Ukraine schnappt den mutmaßlichen Botnetz-König

Er soll das

Die Polizei in der Ukraine hat den Mann gefasst, der mit seinem technischen Wissen Hunderttausende Computernutzer in die Verzweiflung getrieben haben soll: Der russischstämmige Gennady Kapkanov soll "Avalanche" aufgebaut haben und Zugriff auf massenhaft PC nichtsahnender Nutzer gehabt haben. Die ferngesteuerten Rechner heißen Botnetze, er soll die Kontrolle gehabt haben. Der Schaden durch das weltweit größte bekannt gewordene Konstrukt dieser Art liegt bei Hunderten Millionen Euro.

Beharrliche Ermittler aus Niedersachsen waren dem mutmaßlichen Botnetz-König nach sieben Jahren Ermittlungen auf die Schliche gekommen: Bei zeitgleichen Einsätzen in 30 Ländern war Kapkanov im November 2016 schon einmal gefasst worden – und dann erst einmal verschwunden.

Was Avalanche auf Computern anrichtete:

Avalanche war ein riesiges Räuber- und Erpressernetz, bestand sieben Jahre lang und war zeitweise die größte Bedrohung für Computernutzer. Die Staatsanwaltschaft in Verden/Aller hatte bei Fällen von Ransomware deutschlandweit die Übermittlungen übernommen. Mit Ransomware werden Computer ferngesteuert verschlüsselt und erst gegen Lösegeldzahlung in digitaler Form wieder entsperrt. Für Beträge von 100 bis mehreren Tausend Euro ist wieder Zugriff auf den Rechner möglich.

Die Ermittlungen ergaben, dass die Bande auch massenhaft Daten ausspähte, E-Mails verschickte und Seiten einrichtete, um an die Daten von Onlinebanking-Nutzern zu kommen. Betroffene Bankkunden in Deutschland verloren im Schnitt 5.000 Euro, weltweit wird der Schaden auf Hunderte Millionen Euro geschätzt. Über Foren boten die Kriminellen Avalanche auch anderen für Attacken an. Deutschland machte vier Kunden ausfindig, ein Ukrainer wurde in Deutschland festgenommen.

Was die Polizeiaktion so besonders machte:

Sie gilt als mächtigster Schlag gegen Cyberkriminelle bis dahin. Die Botnetze waren im Laufe der Jahre so aufgebaut und gesteuert, dass die Kriminellen eigentlich gegen Abschaltung abgesichert waren. Analysten fanden heraus, dass die Server alle fünf Minuten gewechselt wurden.

Nur durch das gemeinsame Vorgehen so vieler Behörden in so vielen Ländern und lange Vorbereitung konnte Avalanche (deutsch: "Lawine") gestoppt werden. Als auch das FBI auf die Botnetz-Infrastruktur aufmerksam wurde, waren die Amerikaner dem Vernehmen nach überrascht, was ihnen die deutschen Ermittler schon sagen konnten.

Um Nutzer zu warnen, wurden von den Behörden andere Server eingerichtet, zu denen die Verbindungsanfragen der betroffenen Zombie-PCs umgeleitet wurden. Die Behörden konnten so mit den Internetprovidern gezielt Informationen verschicken. Die beiden Leiter der Ermittlungen bei der Zentralstelle für Cyberkriminalität der Staatsanwaltschaft Verden und der Task-Force CyberCrime/Digitale Spuren bei der Kripo Lüneburg erhalten dafür von einem US-Digitalverband im Juni den J.D. Falk Award für sichereres Internet.

Wie die Behörden auf Gennady Kapkanov kamen:

Über alte Beiträge in Foren und E-Mailadressen hatten Spezialisten Spuren aufgenommen zur echten Identität der Beteiligten. Müsehlige Polizeiarbeit, aber "Tarnnamen wurden zu Fleisch und Blut", sagte Frank Lange, Chef der Zentralstelle für Cyberkriminalität der Staatsanwaltschaft Verden dem "Stern". Immer wieder tauchte bei den Recherchen "flux" auf. Ihn identifizierten die Fahnder als Gennady Kapkanov sein, ein gebürtiger Russe, der zeitweise in London lebte, kurze Haare, heute 35 Jahre alt. Der Programmierer, so ergab sich für die Ermittler aus den Recherchen im Netz, muss das Superhirn hinter der Technik sein. Er wurde 2016 in der 300.000-Einwohner-Stadt Poltawa ausfindig gemacht. Wenn er mit Behörden kooperiert, könnten die Behörden vielleicht noch viel mehr in Erfahrung bringen – auch über Geldflüsse und vielleicht weitere Hintermänner.

