Ende 2020 konnten Mitarbeiter der US-Regierung ein eine Milliarde Dollar schweres Bitcoin Wallet ausheben, das mit dem bereits vor sieben Jahren geschlossenen Darknet-Marktplatz Silk Road in Verbindung stehen soll. Im Januar 2021 holte schließlich Europol zum finalen Schlag gegen das Emotet-Botnet aus.
Diese und weitere Erfolge der Ermittlungsbehörden zwingen Cyberkriminelle, ihre Strategien zu überdenken und zu erneuern. Wir haben mit Security-Experten gesprochen und geben Ihnen Einblicke zum Status Quo des Darkweb.
"Das Darkweb hat sich dramatisch verändert"
Organisierte, kriminelle Hackergruppen gehen wegen der steigenden Gefahr, von den Strafverfolgungsbehörden entdeckt zu werden, neue Wege. Einer davon besteht darin, lautstark die eigene Auflösung zu propagieren - so wie es etwa bei "Maze" der Fall war. Die Gruppierung, die hinter der gleichnamigen Ransomware stehen und für diverse Angriffe auf Unternehmen wie Xerox, LG und Canon verantwortlich sein soll, verkündete im Oktober 2020, sämtliche Aktivitäten einzustellen. Nach Einschätzung von Experten handelt es sich dabei lediglich um ein Täuschungsmanöver. Die Beteiligten dürften sich längst anderen Untergrund-Gruppierungen angeschlossen haben oder operieren unter neuem Namen.
"Das Darkweb hat sich in den vergangenen Jahren dramatisch verändert, Das ist vor allem drei Faktoren geschuldet: dem Aufkommen von anonymen Foren und Marktplätzen, einer jungen Generation von Möchtegern-Cyberkriminellen, die sich von Youtube inspirieren lässt, sowie der zunehmenden Präsenz der Strafverfolgungsbehörden", weiß Mark Turnage, CEO beim Darkweb-Suchmaschinenanbieter DarkOwl.
Darkweb goes Recruiting-Kanal
Das Darkweb wird von Cyberkriminellen nur noch als Übergangsmedium genutzt - Bemühungen, neue Mitglieder für kriminelle Banden zu rekrutieren, sind offenbar auf ein absolutes Minimum heruntergefahren worden. Stattdessen läuft diese Kommunikation im Verborgenen ab, über verschlüsselte Kanäle und Messaging Tools wie Telegram, Jabber oder WickR: "Malware-Entwickler und Kriminelle verlassen sich immer weniger auf Darknet-Marktplätze, um ihre Exploits zu verbreiten. Stattdessen geschieht das in Black-Hat-Foren im Deep- und Darknet. Dort bauen sie ihre 'Marken' auf, versuchen die Community zu beeinflussen und neue Mitglieder zu rekrutieren", erklärt Turnage.
Der Untergrund-Experte beobachtet darüber hinaus unter kriminellen Hackern ein steigendes Interesse für alternative, dezentralisierte Dark- und Meshnets wie Lokinet oder Yggdrasil. Ein Umstand, den er auch dem steigenden Druck durch die Behörden zuschreibt, die immer öfter Marktplätze und Services, die auf Tor-Knoten gehostet werden, zerschlagen würden.
Die Verlagerung dieser Untergrund-Shops in private Messaging-Dienste biete dabei auch technische Vorteile - zum Beispiel Schutz vor DDoS-Attacken. Schließlich griffen sich konkurrierende Cyberkriminelle auch regelmäßig gegenseitig an - wie im Fall des Marktplatzes "Empire". "Die in die Messenger integrierten Sicherheitsmaßnahmen nehmen den Kriminellen jedenfalls jede Menge Administrationsarbeit ab", weiß Turnage.
"Effektive Wertschöpfungsketten für kriminelle Zwecke"
Auch die Kommunikation von Cyberkriminellen über kompromittierte Netzwerke, gestohlene Daten und gehackte Datenbanken hat sich auf Instant-Messaging-Plattformen und geschlossene Communities verlagert, weiß Raveed Laeb, Product Manager beim Darknet-Monitoring-Anbieter KELA: "Die Marktveränderungen weisen einen Fokus auf Automatisierung und Abomodelle auf. Das resultiert unter anderem in gehäuften Ransomware-Angriffen, die wir gerade erleben. Diese Cybercrime-Märkte erlauben es, nahtlose und effektive Wertschöpfungsketten für kriminelle Zwecke aufzubauen", meint Laeb.
