranche warnt seit Jahrzehnten davor, dass die Cybercriminal Economy ihre eigene hochspezialisierte, professionelle Lieferkette entwickelt. Aber nur wenn die Strafverfolgung - wie heute bei der globalen Malware-Crew von Goznym - einem gut durchdachten Hacker-Unternehmen den Garaus macht, wird das Gesamtbild aller miteinander verbundenen Schritte in diesem globalisierten Kriminalitätsnetzwerk sichtbar.
Am Donnerstag kündigten die Polizei in sechs Ländern zusammen mit dem US-Justizministerium und Europol die Abschaffung von Goznym an - verbunden mit einer anderen Operation namens Avalanche, einer damit verbundenen Cyberkriminalität, die 2016 weitgehend abgebaut wurde -, einschließlich der Festnahme von fünf ihrer Mitglieder in ganz Bulgarien, Georgien, Moldawien und der Ukraine. Fünf weitere mutmaßliche Mitglieder bleiben in Russland auf freiem Fuß. Insgesamt infizierte die Operation 41.000 Computer mit betrügerischer Malware und versuchte, 100 Millionen Dollar von Opfern in den USA zu stehlen, obwohl nicht klar ist, wie viel von diesem Diebstahl sie erfolgreich begangen haben.
Bei einer Pressekonferenz am Hauptsitz von Europol in Den Haag begrüßten die weltweiten Strafverfolgungsbehörden die Verhaftungen als ein "beispielloses" Beispiel für internationale Zusammenarbeit. Die Anklageschrift beschreibt aber auch, wie verteilt und spezialisiert die Aufgaben von gewinnorientierten Hackern geworden sind, die sich größtenteils aus lose verbundenen Freiberuflern zusammensetzen und jeweils für einen einzelnen Schritt bei der Ausbeutung von Opfern verantwortlich sind. "Sie sehen, was hier passiert ist. Was war Goznym? Was war Lawine?" fragte Steven Wilson, der Leiter des European Cybercrime Centre. "Dies war ein Supermarkt für Cybercrime-Dienste. Sie suchen nach Programmierern, Malware-Entwicklern, kugelsicheren Hostern und einer ganzen Reihe von Cybercrime-Diensten."
Die Anklageschrift legt die lange Kette von Cybercrime-Spezialisten dar:
- Wladimir Gorin, ein Russe, wird beschuldigt, die Goznym-Banken-Malware erstellt, entwickelt und verwaltet zu haben. Sobald es auf einem Computer installiert war, fungierte es als Keylogger und entführte die Webbrowser der Opfer, um Phishing-Felder in Bank-Websites einzufügen, wenn sie versuchten, sich anzumelden, und stahl ihre Anmeldeinformationen, um die Kontrolle über ihre Konten zu erlangen. Die Malware enthielt ein Feld im Browser, mit dem die Opfer auch dazu gebracht werden sollten, einen zweiten Faktorcode einzugeben, diesen Code abzufangen und ihn in Echtzeit zu verwenden, um die Zwei-Faktor-Authentifizierung zu verhindern.
- Gorin hat diese Goznym-Malware angeblich an Alexander Konovolov vermietet, den als Anführer der Gruppe bezeichneten georgischen Angeklagten, der für die Überwachung seiner Operationen und die Kontrolle von Zehntausenden infizierter Computer in seinem Botnetz verantwortlich ist. Offiziellen zufolge wurde er von Marat Kazandjian, einem technischen Assistenten und Administrator, unterstützt.
- Ein früher in diesem Jahr festgenommener Ukrainer namens Gennady Kapkanov wird beschuldigt, die Infrastruktur für den Betrieb als sogenannter "kugelsicherer" Hosting-Anbieter vermietet zu haben. Sein Avalanche-Netzwerk bot der Anklage zufolge Hosting für mehr als 20 verschiedene Malware-Vorgänge. Während ein Teil dieser Operation im Jahr 2016 unterbrochen wurde, entging Kapkanov seiner Gefangennahme, obwohl er Berichten zufolge einen AK-47 von seinem Fenster aus auf die Polizei abgefeuert hatte, als ein Richter ihn wegen eines Fehlers bei der Erhebung von Dokumenten freigab.
