Untergrundforum XSS: Admin verhaftet, Nutzer fürchten Beschlagnahmung

Im internationalen Kampf gegen Cyberkriminalität ist den französischen und ukrainischen Behörden offenbar ein weiterer Coup gelungen. Koordiniert durch Europol, verhafteten Beamte des SBU (Служба безпеки України, Inlandsgeheimdienst der Ukraine) und der französischen Polizei einen Mann in Kyjiw. Er habe eine Schlüsselrolle beim Betrieb des Untergrundforums XSS gespielt und über Jahre mehr als sieben Millionen Euro damit verdient, sagen die Behörden.

Der Hauptverdächtige habe nicht nur die technische Plattform verwaltet, sondern kriminelle Geschäfte ermöglicht, lautet der Vorwurf. Er habe als vertrauenswürdiger Dritter („Escrow“) Transaktionen abgesichert und Meinungsverschiedenheiten zwischen Cyberganoven geschlichtet. Für diese sogenannte Arbitrage gibt es bei XSS ein eigenes Unterforum. Durch Provisionen und Werbeeinnahmen habe er mehr als sieben Millionen Euro Umsatz erwirtschaftet.

Das Forum existiert seit mehr als 20 Jahren und wurde 2004 unter dem Namen DaMaGeLaB gegründet – der nun Festgenommene soll fast ebenso lange Verbindungen zu Cyberkriminellen gepflegt haben. Bei XSS gingen prominente Namen ein und aus – etwa der Kopf hinter der Lockbit-Ransomware, von Ermittlern als der Russe Dmitry K. identifiziert. Oder „Lumma“, der oder die Erfinder der gleichnamigen Infostealer-Malware. Beide haben derzeit Hausverbot bei XSS und Ärger mit internationalen Ermittlungsbehörden.

Forum offline – oder auch nicht

Kurz nach Bekanntgabe der Verhaftung schien es, als sei auch das Forum nebst aller Nutzerdaten den Ermittlern in die Hände gefallen: Auf der Domain „xss.is“ prangt das für derlei digitale Razzien übliche Banner der beteiligten Ermittlungsbehörden. Auch die über das Tor-Netzwerk erreichbare Onion-Adresse von XSS war am 23. Juli offline, ist mittlerweile jedoch wieder erreichbar. Im Forum herrscht jedoch Misstrauen: Viele Nutzer gehen davon aus, dass Europol die Administration übernommen hat und für eine Weile mitliest, um die Ermittlung voranzutreiben.

Für diese Vermutung spricht auch, dass zunächst mehrere Warnmeldungen, die auf die Verhaftung hinwiesen, durch Moderatoren gelöscht wurden, während der Forumsadministrator seit dem 22. Juli nicht mehr aktiv war. Und auch ein weiteres Untergrundforum mit dem symptomatischen Namen „Exploit“ ist seit dem gestrigen Mittwoch nicht erreichbar, was die Unruhe im Untergrund weiter verstärkt.

Nutzer erstellen Backups

„Alle wurden auf einmal verhaftet“, wird ein angeblicher Zeuge der Aktion in einem anderen Darknet-Forum zitiert. Es seien nicht nur der Haupt-Administrator von XSS, sondern auch Moderatoren sowie der Hoster und Backbone-Provider festgenommen worden – eine Behauptung, die der offiziellen Stellungnahme von Europol widerspricht. Dennoch mehren sich die Stimmen, die das Ende einer Ära gekommen sehen. Und so verabschieden die einen sich emotional von ihrer digitalen Heimat im Untergrund, während andere Nutzer pragmatisch vorgehen.

Gleich mehrere Teilnehmer haben offenbar mittlerweile Sicherheitskopien des Forums und aller Diskussionsfäden angefertigt, um sie über die befürchtete Abschaltung hinwegzuretten. Das mag für den Großteil der kriminellen Aktivitäten auf XSS überflüssig anmuten – wer will Streitigkeiten zwischen Ransomware-Gangstern über Provisionszahlungen für die Nachwelt aufbewahren? Doch in einigen Bereichen war XSS durchaus interessant zu lesen: Die Analysen neuer Malware-Varianten durch Forumsteilnehmer bewegten sich bisweilen auf hohem technischem Niveau.

Doch derlei Forumsperlen wiegen nicht auf, dass XSS in den vergangenen Jahren als Treffpunkt für Kriminelle diente, die dort Kontakte und Allianzen anbahnten und gemeinsam nach Wegen suchten, aus ihren Opfern mit Malware, Erpressung und anderen Mitteln den maximalen Ertrag herauszupressen.

(cku)