Allerdings bestehe für Security-Profis und -Analysten auch die Möglichkeit, unentdeckt in diese Untergrundnetzwerke einzudringen und so eventuell an Informationen zu kommen, die es erlauben, Systemschwachstellen zu beseitigen, bevor diese von Cyberkriminellen ausgenutzt werden können, sagt der Product Manager. Durch kontinuierliches Monitoring von Darknet-Foren und -Seiten könnten IT-Security-Teams kriminellen Angreifern möglicherweise ein Schnippchen schlagen.
- Enter the Dark
In den 1970er Jahren war der Ausdruck "Darknet" kein bisschen unheilverkündend. Er bezeichnet damals einfach nur Netzwerke, die aus Sicherheitsgründen vom Netz-Mainstream isoliert werden. Als aus dem Arpanet zuerst das Internet wird, das dann sämtliche anderen Computer-Netzwerke "verschluckt", wird das Wort für die Bereiche des Netzes benutzt, die nicht ohne Weiteres für jeden auffindbar sind. Und wie das im Schattenreich so ist: Natürlich ist es auch ein Hort für illegale Aktivitäten und beunruhigende Güter aller Art, wie Loucif Kharouni, Senior Threat Researcher bei Damballa unterstreicht: "Im Darknet bekommen Sie so ziemlich alles, was man sich nur vorstellen kann." - Made in the USA
Ein aktuelles Whitepaper von Recorded Future klärt über die Verbindungspunkte zwischen dem Web, das wir alle kennen, und dem Darknet auf. Erste Spuren sind normalerweise auf Seiten wie Pastebin zu finden, wo Links zum Tor-Netzwerk für einige Tage oder Stunden "deponiert" werden. Tor wurde übrigens von der US Navy mit dem Ziel der militärischen Auskundschaftung entwickelt. Die weitgehende Anonymisierung hat Tor schließlich zum Darknet-Himmel gemacht. - Drogen
Im Darknet floriert unter anderem der Handel mit illegalen Drogen und verschreibungspflichtigen Medikamenten. "Das Darknet hat den Drogenhandel in ähnlicher Weise revolutioniert, wie das Internet den Einzelhandel", meint Gavin Reid vom Sicherheitsanbieter Lancope. "Es stellt eine Schicht der Abstraktion zwischen Käufer und Verkäufer. Bevor es Seiten wie Silk Road gab, mussten Drogenkonsumenten in halbseidene Stadtviertel fahren und das Risiko eines Überfalls ebenso auf sich nehmen, wie das, von der Polizei erwischt zu werden. Jetzt können die Leute das bequem von zuhause erledigen und müssen dabei kaum mit dem Dealer interagieren. Das hat viele Personen dazu veranlasst, auf diesen Zug aufzuspringen und dadurch sowohl den Verkauf von Drogen als auch das Risiko das durch ihren Konsum entsteht, dezentralisiert." - Bitte bewerten Sie Ihren Einkauf!
Das Internet hat den Handel revolutioniert - zum Beispiel durch Bewertungs- und Rating-Systeme. Das gleiche Prinzip kommt auch im Darknet zur Anwendung - nur bewertet man eben keine SSD, sondern Crack. Nach dem Untergang von Silk Road dient mittlerweile The Hub als zentrale Plattform für den Drogenhandel. - Waffen
Drogenkonsumenten nutzen das Darknet in manchen Teilen der Welt, um bewaffneten Dealern aus dem Weg gehen zu können. Letztgenannte Zielgruppe kann im dunklen Teil des Netzes hingegen aufrüsten: Bei einer groß angelegten Razzia wurde eine große Waffenlieferung, die von den USA nach Australien gehen sollte, gestoppt. Neben Schrotflinten, Pistolen und Gewehren sind im Darknet unter anderem auch Dinge wie eine Kugelschreiber-Pistole zu haben. James Bond lässt grüßen. Strahlende Persönlichkeiten finden in den Web-Niederungen gar Uran. Zwar nicht waffenfähig, aber immerhin. - Identitätshandel
Viele Untergrund-Händler bieten im Darknet auch gefälschte Dokumente wie Führerscheine, Pässe und Ausweise an. Ganz ähnlich wie der Zeitgenosse auf diesem thailändischen Markt, nur eben online. Was sich damit alles anstellen ließe... Jedenfalls ist die Wahrscheinlichkeit ziemlich gering, dass ein Teenie sich im Darknet ein Ausweisdokument beschafft, um das Bier für die nächste Facebook-Party kaufen zu können. - Digitale Leben
