SSL-certificaat van Xolphin Powered by Cloud VPS - High Availability Cloud Servers Steun Nucia, doneer!
Resultaten 1 tot 1 van de 1
  1. #1


    Technische vaardigheid
    5. Expert
    Firewall
    Berichten
    3.040

    Brein achter het Bredolab-netwerk (botnet) met het Bredolab virus aangehouden

    <br>
    27-jarige ArmeniŽr, eigenaar van het Bredolab bot-netwerk aangehouden
    Op verzoek van de Landelijke Recherche is vannacht op het internationale vliegveld van Jerevan (hoofdstad van ArmeniŽ) een 27-jarige ArmeniŽr aangehouden die het brein is achter het beruchte Bredolab netwerk. Wekenlang werd geprobeerd om de eigenaar van het botnet te arresteren aangezien gevreesd werd dat deze een nieuw botnet zou oprichten, omdat zijn huidige netwerk door de Nationale Recherche werd ontmanteld, of deze zou proberen te herroveren. Toen de ArmeniŽr probeerde via een laptop in de stad Moskou de controle over zijn netwerk terug te krijgen, dat langzaam aan werd over genomen door de Nederlandse Politie, werd samenwerking gezocht met de Russische politie. Nadat hij een vlucht van Moskou terug naar ArmeniŽ nam werd hij aldaar aangehouden door de Armeense autoriteiten.

    Hij wordt zeer waarschijnlijk uitgeleverd aan Nederland, aangezien hier om zijn arrestatie is gevraagd. De politie is erg benieuwd naar de handlangers van de man en de kopers van delen van het botnet of verkregen persoonlijke gegevens zoals bank inlogcodes en creditcardnummers. En met name ook de organisatie die er mogelijk achter zit, hierbij moet gedacht worden aan Hackgroepen die zeer waarschijnlijk aangestuurd worden door de Russische Maffia, die zich steeds vaker bezig houdt met criminele praktijken op het internet.

    Update 1: 29 Oktober 2010 - De 27-jarige ArmeniŽr, de beheerder van het botnet, wordt volgens internationale verdragen uitgeleverd aan Nederland. Volgens Wim de Bruin, woordvoerder van het Landelijk Parket kan hij 4 tot 6 jaar celstraf krijgen. Onder andere voor het hacken van computers, het opzetten en beheren van een botnet, het doorverkopen van persoonsgegevens, het uitvoeren van een DDoS aanval op de Nationale Recherche en het witwassen van geld. Arrestaties van mogelijke zakelijke partners van de computercrimineel worden niet uitgesloten.

    Update 2: 30 Oktober 2010 - Het criminele botnet: computernetwerk Bredolab is nog steeds actief en zeker niet uitgeroeid. Het Openbaar Ministerie heeft bevestigd dat, wat beveiligingsexperts al langer meldden, het netwerk nog steeds slachtoffers maak via buitenlandse servers in onder meer Rusland en Kazachstan. De politie is op dit moment bezig om ook deze servers offline te halen. Via onder meer het domein upload-good.net probeert het botnet slachtoffers een nep Anti Virus product te laten downloaden. Een ander domein: lodfewpleaser.com geeft de geinfecteerde computers opdracht om spam te versturen. Een derde domein: proobizz.cc zou inmiddels offline zijn.

    Update 3: 1 November 2010 - De beheerder van het botnet zou naar schatting van het OM 100.000 euro per maand verdienen met het verhuren van delen van het botnet voor spam en andere criminele activiteiten. De Nationale Recherche probeerde eerst het brein te arresteren op Schiphol, maar de ArmeniŽr koos er voor om deze vlucht niet te nemen en in plaats daarvan naar zijn thuisland te vliegen. Hierdoor loopt de uitlevering vertraging op. Ondertussen ontstaat er ophef over de manier waarop de Politie gebruikers inlicht over hun besmetting. Bits of Freedom (een organisatie die opkomt voor privacy van internet gebruikers) hekelt de methode en vindt dat de Politie als het ware bij je thuis inbreekt om het slot te repareren. Men vraagt zich af of dit 'terug hacken' juridisch mogelijk is. Lees meer hierover onderaan dit bericht. Ondertussen hebben andere criminelen delen van het botnet overgenomen. Mogelijk dat de beheerder van het botnet de bui al voelde hangen en zijn broncode (waarmee het botnet bestuurd kan worden) heeft doorverkocht.

