Anzeige
Tech

Asmir_Cracker: Der Endgegner des BKA-Angriffs auf die Underground Economy

Was die Online-Historie in Foren für illegale Waren und Dienstleistungen über den Kopf hinter den vergangene Woche vom BKA abgeschalteten Plattformen verrät.

von Theresa Locker
01 März 2016, 12:28pm

Bild: Screenshot

Das BKA hat der Öffentlichkeit diese Woche eine der größten Aktionen gegen Cyberkriminalität präsentiert: Im Zuge der Operation „Trawler", die über ein Jahr andauerte und bei der auch mehrere europäische Behörden eingeschaltet wurden, ließ das Bundeskriminalamt europaweit 69 Hausdurchsuchungen durchführen. Der Hauptverdächtige Asmir M. wurde letztlich in Bosnien festgenommen. Er soll verschiedene Foren der „Underground Economy" betreiben haben, in denen kriminelle Dienstleistungen, Waffen und Drogen gehandelt wurden.

Doch was wissen wir eigentlich über den Kopf hinter dem Cybercrime-Komplex rund um die abgeschalteten Foren comlync.to, fato.me und faking.cc? Tatsächlich wurden bei einer Operation unter dem Codenamen „Kriptos" am 25. Februar in der Gegend um Zivinice in Bosnien zwei Akteure verhaftet, die im Zusammenhang mit den illegalen Foren stehen sollen. Bei den beiden Festgenommenen handelte es sich um den 27-jährigen Asmir M., geboren in Srbenica, und den 25-jährigen Kenad M. aus dem bosnischen Zivinice. Kenan M. wurde nach seiner Vernehmung wieder freigelassen und erwartet seinen Prozess; Asmir M. wurde in die Untersuchungshaft überführt. Bei seiner Festnahme waren auch Experten des BKA für Cyberkriminalität anwesend.

Asmir M. fühlte sich offenbar so sicher, dass er seinen Vornamen in seinem Usernamen asmir_cracker auftauchen ließ.

Beiden werden mehrere Vergehen zur Last gelegt; darunter Geldwäsche, organisiertes Verbrechen, Drogenhandel, Kreditkartenbetrug und Dokumentenfälschung. Im Rahmen des Zugriffs durchsuchte die Polizei sowie Spezialeinheiten einer serbischen Cybercrime-Ermittungseinheit in den vergangenen Tagen mehrere Garagen und Wohnungen, die von den beiden Verdächtigen genutzt wurden. Dabei stellten die Ermittler in den vergangenen Tagen größere Mengen Drogen sowie Computerequipment sicher.

Screen Shot 2016-03-01 at 11.40.06.JPG

Eine „Stellenausschreibung" für Anbieter illegaler Güter auf fato.me

Die sichergestellten USB-Sticks, Festplatten und Rechner wurden zur Analyse aufgearbeitet, „um die automatische Zerstörung und Verschlüsselung wichtiger Daten zu unterbinden", wie es in serbischen und bosnischen Polizeiberichten heißt. Die Bande war laut aktuellen Erkenntnissen in Deutschland, Bosnien-Herzegowina, Österreich und Schweiz tätig. Doch wie kam Asmir M. eigentlich dazu, deutschsprachige Foren für Kriminelle zu erstellen? „Der Beschuldigte aus Bosnien-Herzegowina hat in der Zeit von 1994 bis 2003 in Deutschland gelebt, daher der Bezug zu Deutschland", erklärte der Frankfurter Obersstaatsanwalt Alexander Bade gegenüber Motherboard.

In den drei mutmaßlich von Asmir M. administrierten, deutschsprachigen Foren hielten sich laut Schätzungen anderer Admins der abgeschalteten Seiten rund 7000 Mitglieder auf. Dabei fungierte Asmir M. als Moderator und Admisitrator—und fühlte sich selbst offenbar so sicher, dass er seinen Vornamen in seinem Usernamen asmir_cracker auftauchen ließ.