- Ein Mann aus Moldawien, Eduard Malanici, wird beschuldigt, die Goznym-Malware "verschlüsselt" und ihren Code verschleiert zu haben, um sie vor Antivirensoftware zu verbergen.
- Ein russischer Mann, Konstantin Volchov, hat angeblich den Spam-Vorgang durchgeführt, bei dem potenzielle Opfer mit Phishing-E-Mails infiziert wurden, in der Hoffnung, dass einige auf böswillige Anhänge oder Links klicken, die Goznym auf ihren Computern installieren würden.
- Sobald Goznym installiert und die Anmeldeinformationen eines Opfers gestohlen wurden, schickte die Malware diese Anmeldeinformationen an ein Administrationspanel. Zwei Männer, ein Russe namens Ruslan Katirkin und ein Bulgare namens Krasimir Nikolov, kontrollierten angeblich dieses Gremium und fungierten als "Kontoübernahmespezialisten" der Gruppe, loggten sich in die Konten des Opfers ein und versuchten, ihr Geld durch elektronische Überweisungen wie Überweisungen und ACH-Zahlungen zu stehlen.
- Zwei weitere Russen, Vladimir Eremenko und Farkhad Manokhin, haben sich angeblich um den Auszahlungsschritt gekümmert und die Konten verwaltet, die die gestohlenen Gelder erhalten und gewaschen haben. Das Geld wurde dann von sogenannten "Geld-Maultieren" von Banken und Geldautomaten abgezogen - Aktivisten auf niedriger Ebene in dem System, die in der Anklage nicht belastet wurden. Manokhin wurde 2017 auf Ersuchen der US-Strafverfolgungsbehörden in Sri Lanka festgenommen, jedoch gegen Kaution freigelassen und floh nach Russland, wo er noch immer zusammen mit den anderen vier russischen Mitgliedern der Goznym-Besatzung auf freiem Fuß ist.
Trotz der Beschreibung der Strafverfolgungsbehörden zu Zeiten der Operation in Goznym als einheitliche Besatzung scheinen die meisten dieser Angeklagten als Freiberufler gearbeitet zu haben, die ihre Dienste in russischsprachigen Cybercrime-Foren angeboten haben. "Das Goznym-Netzwerk wurde gegründet, als diese Personen aus diesen Online-Foren rekrutiert wurden und sich zusammenfanden, um ihre Fachkenntnisse für die Förderung der Verschwörung einzusetzen", sagte FBI-Spezialagent Robert Allan Jones auf der Pressekonferenz. Die Gruppe scheint ihre Aktivitäten über den Online-Chat koordiniert zu haben.
Die Globalisierung dieses losen Netzwerks erforderte eine ebenso globale Zusammenarbeit zwischen Polizei und Staatsanwaltschaft in einem halben Dutzend Ländern, bei der Beweise ausgetauscht und Festnahmen synchronisiert wurden, so die Eurojust-Beamte Gabriele Launhardt. "Diese Art der internationalen Zusammenarbeit ist vielleicht beispiellos. Dies ist ein Zeichen dafür, dass Justiz und Polizei mit der Größe einer Cyber-Kriminalitätsorganisation fertig werden können und dies auch immer tun werden, wenn sie ihre Infrastruktur einschränkt", sagte Launhardt. "Zusammenfassend lässt sich sagen, dass Kriminelle grenzüberschreitend zusammenarbeiten, und wir werden dasselbe tun, damit niemand der Gerechtigkeit entgeht."
In diesen Äußerungen zur globalen Koordinierung bleibt natürlich unausgesprochen, dass tatsächlich die Hälfte der Angeklagten der Justiz entgangen ist - in Russland, einem Land, das anscheinend überhaupt nicht an der Untersuchung mitgearbeitet hat. So global das Vorgehen gegen Cyberkriminalität auch geworden ist, die Cyberkriminellen selbst bleiben immer noch globaler. Und einige verstecken sich hinter Grenzen, die die westlichen Strafverfolgungsbehörden immer noch nicht erreichen können.
