DanaBot-Krimi: Spannende Details zur Jagd auf ein digitales Phantom

Was lange wie ein typischer Fall digitaler Kriminalität wirkte, ent­pupp­te sich als weitverzweigtes Netzwerk mit geopolitischer Brisanz. Nach jahrelangen Ermittlungen wurde jetzt in den USA Anklage gegen 16 mutmaßliche "DanaBot"-Betreiber erhoben.

Geheimdienst-Malware? Der wahre Zweck hinter DanaBot

Die Geschichte beginnt nicht mit einem großen Knall, sondern mit vielen kleinen Diebstählen: gestohlene Zugangsdaten, leere Bankkonten, ausspionierte Behördenrechner. DanaBot operierte seit Jahren im Hintergrund - ein Keylogger hier, ein Screenshot dort, unauffällig und zugleich hochwirksam. Die US-Bundespolizei spricht von über 300.000 betroffenen Rechnern weltweit. Der finanzielle Schaden: mehr als 50 Millionen Dollar.

Die Spuren des Schädlings lassen sich bis ins Jahr 2018 zurückverfolgen, als erste Infektionen in Australien gemeldet wurden. Von dort breitete sich DanaBot rasch aus - zunächst über Europa, später auch in Nordamerika. Schon früh bemerkten Sicherheitsforscher die hohe Modularität der Software. Das weckte auch das Interesse der Ermittler: Bereits 2022 wurden erste Anklagen eingereicht, was auf mehrjährige verdeckte Ermittlungen hindeutet.

Die heutige Ankündigung ist ein wichtiger Schritt in den fortlaufenden Bemühungen des FBI, das Ökosystem der Cyberkriminalität zu zerschlagen - ein Netzwerk, das die digitale Sicherheit weltweit massiv untergräbt.

Laut den nun freigegebenen Anklageschriften handelte es sich nicht um eine klassische Hackergruppe, sondern um ein arbeitsteiliges Konstrukt mit hoher Professionalität: Entwickler, Administratoren, Supportkräfte, sogar ein Hardware-Team - alle in Russland verortet, alle bislang flüchtig. DanaBot gab es laut den Ermittlern in zwei Ausführungen. Die erste, eine Art "Malware as a Service", konnte im Darknet für bis zu 4.000 Dollar im Monat gemietet werden - inklusive technischer Betreuung und Testumgebung.

Die zweite war exklusiv - und ihre Entdeckung deutlich brisanter: Eine Version zur gezielten Spionage, offenbar nur für interne Zwecke gedacht. Wie die Banking-Variante zeichnete sie Tastatureingaben auf, machte Bildschirmfotos - und filmte die Nutzer sogar heimlich. Ziel waren offenbar Personen aus Militär, Diplomatie und Regierungsapparaten. Diese Version weckt bei den Ermittlern die starke Vermutung, dass es sich bei den Hinterleuten wohl nicht um einfache Cyberkriminelle handelt. Infografik Cybersicherheit: E-Mails bleiben größtes Sicherheitsrisiko "Man weiß, dass sie mit Duldung der Regierung operieren - und wahrscheinlich unter den wachsamen Augen der Geheimdienste. Was läge da näher, als eine Spionagekampagne so aussehen zu lassen, als handele es sich bloß um gewöhnliche Cyberkriminalität?", sagt Josh Hopkins vom Sicherheitsdienstleister Team Cymru, der an den Ermittlungen beteiligt war, laut The Register.

Jahre der Ermittlung

Im Hintergrund lief jahrelang ein Katz-und-Maus-Spiel zwischen Ermittlern und Botnetz-Betreibern. Im Rahmen von "Operation Endgame II", einer internationalen Aktion von US-amerikanischen und europäischen Behörden, zog sich die Schlinge nun immer enger. An normalen Tagen zählten Experten früher bis zu 30 aktive DanaBot-Server - manchmal sogar mehr. Jetzt, kurz nach dem gezielten Schlag, waren laut Josh Hopkins nur noch zwei übrig.

Der Fall DanaBot ist damit mehr als nur ein Cybercrime-Krimi. Er zeigt, wie eng organisierte Kriminalität, staatliche Interessen und digitale Infrastruktur verwoben sein können - und wie schwer es ist, diese Verbindungen zu durchtrennen.


Siehe auch: