Nickles Blog 212 Themen, 8.711 Beiträge

Pony Schad-Software - Post vom Bundeskriminalamt

Michael Nickles / 9 Antworten / Baumansicht Nickles

Kurz vorm Wochenende kam Post von der Sorte rein, wie ich sie nicht gern kriege. Diesmal Post vom Bundeskriminalamt an die Nickles.de Internet Publishing GmbH.

So was riecht irgendwie immer nach Ärger oder unbezahltem zeitlichen Aufwand. Im Schreiben des Bundeskriminalamts Wiesbaden ging es um eine Benachrichtigung über kompromittierte  Benutzerkonten.

Aus dem Schreiben geht hervor, dass ein Ermittlungsverfahren läuft, bei dem unter anderem auch bekannt wurde, dass ein unbekannter Täter durch Einsatz einer Schad-Software namens "Pony", Zugangsdaten zu Benuterkonten ausgespäht hat. Betroffen war laut BKA auch ein Benutzerkonto von Nickles.de.

Das BKA geht davon aus, dass der Rechner des betroffenen Nickles-Mitglieds vom Pony-Trojaner infiziert ist und dieser seine Benutzerdaten ausspioniert hat. Das BKA hat Nickles.de (und andere Seitenbetreiber betroffener Benutzerkonten) über die Entdeckung informiert, damit wir den betroffenen Nutzer über eine mögliche Infektion seines Rechners (und die definitive Kompromittierung seiner Benutzerzugänge) hinweisen können.

Während ich den Vorgang hier untersucht habe, hat sich das betroffene Nickles.de-Mitglied bereits selbst hier im Forum gemeldet (http://www.nickles.de/forum/viren-spyware-datenschutz/2014/eine-schadsoftware-mit-namen-pony-539069210.html ), weshalb ich auf eine Anomyisierung des Nutzernamens (weil sinnlos) verzichtet habe und den Vorgang gleich hier im Blog aufkläre.

Wie mulex1 im Forum berichtet hat, kriegte er heute einen Anruf von einem Versandhändler, der ebenfalls ein Schreiben vom BKA erhalten hat, um ihm Bescheid zu geben. Anders als im Forenbeitrag beschrieben ist es wohl nicht so, dass über die Mail-Adresse von mulex1 Schad-Software verbreitet wird, sondern sich auf seinem Rechner eine Schad-Software (Pony) befindet, die seine Daten ausspioniert hat. Da dem BKA nur die  ermittelten Zugangsdaten von mulex1 in die Hände fielen, seine Adresse aber nicht bekannt ist, hat es sich nun an die Betreiber der jeweiligen Webangebote gewandt, damit diese mulex1 warnen können.

Ich berichte hier im Blog um den Vorgang aufzuklären, da vermutlich auch weitere Webseiten-Betreiber wegen Pony Post vom BKA erhalten, also noch unbekannt viele weitere Nutzer betroffen sind.

Seinem Schreiben hat das BKA auch einen Leitfaden zur Pony-Schad-Software beigefügt (siehe Bild, dritte Seite rechts). Der eher für Laien gedachte Leitfaden erklärt, dass der Trojaner Pony in Web-Formulare eingegebene Zugangsdaten ausspioniert und den Tätern übermittelt. Das BKA rät zu einer Reinigung des Computers mit Hilfe von Anti-Viren-Produkten oder einer Neuinstallation des Betriebssystems.

Auf die Schnelle habe ich mal recherchiert, dass es sich bei Pony vermutlich um einen Trojaner des "Pony Botet" handelt, das seit Ende 2013 bekannt ist. Details zu diesem Trojaner gibt es beispielsweise von Trustwave Spiderlabs. Ob und wie sich der Trojaner (und vermutliche Varianten davon) treffsicher identifizieren lässt, weiß ich aktuell nicht. Eventuell finden wir hier gemeinsam mit mulex1 noch passende Infos und Methoden.

bei Antwort benachrichtigen
torsten40 Michael Nickles „Pony Schad-Software - Post vom Bundeskriminalamt“
Optionen

Das heißt jetzt, wenn ein Rechner versifft ist, schickt das BKA Briefe an alle Betreiber der Domains bei denen man registriert ist?

Haben die zuviel langeweile, oder zuviel Geld für für die Post über?

Oder wie darf man das verstehen?

Ich würde beim BKA anrufen, oder hinfahren, und den Brief überprüfen lassen. Der wird aber wohl echt sein, sonst hätte die Post den mit dem Aufdruck als Briefmarke auf dem Umschlag garnicht versendet.

Freigeist
bei Antwort benachrichtigen
Max Payne torsten40 „Das heißt jetzt, wenn ein Rechner versifft ist, schickt das ...“
Optionen
Oder wie darf man das verstehen?

Vermutlich dient die Aktion auch dazu, die Betreiber der betroffenen Sites dafür zu sensibilisieren, was mit den betroffenen Benutzeraccounts auf der Site angestellt wird.

Nickles.de ist da jetzt vielleicht nicht das interessanteste Ziel, aber wenn z.B. plötzlich im eBay-Account des ahnungslosen "Trojaner-Besitzers" jede Menge super billige iPads o.ö hochpreisige Artikel auftauchen, oder bei Webshops größere Bestellungen auf Rechnung (oder Kreditkarte, mit ergaunerten Kartendaten) getätigt werden. Oder, oder, oder.

Ich würde beim BKA anrufen, oder hinfahren, und den Brief überprüfen lassen.

Mir wäre nicht ganz klar, was das Ziel eines eventuellen Fälschers sein könnte, der solche Briefe verschickt. Der hat doch - außer Kosten - auch nichts davon.

