Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 44, views: 33.197 •

De FBI heeft samen met onder meer de Nederlandse politie een groot botnet ontmanteld, dat uit vier miljoen pc's zou hebben bestaan. De inmiddels opgepakte beheerders manipuleerden de dns-instellingen van ge´nfecteerde pc's.

MalwareDe FBI kreeg bij de opsporing hulp van het Team High Tech Crime van de Nederlandse politie. Wat de precieze rol van het KLPD bij de opsporing was, is onduidelijk. De vervalste dns-servers van de cybercriminelen zijn vervangen door legitieme dns-servers, waardoor geïnfecteerde pc's weer normaal verbinding met internet kunnen maken. Daarmee is de malware echter nog niet van iemands pc verwijderd, waarschuwt de FBI.

Het botnet, dat in Estland zou zijn gehost, werd gebruikt om miljoenen te verdienen, meldt de FBI. De malware die via het botnet werd verspreid, veranderde de dns-instellingen van slachtoffers om te verwijzen naar een malafide dns-server die door de botnetbeheerders was opgezet.

Daardoor konden websites die gebruikers bezochten worden gekaapt, bijvoorbeeld om eigen advertenties op een website te injecteren. De beheerders zouden op die manier minstens 14 miljoen dollar hebben buitgemaakt. Ook zorgde de malware er in sommige gevallen voor dat updates voor besturingssystemen en beveiligingssoftware niet konden worden geïnstalleerd.

De Estse politie heeft in samenwerking met de FBI zes verdachte botnetbeheerders opgepakt. Ze zouden het botnet in 2007 hebben opgezet en 4 miljoen pc's in 100 landen hebben besmet. In de Verenigde Staten waren een half miljoen pc's met de malware geïnfecteerd, waaronder computers bij overheidsinstellingen zoals het ruimte-agentschap NASA. Het lijkt er echter niet op dat de cybercriminelen met opzet bepaalde organisaties aanvielen.

Volgens beveiligingsbedrijf Trend Micro, dat bij de opsporing betrokken was, hadden de botnetbeheerders een forse infrastructuur achter de hand, van in totaal circa 100 servers. Achter het botnet zouden twee Estse bedrijven zitten, waarvan er een ook namaak-beveiligingssoftware - ook wel bekend als scareware - verspreidde.

Reacties (44)

Als ze toch de controle over die DNS servers hebben, is het dan niet even een kleine moeite om er een pagina op te zetten dat de slachtoffers de malware van hun PC moeten verwijderen?
Als ik heb goed heb begrepen werden niet DNS servers aangepast, maar DNS instellingen (localhost file?) op de pc van de besmette computers. :)
Het lijkt mij dat er toch nog wel een connectie was met een van de servers van het botnet. Kan via een dergelijke connectie geen waarschuwing gegeven worden dan? Of is dat dan weer illegaal (ook al is het goed bedoeld)?
Dan heb je het denk ik niet goed begrepen ;)
De malware die via het botnet werd verspreid, veranderde de dns-instellingen van slachtoffers om te verwijzen naar een malafide dns-server die door de botnetbeheerders was opgezet.
Wat jij bedoelt is dat niemand natuurlijk uit zichzelf jouw malafide DNS-server gaat gebruiken, dus moesten ze instellingen kapen om toch mensen naar hun DNS te leiden. De "echte" DNS-servers zijn dus niet aangepast, wel buiten spel gezet.
Het zou inderdaad niet zo heel moeilijk moeten zijn om een DNS server zo te configureren dat ie voor elke query hetzelfde IP-adres teruggeeft. Als je dan op dat IP een server draait die voor elke request dezelfde pagina (met daarop een waarschuwing en advies hoe je de malware kunt verwijderen) teruggeeft dan zul je inderdaad iedereen bereiken. Alleen...., als ze dan een Windows update / virusscanner / firewall / whatever proberen te downloaden... oeps, dan lukt dat niet, want die requests komen ook bij jouw speciale "waarschuwingsserver" uit.

Een mogelijke oplossing is om (net als de oorspronkelijke beheerders) pagina's on-the-fly aan te passen. Alleen in plaats van hun eigen advertenties plaats je dan een "advertentie" voor een waarschuwingspagina. Als opeens alle advertenties op het hele Internet hetzelfde zijn, dan zou het mensen vroeg of laat toch op moeten vallen en gaan ze een keertje kijken. Daar zijn echter ook een aantal problemen mee; je wilt liever niet de bestaande code daarvoor gebruiken (die is immers door criminelen geschreven, dus die vertrouw je niet), het van scratch ontwikkelen kost tijd en, hoe je het ook went of keert, je bent in principe pagina's aan het vervalsen, dat zou best nog wel eens illegaal kunnen zijn (ook al heb je de beste bedoelingen).

Een alternatieve oplossing is om simpelweg van alle requests naar die DNS-server de IPs te loggen en een keer in de zoveel tijd alle ISPs met besmette klanten een overzichtje van IPs (en time stamps) geven, zodat ze hun klanten persoonlijk kunnen waarschuwen. Dan zie je het verkeer naar die DNS-server vanzelf afnemen, dus je weet zelfs wanneer je klaar bent.
Als ze dat doen krijg je denk ik privacy issues - omdat de ISP eigenlijk niet mogen zien wat hun klanten doen.
Ehm => ISP's sluiten je pc soms al af als er virussen opzitten. Ze moeten wettelijk gezien je surfgedrag bijhouden. Ze houden data over je bij ...

