Anonymous (Logo)
Bei der Verfolgung der Anonymous-Aktivisten, die Anfang des Monats an DDoS-Angriffen unter anderem gegen das Online-Payment-Unternehmen PayPal beteiligt waren, machen die US-Behörden offenbar ernst. Mitte Dezember wurde das im US-Bundesstaat Texas ansäßige Hosting-Unternehmen „Tailor Made Services“ durchsucht. Die US-Behörden hoffen offenbar, die Organisatoren der Angriffe zu finden.
Die DDoS-Angriffe fanden statt, um PayPal dafür „zur Rechenschaft zu ziehen“, dass das Unternehmen ein Spendenkonto der Whistleblowing-Website WikiLeaks geschlossen hatte. PayPal hatte diesen Schritt damit begründet, dass WikiLeaks „illegale Handlungen unterstützt“ (gulli:News berichtete). Neben PayPal wurden auch andere Unternehmen, die ihre Geschäftsbeziehungen mit WikiLeaks aus ähnlichen Gründen beendet hatten – darunter Visa und Mastercard – Ziel von DDoS-Angriffen. Die Aktion wurde unter dem Namen „Operation Payback“ (teilweise auch „Operation Payback is a bitch“) im Internet beworben.
Bereits kurz nach den Attacken kam es zu zwei Festnahmen in den Niederlanden. Zwei jungen Männern im Alter von 16 und 19 Jahren wurde vorgeworfen, sich als Teil des losen Kollektivs Anonymous an den DDoS-Angriffen beteiligt zu haben (der 16-Jährige gestand die Tat kurz darauf). Im Internet war vielfach zu lesen, dass das von Anonymous vielfach benutzte DDoS-Tool „Low Orbit Ion Cannon“ (LOIC) in der üblichen Konfiguration die IP-Adressen der Anwender preisgibt und somit keine technische Sicherheit gewährleistet ist. Der einzige Schutz für DDoS-Teilnehmer liege somit in der schieren Anzahl der Teilnehmer und einem womöglich eher geringen Interesse an einer Strafverfolgung.
FBI (Logo)
Letzteres ist offenbar nicht gegeben, zumindest, wenn es um die Organisatoren der Angriffe geht. Wie in einem im Internet aufgetauchten Begründungsschreiben für den Durchsuchungsbeschluss bei Tailor Made Services zu lesen ist, begann die US-Bundespolizei FBI bereits Anfang Dezember eine Untersuchung der DDoS-Angriffe auf die Server von PayPal. Kurz darauf konnten interne Sicherheitsexperten des Unternehmens dem FBI acht IP-Adressen aushändigen, die zu dem von Anonymous zur Planung der Angriffe verwendeten IRC-Netzwerk gehörten.
Wie FBI-Agent Allyn Lynd in der für den Durchsuchungsbefehl als Begründung herangezogenen eidesstattlichen Aussage mitteilte, wurden mindestens zwei der IP-Adressen vom FBI eingehender überprüft. Eine davon wurde zunächst zum deutschen Serverhoster und Internet-Provider „Host Europe“ zurückverfolgt. Eine Durchsuchung – die im Rahmen der Amtshilfe durch das BKA durchgeführt wurde – ergab, dass der Server einem Mann aus Herrlisheim in Frankreich gehörte. Eine IT-forensische Untersuchung des fraglichen Servers verwies allerdings auf die IP einer weiteren Person, die sich per SSH mit Root-Rechten auf den Server eingeloggt und den DDoS-Angriff durchgeführt hatte. Offenbar wurde dazu ein Script namens „Good_night,_paypal_Sweet_dreams_from_AnonOPs“ ausgeführt.
Die in den Serverlogs gefundene IP-Adresse verwies wiederum auf einen dedizierten Server bei Tailor Made Systems. Daraufhin wurde deren Rechenzentrum am 16. Dezember ebenfalls durchsucht. Offenbar wurden dabei Festplatten kopiert; womöglich auch Server oder Datenträger beschlagnahmt, und anschließend eine forensische Untersuchung durchgeführt. Zu den Ergebnissen der Untersuchung allerdings wollte das FBI nicht Stellung nehmen, da die Ermittlungen noch andauern.
Die zweite IP-Adresse führte zuerst nach Kanada, dann allerdings zu einem kalifornischen Hoster. Auch diesbezüglich wird vom FBI momentan ermittelt. Was mit den weiteren sechs ermittelten IP-Adressen der IRC-Server geschehen ist, ist unklar.
http://www.gulli.com/news/fbi-ermittelt-gegen-organisatoren-der-operation-payback-2010-12-30