The trouble with computers is that they do what you told them – not necessarily what you wanted them to do.
bei Antwort benachrichtigen
torsten40 Max Payne „Vermutlich dient die Aktion auch dazu, die Betreiber der ...“
Optionen

angenommen der betreffende User ist auch 200 Seiten angemeldet, dass täte dann heißen, dass 200 Website-Betreibe Post vom BKA bekommen haben, oder haben sollten. Wenn mind. 2 angeschrieben worden sind, warum dann nicht auch alle anderen.

das wären dann 200*0.60ct (im Härtefall)

Das rechne sich mal einer aus, bei den tagtäglichen neuen befallen Rechner + die Seiten auf denen die angemeldet sind.

Im Härtfall, was soll eine Seite wie Nickles.de jetzt nach der information machen?

Den User informieren? Warum informiert das BKA den User nicht selber? Anscheind ist das noch nicht passiert. Die Adresse hinter der IP wird wohl das kleinere Übel sein.

Den User sperren? Warum? Nickles.de ist micht betroffen.

Einzig wäre vielleicht, den User in der nächsten Zeit beobachten, ob ungewöhnliche aktivitäten von dem Account aus ausgehen.

Vielleicht es für die BKA auch billiger 60ct pro Brief an die Post zu zahlen, als bei der Telekom ca.26€ für eine Adressenauskunft.

Entschuldige aber ich Verstehe es nicht, warum jetzt Webseitenbetreiber werden, wenn der Computer eines Nutzers verseucht ist. 

Freigeist
bei Antwort benachrichtigen
Alibaba torsten40 „angenommen der betreffende User ist auch 200 Seiten ...“
Optionen

Vielleicht ist es eine Goodwill-Aktion nach dem Motto "Seht, wir schnüffeln nicht nur, wir beschützen Euch auch !", besseres Image und so. Kann ich mir bei unsrer verknöcherten Bürokratie aber auch nicht so recht vorstellen. Mitnichten eine ominöse Aktion ! In den USA bekäme ich jetzt die Panik, in den allgegenwärtigen Terror-Verdacht zu geraten und spurlos zu verschwinden oder Sightseeing durch finstre Zellen zu machen.

Alibaba

Win7 Ult 64, i5-3470, Gigabyte Z77X-UD3H, 16GB RAM, SSD Crucial 500 GB, MSI Geforce GTX 1050 2GT OC und 2xSATA3-HD + 1xeSATA-HD mit insges. 7,5 TB, NT Cooler Master Silent Pro Gold 10000W, Monitor Samsung Syncmaster 24"
bei Antwort benachrichtigen
schuerhaken torsten40 „angenommen der betreffende User ist auch 200 Seiten ...“
Optionen

Angenommen, hier gibt sich ein Kuckuck als Taube aus und ein Täuberich fällt drauf rein. 
Was hat er dann davon? - Was bringt es dem Kuckuck, der in Wahrheit eine Elster ist?
Wie wär's mit etwas mehr Begrenzung auf Fakten oder einfach die Finger still halten?

Nebenbei: 
ich habe etwas rumgesucht; ist ja lustig, wer sich da alles aufs Pony setzt, 
um in den Rechnern von Ratlosen herumreiten zu können. ?????

bei Antwort benachrichtigen
Max Payne torsten40 „angenommen der betreffende User ist auch 200 Seiten ...“
Optionen
Warum informiert das BKA den User nicht selber?

Das Kind liegt doch schon im Brunnen. Die Zugangsdaten sind bereits abgegriffen worden. Sich dann ausschließlich auf einen Anwender zu verlassen, der sich bisher offenbar nicht allzu sehr um Sicherheit seines Systems bemüht hat (sonst wäre die Infektion nicht erfolgt), ist dann vielleicht a bisserl blauäugig.

The trouble with computers is that they do what you told them – not necessarily what you wanted them to do.
bei Antwort benachrichtigen
Michael Nickles torsten40 „angenommen der betreffende User ist auch 200 Seiten ...“
Optionen
Warum informiert das BKA den User nicht selber?

Wie soll es ihn informieren, wenn eventuell nur ein Benutzername und Passwort und sonst nichts bekannt ist? Pony scheint Daten nur aus Eingabeformularen abzufischen. Und beim Nickles-Anmeldeformular gibt man nur Benutzername und Passwort ein.

Grüße,
Mike

bei Antwort benachrichtigen
gelöscht_301121 Michael Nickles „Pony Schad-Software - Post vom Bundeskriminalamt“
Optionen

Hallo,

scheint sich ja gerade einiges zu tun:

http://www.golem.de/news/rcs-galileo-staatstrojaner-fuer-android-und-ios-geraete-im-einsatz-1406-107431.htm

Zitat: "Zu den Opfern zählen Aktivisten, Menschenrechtler, Journalisten und Politiker, erklärte Kaspersky."

Bei der Analyse von Kapersky:

http://www.securelist.com/en/blog/8231/HackingTeam_2_0_The_Story_Goes_Mobile

schent das auch bemerkenswert (Zitat): "Nevertheless, several IPs were identified as “government” related based on their WHOIS information and they provide a good indication of who owns them."

Dagegen erscheint das ja schon eher "harmlos":

http://www.golem.de/news/man-in-the-browser-angreifer-raeumen-bankkonten-in-europa-ab-1406-107444.html

und betraf (St. Florians Prinzip) hauptsächlich Bankkunden aus Italien und der Türkei.

Einen schönen Tag, Grüße,

Michael

bei Antwort benachrichtigen
The Wasp Michael Nickles „Pony Schad-Software - Post vom Bundeskriminalamt“
Optionen

Bei einem solchen Brief wird einem sicher erstmal heiß und kalt. Mich würde vor allem interessieren, wie er sich das Ding eingefangen hat? ^^

Ende
bei Antwort benachrichtigen