Worm

Wenn es ihm gelang, den von Botnetzen erzeugten Verkehr zu messen und abzufangen, konnte er herausfinden, welche Computernetzwerke  – von Universitäten, Unternehmen und Regierungsbehörden  – gepwned waren. Und diese Informationen konnte er dann an sie verkaufen. Andres Gewissenbisse bezüglich Profit waren ihm fremd. Rick hatte sich, zum Teil geplant, größtenteils aber durch Zufall, mit an die Spitze der Bemühungen um mehr Internetsicherheit manövriert.
    Als Phil sich nun fragte, wer ihm sagen könnte, wie man die 250 Domainnamen im Voraus blockierte, die Conficker Tag für Tag erzeugte, dachte er sofort an Rick, der sich in den Kreisen der Internetregulierer einen Namen gemacht hatte. Rick wusste natürlich bereits alles über den neuen Wurm. Als Phil ihn am 15. Dezember kontaktierte, breitete sich Conficker bereits seit drei Wochen aus, und man wusste von Infektionen in 106 Ländern. Die Epidemie war das Gesprächthema unter den Experten für Computersicherheit.
    »W ir haben die Struktur von Conficker vollständig analysiert und sind sie im Detail durchgegangen«, mailte Phil an Rick. »W ir haben den Algorithmus zur Domainerzeugung geknackt und eine vollständige Liste aller Domains erstellt, die der Wurm in den nächsten 200 Tagen erzeugen wird.«
    Phil schickte Rick die täglichen Listen der Domains, und Rick kaufte sie über seine Kontakte in der Internetregulierungsgemeinde auf. Dann mietete er bei Amazon S3-Speicherplatz, um dort die Domains zu parken und die vielen Millionen Anfragen, die jeden Tag an sie eingingen, zu »sinkholen«, also abzufangen. Mit anderen Worten, die Anfragen von infizierten Rechnern wurden schlicht in eine Sackgasse umgeleitet.
    Phil schickte auch eine E-Mail an das US - CERT (das United States Computer Emergency Readiness Team), jene Behörde, die für den Schutz der staatlichen Computernetzwerke zuständig war, und schlug ihr vor, dasselbe zu tun. Auf diese Weise könnte US - CERT alle infizierten IP -Adressen prüfen und herausfinden, ob irgendwelche Regierungsrechner, insbesondere vom Verteidigungsministerium betriebene Netzwerke, befallen waren. Phil erhielt eine Antwort-E-Mail, in der man sich bei ihm für die Anregung bedankte.
    250 Domainnamen pro Tag zu registrieren bedeutete zwar viel Arbeit, aber auch nicht so viel, als dass Rick nicht noch nebenher die Sinkholing-Daten aus seinem Amazon-Account hätte auswerten können. Gleichzeitig holte er andere Leute mit an Bord, setzte sich mit Leuten in Verbindung, die bereits an der Sache arbeiteten, und richtete eine Mailingliste ein, um ihre Aktivitäten zu koordinieren. Schließlich bot Chris Lee, Doktorand an der Georgia Tech, sein dortiges Labornetzwerk für die wachsende Sinkholing-Operation an, und so lief ein Teil des eingehenden Botnetz-Verkehrs auf dieses Netzwerk. Darüber hinaus hatte Andre bei Shadowserver weitere Sinkholing-Kapazitäten und überwachte dort ebenfalls das Wachstum des Botnetzes.
    Ende Dezember 2008 hatte Conficker 1,8 Millionen Computer in 195 Ländern infiziert. Das Land mit der höchsten Infektionszahl  – und den meisten raubkopierten Windows-Betriebssystemen  – war China mit über 400 000 Bots. Das waren mehr als doppelt so viele wie im zweitplatzierten Land, Argentinien. Die sich daran anschließenden Top Twenty waren, in absteigender Ordnung, Indien, Taiwan, Brasilien, Chile, Großbritannien, Russland, die Vereinigten Staaten, Kolumbien, Malaysia, Mexiko, Spanien, Italien, die Netzwerke der Europäischen Union, Indonesien, Venezuela, Deutschland, Japan und (mit nur 12 292 Bots) Korea.
    Über den Wurm selbst gab es eine Reihe von Theorien. Die meisten, die sich mit ihm befassten, hielten ihn für das Werk einer »Schatten-Symantec«, sprich eines vom organisierten Verbrechen finanzierten osteuropäischen Schwarzhut-»Unternehmens«, wobei sie wegen der Kiew-Verbindungen auf die Ukraine tippten. Genauso gut aber konnte Conficker eine Waffe sein, das Werk eines Nationalstaats.
    Und hier war China der Hauptverdächtige.
    »Mehreren Schätzungen zufolge gibt es in China 250 Hackergruppen, die von der Regierung geduldet und möglicherweise sogar darin unterstützt werden, in Computernetzwerke einzudringen und diese zu stören«, hieß es in dem im Herbst 2008 dem US -Kongress vorgelegten Sicherheitsbericht zu China. »Die chinesische Regierung überwacht die nationalen Internetaktivitäten sehr genau und ist sich aller Wahrscheinlichkeit nach der Aktivitäten der Hacker bewusst.