    Update 4: 12 November 2010 - De politie zou het aantal geinfecteerde computers verkeerd hebben ingeschat. Mogelijk zijn dit er geen 30 miljoen maar 'slechts' 3 miljoen. Michel van Eeten, hoogleraar bestuurskunde aan de faculteit Techniek, Bestuur & Management van de Technische Universiteit (TU) Delft, zegt: 'Het is 'begrijpelijk' dat de Nederlandse politie haar succes 'opblaast'. 'Snelle en zichtbare overwinningen trekken de aandacht van politici en daarmee budget.' Door het ontmantelen van het botnet werden enkel de servers die opdracht gaven aan de geinfecteerde computers (Command and Control servers genoemd) onschadelijk gemaakt. De nietsvermoedende computergebruikers waren nog steeds geinfecteerd. Doordat slechts de opdrachtgevers van het netwerk waren ontmanteld kon het netwerk weer snel worden overgenomen door andere criminelen. Volgens Van Eeten is deze gang van zaken gebruikelijk bij de bestrijding van botnets: 'Het is net als het arresteren van een drugsdealer. Als je de infrastructuur niet succesvol aanpakt, wordt hij gewoon vervangen door een nieuwe.'


    Botnet maakt gebruik van servers gehost bij hostingbedrijf Leaseweb
    Het grootste gedeelte van het botnetwerk, dat werd gebruikt om wereldwijd virussen en spam te verspreiden, is maandagmiddag door het Team High Tech Crime van de Nationale Recherche neergehaald. Het bot netwerk werd bestuurd met behulp van servers bij onder andere het hosting bedrijf Leaseweb in Haarlem. Omdat deze zich in Nederland bevindt richtte de Nationale Recherche een werkplek op bij het Hosting bedrijf om zo het netwerk neer te halen en te zuiveren. Onduidelijk is precies of de ArmeniŽr de huurder was van de servers (of een van zijn stromannen), of dat hij deze geinfecteerd had. De servers zelf waren in bezit van een klant van Leaseweb, die deze heeft door verhuurd. Alle servers van de klant zijn offline gehaald en de politie beslist wat er gaat gebeuren met deze buitenlandse server huurder. Begin Augustus kwam Leaseweb op het spoor van het botnet, maar op verzoek van de Nationale Recherche werd gewacht met het neerhalen van dit botnet.

    Het High Tech Crime team heeft daardoor de gelegenheid gekregen om de werking van het botnet langs te gaan om deze zo over te kunnen nemen en om de organisatie er achter te kunnen opsporen. Het verwijderen van een botnet is zeer lastig en vergt veel kennis. De bedoeling is dat dit in een keer gebeurd, anders is de kans groot dat alle computers door een 'vergeten' server weer terug worden gekaapt. Het hoofd beveiliging van het host bedrijf, Alex de Joode, stelt dat het netwerk, dat leiding gaf aan 30 miljoen computers, zich op de servers kon bevinden door op zeer knappe wijze 'onder de radar' te blijven. Leaseweb is een van grootste hosting bedrijven in Europa.


    Het Bot-netwerk

    Het botnetwerk maakte gebruik van het virus, een zogenoemd Trojaans paard, Bredolab. Bredolab nestelt zich stiekem op computers en zet de deur open voor het downloaden van nog meer schadelijke software. Via het virus worden verschillende kwaadaardige software op computers geÔnstalleerd en wordt de computer bestuurd door de eigenaar van het botnet. Het Bredolab virus (worm) komt mee als bijlage van een e-mail of installeert zich automatisch na het bezoeken van geÔnfecteerde websites. Het virus werd onder meer ongewild verspreid door gebruikers van Facebook en MySpace. Het Openbaar Ministerie meldt dat eind vorig jaar er dagelijks ongeveer 3,6 miljard e-mailberichten met bijlages van het Bredolab virus in omloop waren.

    Met het botnetwerk (netwerk van zogenaamde 'zombie' computers), de ArmeniŽr had immers de volledige controle over de besmette computers, werden instellingen van het systeem worden gewijzigd. Ook werden wachtwoorden en financiŽle gegevens gestolen en vervolgens doorverkocht en misbruikt. De geinfecteerde computers werden bestuurd door grote servers, die miljoenen computers tegelijk opdrachten verstuurde. Op zijn hoogte punt bestond het Bredolab netwerk uit 30 miljoen geinfecteerde computers. Criminele organisaties konden delen van het botnet 'bestellen' bij de ArmeniŽr om hiermee aanvallen op websites te organiseren, spam of malware(virussen) te versturen en om informatie zoals bank inlogcodes en wachtwoorden te achterhalen.

    De servers die leiding (opdrachten) gaven aan al deze geinfecteerde computers zijn door de politie vrijwel allen onschadelijk gemaakt waarna het grootste gedeelte van de geinfecteerde computers onder controle kwamen te staan van de Nederlandse Politie.