Wie Kapnakov zunächst entwischen konnte:

Das war bislang der große Wermutstropfen: Er war verschwunden. Ukrainische Polizisten wollten ihn im November 2016 mit FBI-Unterstützung festnehmen. Da zeigte sich, wie gefährlich der Programmierer offenbar ist. Er war mit einem Schnellfeuergewehr und einer Pistole bewaffnet und gab auch einen Schuss durch eine Tür ab, meldeten die ukrainischen Behörden. Er versuchte, aus dem vierten Stock über den Balkon zu fliehen, wurde dann aber dort überwältigt. Versteckt im Badezimmer fanden sich 70.000 Euro. Eine Richterin des örtlichen Gerichts ließ ihn zwei Tage später laufen, weil Unterlagen angeblich nicht ausreichten. Er tauchte sofort unter.

In der Ukraine gab es danach Korruptionsvorwürfe, der Fall beschäftigte die Politik. Die deutschen Fahnder waren enttäuscht: „Das ist ganz, ganz ärgerlich", sagte Botnetz-Jäger Lange zum ARD-Magazin "Panorama". Er sagte aber auch: "Er hat auf diesem Planeten nur noch einen ganz, ganz engen Bewegungsraum, und wenn er den irgendwann mal verlässt, dann kriegen wir ihn oder jemand anderes.“

Wie es nun zu seiner Festnahme kam:

Am Montag meldete die ukrainische Polizei den Erfolg: Tags zuvor hatte sie Kapnakov in Kiew festnehmen können. Er war mit einem falschen ukrainischen Pass aufgefallen. Bei ihm fanden sich ein Laptop, USB-Sticks und Speicherkarten, 50- und 100-Dollar-Scheine und 200-Euro-Geldnoten. Am Dienstag teilte die Polizei mit, dass er diesmal nicht wieder so einfach verschwinden kann. Ein Gericht hat zunächst 60 Tage Haft angeordnet.

Wie es nun weitergeht:

Deutsche Gerichte kommen an Kapnakov nicht heran – die Ukraine liefert eigene Staatsbürger nicht aus, erläutert ein Sprecher der Staatsanwaltschaft Verden. Anklage gegen ihn ist damit nur in dem osteuropäischen Land möglich. Deutschland hat die Übernahme der Strafverfolgung durch die Ukraine bereits 2016 beantragt, er könnte also dort angeklagt werden. Die Festnahme könnte dennoch Folgen für das in Deutschland laufende Verfahren haben. Das lasse sich noch nicht abschätzen – im Wege der Rechtshilfe könnte Verden aber Hilfe der ukrainischen Kollegen erbitten und vielleicht noch neue Erkenntnisse erlangen.

Welche Zahlen hinter den Zombie-Computern steckten:

FBI und Europol rechneten vor, welche Ergebnisse die Ermittlungen gebracht haben:

• Insgesamt waren 5 Millionen Rechner in 180 Ländern befallen.
• Pro Woche wurden bis zu eine Million Schad-E-Mails mit 20 verschiedenen Schadprogrammen verschickt.
• 830.000 automatisch generierte Internetadressen waren infizierte Seiten, davon 155.000 mit .com-Endung, 13.000 mit .org, aber keine mit .de.
• 39 Server in 13 Ländern wurden beschlagnahmt, 221 Server wurden abgeschaltet.
• Bundesamt für Sicherheit in der Informationstechnik (BSI) und Fraunhofer-Institut für Kommunikation analysierten mehr als 130 TB an Daten, um hinter die Strukturen zu kommen.
• In den Anfangszeiten 2009 soll das Netzwerk für zwei Drittel aller weltweiten Phishing-Angriffe auf Online-Banking-Daten verantwortlich gewesen sein.
• Es gab 37 Durchsuchungen in sieben Ländern.