# [Heisec] Enttarnung der Koobface-Gang zeigt Wirkung



## Newsfeed (19 Januar 2012)

Seitdem die Identitäten der mutmaßlichen Botnetz-Betreiber veröffentlicht wurden, haben die infizierten Rechner keine neuen Aufträge mehr erhalten – das Koobface-Netz schweigt.
	

	
	
		
		

		
			















Weiterlesen...


----------



## Aka-Aka (29 Januar 2012)

War es nun richtig oder nicht, die Informationen zu veröffentlichen?

http://www.abendblatt.de/region/art...puterexperten-mit-FBI-auf-Verbrecherjagd.html
singt ein Loblied auf die "IT-Helden"


> Sie gehen weltweit auf Verbrecherjagd und verlassen dafür nicht das Haus.


Nuja, in Ammersbek würde sich sogar ein Spaziergang lohnen. Vielleicht in die Georg-Sasse-Straße *lach*


http://www.pressebox.de/pressemeldungen/trend-micro-deutschland-gmbh/boxid/476874
kritisiert "fragwürdiges Rechtsverständnis" und "Egoismus" - vertritt aber mit Trend Micro aus Hallbergmoos (ach) auch die Konkurrenz.

Auch beim Stichwort Hallbergmoos würde mir (und gerade zum Thema passend!!!) so einiges einfallen.

Ich persönlich erlaube mir kein Urteil, da ich nicht weiß, inwieweit die informierten Behörden reagiert haben - denn ohne zu wissen, ob überhaupt Ermittlungen laufen kann doch Trend Micro nicht behaupten, diese würden behindert.

Die genannten Personen dialern, hijacken und wasweißichnochalles doch seit Jahren. An der Veröffentlichung ihrer Namen scheitert eine erfolgreiche Strafverfolgung sicher nicht.

Oder was ist aus den Ermittlungen in Eggebek geworden in Sachen Matlock?

oder:


> 2010 wurde die Internetbande mit Sitz in Kiew in der Ukraine von einem US-Gericht dazu verurteilt, den amerikanischen Geschädigten 163,2 Millionen Doller zu erstatten.


und? Hat man davon hierzulande etwas gehört?
diese Sache war das:
http://www.business-on.de/muenchen/programme-pc-scareware-opfer-nutzer-vollversion-_id13777.html

http://forum.computerbetrug.de/thre...illion-bank-account-frozen.35242/#post-329997

http://www.dailyfinance.com/2010/06...xp-antispyware-2010-fraud-fbi-says-100m-lost/



> Three men are named in a 57-page indictment, one in Cincinnati and the other two apparently in Sweden and the Ukraine. They're also connected to the rogue Internet service provider 3FN, which the FTC said last month it would liquidate. Among the many fake companies the trio and their accomplices created was Innovative Marketing, registered in Belize and based in Ukraine, and which is the acknowledged originator of XP Antispyware 2010, known by at least 40 other names.


 
April 2004
http://forum.computerbetrug.de/thre...k-ermitteln-sie-teil-2.4103/page-4#post-50320

und?
Dass es Strafanzeigen bei der StA Flensburg gab, steht direkt drunter. Kann mal jemand diesen Herrn in Hallbergmoos bitten, dort nachzufragen? Ich glaube, dass Nichtstun in jedem Fall schädlicher ist für die Verfolgung con Cyberkriminellen. So. Jetzt geht's mir wieder besser.

einen hab ich noch:
http://forum.computerbetrug.de/threads/was-ist-denn-das-winfixer-popup.12352/#post-154764


----------



## Aka-Aka (29 Januar 2012)

> "The thing that we are most excited about is that the botnet is down," said Facebook security official Ryan McGeehan. "*Our decision to become transparent about this has had a 24-hour impact. Only time will tell if it's permanent but it was certainly effective."*


Genau das möchte ich dem netten Herrn von Trend Micro raten... Erst mal abzuwarten, bevor man sich so aus dem Fenster lehnt...
Soll *er* doch nach St. Petersburg fahren und sich mit MVD und dem "Dept. K" auseinander setzen... (siehe dazu weiter unten). Wenn er dann eine Pressemeldung herausbringt und die Verhaftung verkündet, werde ich klatschen. Bis dahin muß ich ihn klatschen...

Obiges Zitat ist aus einem Beitrag von J.M.
http://ca.reuters.com/article/techn...5720120119?pageNumber=1&virtualBrandChannel=0

J.M. ist der Verfasser des hervorragenden Buches "Fatal System Error"
www.fserror.com

In seinem Blog wird über den Fall hier berichtet:
http://blogs.ft.com/fttechhub/2012/01/facebook-names-alleged-koobface-gang/#axzz1kqkdEixl



> > High quality global journalism requires investment. Please share this article with others using the link below, do not cut & paste the article. See our Ts&Cs and Copyright Policy for more detail. Email [email protected] to buy additional rights. http://blogs.ft.com/fttechhub/2012/01/facebook-names-alleged-koobface-gang/#ixzz1kqleOGSM​
> 
> 
> ​​None of the men has been arrested or charged with any offences related to Koobface. However, *by making their names public, Facebook appears to be trying to force the Russian authorities to look into the issue.*
> “We have spoken to the FBI *and the German* and UK *authorities*, and it appears there has not bee much traction on the Russian side on this case. Maybe Facebook became frustrated and decided to take a more hard line on it,” said G.C., senior technology consultant at Sophos.