    Bron: malwarecity.com


    Eigenaar probeert controle terug te krijgen over het Netwerk en voert een DDoS aanval uit
    Tijdens het neerhalen van het Bredolab netwerk bij de Nederlandse hosting provider Leaseweb (waar zich 143 van deze grote servers bevonden), heeft de verdachte gistermiddag verschillende pogingen gedaan om de controle over het botnet terug te krijgen. Hij slaagde hierin voor een deel. Na het 'veroveren' van enkele servers deed hij een massale aanval met de meer dan 200.000 besmette computers, die hij met de verovering van de servers had bemachtigd, op het systeem van de hosting provider Leaseweb. Hier had het politieteam zich, met volledige medewerking van het hostingbedrijf, gevestigd om het botnetwerk neer te halen. Zo lag het netwerk tijdens deze 'internet oorlog' een moment plat, maar kon de politie deze weer snel opstarten omdat het op een dergelijke aanval gerekend had. Deze zogenoemde DDoS aanval (massale aanval met de bedoeling het hosting bedrijf plat te leggen, lees: het internet plaatselijk te overbelasten) kon namelijk worden beŽindigd doordat in Parijs de drie computerservers die de verdachte bij deze aanval inzette, werden afgesloten van het internet.

    De nationale recherche werkte in het onderzoek samen met het Nederlands Forensisch Instituut, het IT-beveiligingsbedrijf Fox IT en Govcert.nl, het computer emergency responseteam van de overheid. Zij sturen de gebruikers van de geÔnfecteerde computers een bericht, op dezelfde manier als de eigenaar van het botnet opdrachten verstuurde, en stellen hen op de hoogte van de infectie en geven advies over de verwijdering van het virus.

    Inmiddels zijn meer dan 125.000 computergebruikers gewaarschuwd dat hun computer deel uitmaakte van het botnet. Het Team High Tech Crime heeft via internet reeds 55 aangiftes gekregen van gedupeerde computergebruikers.
    De waarschuwing opent zich automatisch als een internet website indien de computer geinfecteerd is. De waarschuwings website is hier te bezoeken

    Update 30 oktober 2010: - Inmiddels zijn 250.000 computergebruikers gewaarschuwd en zijn er 70 aangiftes gedaan.

    Update 12 November 2010: - De waarschuwingswebsite voor geinfecteerde gebruikers van het Bredolab botnet is inmiddels veranderd van het Team High Tech Crime van de Nationale Recherche, naar de officiele waarschuwingsdienst website. Mogelijk na kritiek geuit door beveiligingsexperts, rechtsgeleerden en belangenorganistaties die de manier van het 'terug hacken', het duidelijk maken van de infectie aan de geinfecteerde gebruikers, onrechtmatig vonden. De nieuwe (huidige) waarschuwing is hier te bezoeken. De oude (inmiddels offline) is hier te bezoeken. De oorspronkelijke melding is ook hieronder te zien:
    Bijlage 8603


    Team High Tech Crime van de Nationale Recherche helpt andermaal de gemeenschap door het desinfecteren van geinfecteerde computers in het bot netwerk
    Het is overigens niet de eerste keer dat het Team High Tech Crime van de Nationale Recherche een botnet (zombie netwerk) onschadelijk maakt. Het Korps landelijke politiediensten (KLPD) deed dit eind 2008 ook al eens. Hierbij werd een 19-jarige Nederlandse hacker en beheerder van een botnet gearresteerd door de Nederlandse Politie samen met een Braziliaanse crimineel toen zij het botnetwerk aan elkaar wilden verkopen. De Braziliaan werd vervolgens uitgeleverd aan Amerika op verzoek van de FBI, die achter het bestaan van het bot net was gekomen. Bij dit geval gebruikte de Nationale Recherche voor het eerst de methode om de geinfecteerde computers in het bot netwerk te desinfecteren. De Nederlandse politie waarschuwde als eerste in de wereld slachtoffers van een botnet. Zij werden doorgeleid naar een speciale pagina met instructies. Nucia.eu berichtte hier al eerder over: http://www.nucia.eu/forum/showthread.php?t=39812

    Het gebruik van een veroverd botnet om de gebruikers op de hoogte te stellen van de infectie is omstreden. Tegenstanders menen dat malwaremakers enkel een nep site hoeven te maken met het logo van de KLPD erop, deze te versturen als spam of te openen zodra iemand een geinfecteerde website bezoekt, om zo de nietsvermoedende gebruiker te infecteren met malware.



    Indien u vermoedt dat uw computer ook geinfecteerd is, of u wilt hierover zekerheid, raden wij aan het volgende stappenplan te doorlopen: http://www.nucia.eu/forum/showthread.php?t=40734

    Wij bieden graag hulp bij het schoonmaken (virus vrij maken) van uw computer.



    - Bovenstaande tekst is onderdeel van de Stichting Nucia en mag niet zonder toestemming gekopieŽrd of overgenomen worden. Linken naar dit nieuws artikel is toegestaan mits Nucia hierbij expliciet wordt vermeld. Klik hier voor meer informatie.
    Laatst gewijzigd door Tjibbe; 19-12-10 om 12:41.

Labels voor dit Bericht

Forum Rechten

  • Je mag geen nieuwe onderwerpen plaatsen
  • Je mag geen reacties plaatsen
  • Je mag geen bijlagen toevoegen
  • Je mag jouw berichten niet wijzigen
  •