Raj Samani, CTO bei Intel Security, zeigt sich erstaunt darüber, wie persönlich die Produkte und Services im Darknet im Laufe der Zeit geworden sind: "Der Verkauf von Identitäten geht weit über Karten und medizinische Daten hinaus: Dort werden ganze digitale Leben verkauft - inklusive Social-Media- und E-Mail-Accounts sowie jeder Menge anderer persönlicher Daten." - Auftragskiller
Bevor Sie jetzt den Eindruck gewinnen, dass das Darknet ein Ort ist, wo man wirklich jede Dienstleistung kaufen kann: Die allermeisten Leute, die Tötungs-Dienstleistungen anbieten, sind Betrüger. Die nehmen zwar gerne Geld von den willigen Kunden, machen sich die Finger aber weniger gerne schmutzig. Der Betreiber von Silk Road, Ross Ulbricht, ist so einem Betrüger zum Opfer gefallen: Eine Million Bitcoins investierte der halbseidene Darknet-"Pionier" in Auftragsmorde, die nie ausgeführt wurden. Bei einer Crowdfunding-Plattform für Attentate auf Prominente dürfte es sich ebenfalls um ein einträgliches Betrugsgeschäft handeln. - Schnellausstieg
Es kommt jetzt vielleicht überraschend, aber die Leute die man so im Darknet trifft, sind in der Regel keine ehrbaren Naturen. Die zunehmende Professionalisierung im Darknet und der psychische Druck, der auf Drogen- und Waffenhändlern im Darknet lastet, führt zu einem neuen Trend: dem Exit-Scam. Hierbei entscheidet sich ein Händler, der bereits Kundenvertrauen aufgebaut hat, seine Aktivitäten zu beenden. Dazu beendet er die Beziehungen zu seinen Lieferanten, nimmt aber weiterhin Bestellungen und Geld von Kunden entgegen. Und zwar genauso lange, bis diese merken, dass sie keine Leistungen für ihr Geld erhalten. Das so entstandene Zeitfenster wird von den Händlern genutzt, um noch einmal so richtig abzukassieren, bevor sie schließlich im digitalen Nirvana verschwinden. - Freiheit?
Eines sollte man in Bezug auf das Darknet nicht vergessen: Während wir in diesem Zusammenhang vor allem an Drogen, Waffen und Auftragsmord denken, stellt das Darknet für Menschen in Ländern, in denen Krieg und/oder politische Verfolgung herrschen, oft das einzige Mittel dar, gefahrlos und/oder ohne Überwachung mit der Außenwelt in Kontakt zu treten.
Darkweb-Monitoring als neuer Standard
APT-Gruppen nutzen das Darkweb ebenfalls: "Bislang haben sich Unternehmen nur Sorgen gemacht, wenn bedeutsame Daten aus ihren Systemen im Darkweb aufgetaucht sind. Viele staatlich beauftragte Hacker beispielsweise aus China oder Russland nutzen das Darknet inzwischen jedoch vor allem zur Informationsbeschaffung, um im Nachgang unentdeckt zuzuschlagen", warnt Vince Warrington, CEO beim Serviceanbieter Dark Intelligence. "Unsere Untersuchungen zeigen, dass APT-Gruppen SSH über Port 22 nutzen, um Unternehmen unentdeckt zu infiltrieren. Einmal im Netzwerk, nutzen sie Systeme, die nicht regelmäßig überprüft werden oder veraltet sind - insbesondere Industrial Control Systems - um massenhaft Daten zu stehlen. Den Unternehmen fällt das im Regelfall nicht auf - es sei denn, sie betreiben effektives Darkweb-Monitoring", berichtet der CEO.
Warringtons Worte werden vom großangelegten Supply-Chain-Angriff auf den US-Softwareanbieter Solar Winds untermauert, der der Gruppierung APT29 (auch bekannt unter dem Namen "Cozy Bear") zugeschrieben wird. Bei der Attacke wurden zunächst unbemerkt mehr als 18.000 Kundendatensätze gestohlen.
Bedrohungsanalysten und Security-Spezialisten brauchen demzufolge neue Monitoring-Strategien. Sich auf die Detektion von Anomalien in Unternehmensnetzwerken zu fokussieren, reicht längst nicht mehr aus. Stattdessen empfiehlt es sich, auch legitime Programme und Services (inklusive deren Security Updates) sowie die gesamte Softwarelieferkette regelmäßig einem Monitoring zu unterziehen. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.