Ein Screenshot der Seite comlync.cc vom Januar 2016 via Wayback Machine | archive.org

Das Dienstleistungsspektrum in den Foren von Asmir M., deren Geschäftsmodell das BKA als „Underground Economy" bezeichnet, war breit gefächert: Viren, DDoS-Attacken, gestohlene Kreditkartendaten, Drogen, gehackte Accounts von Amazon bis Zalando sowie unzählige andere illegale Leistungen, mit denen es sich vermeintlich zum schnellen Geld kommen lässt.

Asmir bot seine Geschäfte und Projekte auch boardübergreifend im Internet in geschlossenen Foren an: „Willkommen zu asmir_crackers PayPal-Service", schrieb er zum Beispiel noch im Januar dieses Jahres in einem weiteren großen Forum der Underground Economy, in welchem er seit November 2013 registriert war.

Sein Angebot gefälschter Zahlungen, mit denen die Cyberkriminellen versuchten, PayPal-Konten leerzuräumen, bewarb er folgendermaßen: „PayPal Spendenzahlung halten im Schnitt am meisten, da es schwierig ist das die Zahlung storniert wird (da es als Spende gilt), bei normalen Zahlung beträgt der Durchschnitt 2-5 Tage." Mit „halten" ist die Zeit bis zur Stornierung der Zahlung gemeint, in welcher der Empfänger der Zahlung das Geld anderweitig ausgibt. Für eine solche „Dienstleistung" nahm er je nach Höhe der anfallenden Beträge zwischen 15 und 35 Prozent Kommission.

„Willkomen zu asmir_crackers PayPal-Service"

Um seine Boards am Laufen zu halten, funktionierte Asmir_cracker andere Boards zu Jobbörsen um und suchte sich dort Mitstreiter. Dafür schrieb er in den vergangenen 18 Monaten Jobs als Designer, Moderator und Vendor (also Anbieter für illegale Dienstleistungen und Waren) für das Personal seiner Foren aus.

Die in den Boards gehandelten kriminellen Services wurden auf Kommissionsbasis angeboten. Asmir M. diente als Vermittler, der als Drittpartei dafür sorgte, dass der Job (z.B. das Infizieren eines fremden Computers) auch tatsächlich vom Anbieter dieser Dienstleistung erledigt wurde. Dafür erhielt er einen Prozentsatz der „Gebühr" für den Auftrag.

Eine Stellenausschreibung für fato.me

Doch das war nicht Amir M.s einzige Einnahmequelle: Nicht nur waren die von ihm betriebenen Foren Invite-Only, also einladungsbasiert, sondern auch zahlungspflichtig. Die Einrichtung eines Accounts kostete einmalig 15 Euro auf comlync.cc, „danach wird ein monatlicher Beitrag von 15 Euro fällig", wie er selbst in einem weiteren Forum der Underground-Ecomony erklärte.

Nicht jeder war damit einverstanden; viele Bordmitglieder sahen nicht ein, für ihren Handel auf den Foren noch regelmäßig Geld an den Forumsbetreiber zahlen zu müssen—vor allem, weil der Betreiber sein letztes Board faking.cc trotz regelmäßiger Einnahmen an einen Mitstreiter verkauft habe und viele aktive Mitglieder sich auf den Gratis-Foren herumtreiben würden. „Bei deiner letzten Seite hast du ganz schön eingesammelt", meint einer, „und jetzt willst du, dass wir uns einfach wieder bei deinem neuen Projekt registrieren?"

Die Domain faking.cc, die die BKA-Ermittler ebenfalls abgeschaltet hatten, ist übrigens bereits wieder aufrufbar und zeigt russische Inhalte. „Die Seite "faking.cc", die momentan aufrufbar ist, hat mit der ursprünglichen Seite, gegen die sich die hiesigen Ermittlungen richten, nichts zu tun", schreibt uns die Generalstaatsanwaltschaft in Frankfurt. „Offensichtlich wurde die Domain neu vergeben."