(was haben denn die deutschen Behörden damit zu tun???)

Auch in diesem Blog steht, dass die Facebook-Taktik nicht "den normalen Weg" darstellt - diese Tatsache ist ja unbestritten.


> This campaign is a curious strategy by Facebook.


...aber sich hinzustellen und in einer Presseerklärung "So nicht!" zu rufen, finde ich schon dreist.

Hier eine passende Leseprobe aus "Fatal System Error":
http://www.fserror.com/excerpt2.html



> succeeded in identifying King Arthur as A* G*, a man in his early twenties living in the Russian republic of Dagestan. G. was taking in millions of dollars from Citibank phishing and other scams with the aid of numerous U.S. accomplices, according to Postal Service documents.[...]
> If we get him, that will show everyone how serious the Russian government is. It could change everything[...]
> “The FSB is dealing with him. They know who he is,” he said, trying to sound reassuring as he brought up the spy agency that was the greatest power in the country. “Well, then, the FSB can go to Dagestan,” Andy said. But he sensed this wasn’t going to work out. “They aren’t interested in him right now,” the MVD agent shrugged, signaling an end to the subject.
> What they didn’t tell Andy was that Dept. K operatives had already tried to get King Arthur. They had prepared a report and sent it to the MVD Investigative Committee, asking the elite squad to conduct interviews and make an arrest. The committee never pursued the case. Andy also brought up the issue with I.Y., his closest MVD friend. “Why won’t anyone arrest King Arthur?” he asked. The politically savvy Igor shrugged, said he didn’t know, and gave the all-purpose explanation Andy had heard most of the days he had been in the country. “Eta Rossiya.” It is Russia. [...]
> ...


Also frage ich mich schon, wie Trend Micro heute schon wissen will, dass das Vorgehen von Facebook/Sophos falsch war. Man hat das Thema in die Öffentlichkeit gebracht und hat gezeigt, wie weit man kommen kann mit guter Ermittlungsarbeit (man darf ja wohl davon ausgehen, dass eine Behörde es sogar noch weiter bringen könnte). Am Ende muß man dafür sorgen, *dass in den jeweiligen Ländern die Bereitschaft besteht, gegen die Täter vorzugehen.* Diese Bereitschaft der Behörden und der Politik braucht man natürlich in Dagestan, in Penza, in St. Petersburg - aber genauso auch in Celle, Hannover oder Fulda.


----------



## Aka-Aka (30 Januar 2012)

Hier eine weitere kritische Stimme zu der Veröffentlichung der Informationen:
http://www.zdnet.com/blog/security/was-koobface-expos-the-right-move/10151

Hier wird die Entschiedung zur Veröffentlichung als falsch bezeichnet.


> When (cyber)criminals suspect they’re being investigated, they become more careful. But when they are sure that someone is after them, they become unpredictable in their actions.


Dazu muß man allerdings sagen, dass bereits vor dieser Veröffentlichung bekannt war, dass Informationen an Behörden gegangen sind. Es gab ja nicht nur den jetzt veröffentlichten Bericht...



> What happened with Koobface after the identities of its authors and the inner workings of their underground business became public? The obvious happened, of course. They began wiping out all public information about themselves from the Internet


Das stimmt. Koobface ist aber auch verschwunden, Einschränkung: vorerst.


> Was it done to push authorities by creating pressure or to aid them, in any way? I’m not sure the pressure supposed to push law enforcement into actually doing something in this case will be enough to compensate for the fact that the gang behind Koobface are now destroying evidence and going further underground. *The public exposure has obviously hurt efforts.*


Und das weiß man heute schon?


> Bad guys go to jail after being on trial, not after being on trial by the media.


Ach ja? Würde mich mal interessieren, wo die ganzen bad guys in den Gefängnissen sitzen.



> Therefore I am making a public plea to all security researchers that were, are or will be involved in cybercrime investigations: Don’t publish data that can ruin years of investigative work. Only share information regarding attribution with law enforcement and trusted contacts. Make sure you understand that certain legal procedures need to be followed and they might take time. *Be patient and don’t become frustrated. In the end, everything will be ok. If it’s not ok, then it’s not the end.*


Das ist ein verdammt schöner Satz.

Und auch bei seinem Schlußsatz bin ich ganz bei ihm:


> What is needed is *a better way to determine whether something is being worked across various levels of law enforcement*, and what level of participation is occurring with private partners.


 
---

Eine netscheidende Sache ist, ob Facebook tatsächlich die russischen Behörden informiert hat

Facebook sagt:


> Facebook chief security officer Joe Sullivantold Reuters he *endorsed the report's release because he felt the exposure might disrupt the group.*


 
Die Russen sagen:


> But Russia's anti-cyber-crime unit, the Interior Ministry's K Directorate, said* it was not asked to investigate the matter.*
> "An official request needs to be filed to the K Directorate first, and when it's filed, we will certainly investigate and work on it." directorate spokeswoman Larisa Zhukova told Reuters.
> “The request must come from the victim, that is Facebook. Because anyone can say or write anything, but it is all unfounded so far. Even if it turns into a criminal case, the investigative unit will decide on possible charges. It is hard to hypothesise on a possible sentence right now.”


http://www.scmagazine.com.au/News/287886,koobface-servers-go-dark.aspx


----------