Komt erbij dat het niet echt privacy issues zijn hÚ.
FBI weet niet wie achter elk ip adres zit, alleen de specifieke ISP weet dat, maar dat is informatie die ze sowieso al weten.
Een ISP zal je verbinding alleen afsluiten als er overlast veroorzaakt wordt vanaf jouw verbinding. Een virus dat continu spam/virus mails verstuurd = overlast.

Dat heeft niks te maken met het bijhouden van data.
Heeft niets met je isp te maken.

De malware zet andere dns instellingen op je pc. Deze verwijzen naar een dns server van de malware verspreiders.

Wat men idd kan doen is deze dns server alleen laten verwijzen naar software die er voor zorgt dat de malware verwijdert wordt van je pc. Tegelijk krijg je ook de mededeling dat er malware op je pc zit.

Probleem kan zijn dat dit dan weer op scareware kan lijken en dat scareware makers dit kopieren en zo eigen scareware pagina opzetten.
Precies :)
Ik heb er gedeeltelijk over heen gelezen.. waarschijnlijk werd alle verkeer (via de localhost file) doorgestuurd naar de malafide DNS server van deze lui.. scheelt ook weer een localhost file van honderden MBs ;)

Het is technisch gezien niet zo moeilijk om inderdaad alle requests door te sturen naar een waarschuwings pagina met wat informatie om te des betreffende malware van de besmette computer af te krijgen.. Zo voorkom je natuurlijk dat je op de besmette computers dingen gaat veranderen. Of het juridisch gezien haken en ogen heeft deze malafide DNS servers hiervoor in te zetten... (Arnoud waar ben je?!)
Als ik gewoon even simpel nadenk, zie ik niet in hoe dat illegaal kan zijn.

Ze passen de illegale dns server aan, en plaatsen daarop code die altijd een waarschuwingspagina zal weergeven. Die pagina toont dan gewoon een bericht als: "Indien u deze site niet zelf heeft bezocht door het invoeren van een url, dan maakte u onderdeel uit van het botnet dat onlangs door de FBI is neergehaald. Klik hier voor meer info en hoe de malware te verwijderen is".

De FBI hoeft hiervoor niks op jouw pc te wijzigen, dit is immers al gebeurd door de criminelen. Ze kunnen er ook voor kiezen om die dns server plat te gooien, maar dan maak je helemaal geen verbinding meer met internet toch?
Nog nooit een hotspot gebruikt ? Daar toont men ook een welkomsscherm waarna je na inloggen alsnog naar de site kan die je wilde bezoeken. Het is dus zonder problemen mogelijk om aan het begin van een sessie een waarschuwing te tonen. Of het wenselijk is en legaal issue een tweede.
Het grote probleem met het sturen van een berichtje naar de geinfecteerde PC met een mededeling dat hun PC's is besmet en dat ze een aantal stappen kunnen doen voor het verwijderen van de infectie, is dat dit net zo goed ook door malwareverspreiders kan worden toegepast; en we dus weer terug zijn bij scareware.

Ik geloof dat deze vorm van notificatie ook is toegepast na het oprollen van Bredolab: http://tweakers.net/nieuw...-botnet-uit-de-lucht.html. Dit was toen ook al een omstreden maatregel, al speelde toen ook een rol dat voor het geven van de notificatie daadwerkelijk op de geinfecteerde pc moest worden ingebroken (mbv de al voorgeinstalleerde malware) en dus niet helemaal legitiem zou kunnen zijn geweest. Wat dat betreft is het weergeven van een iets aangepaste website misschien minder onwettig.

Feit blijft dat als bekend wordt dat dit een veelvuldig toegepaste techniek van de politie is, dit de deur voor social engineers natuurlijk wagenwijd openzet
De KLPD heeft dat wel eens eerder gedaan, maar dat wordt niet zo gewaardeerd. Ziet eruit als een scam en politiediensten vinden het niet zo leuk als zij in bijvoorbeeld Duitsland ineens FBI- of KLPD-banners voorbij zien komen.
... politiediensten vinden het niet zo leuk als zij in bijvoorbeeld Duitsland ineens FBI- of KLPD-banners voorbij zien komen.
Die banners verschijnen alleen als je de malware op je PC hebt. Dus waarom zou dat een probleem zijn?
Omdat mensen over alles weten te zeiken. De KLPD heeft het inderdaad bij een eerder gedismantled botnet gedaan (ook omdat bij dat botnet het niet zeker was hoe snel beheerders weer controle erover konden krijgen iirc). En uiteraard zoals goede tweakers betaamde was een flink gedeelte aan het zeiken dat het privacy schending was om mensen erop te wijzen dat ze onderdeel van een botnet waren.


En ik zou echt willen dat ik hier aan het overdrijven was, maar kijk naar de gerelateerde content van dit artikel, bovenste is over de afhandeling van dat gevalletje: nieuws: 'Hacken botnetslachtoffers door KLPD was in strijd met privacy'

Komt er simpel gezegd op neer dat de KLPD de botnet servers heeft gebruikt om die mensen een bericht te tonen dat ze geinfecteerd zijn door een botnet. En niet alleen een studente die dan zegt dat het niet mag en om ÚÚn of andere reden daarmee in het nieuws komt, maar ook heel veel reacties eronder van mensen die het niet vinden kunnen dat je gewaarschuwd wordt dat er een botnet op je computer staat, want het is veel beter voor je privacy zolang je niet weet dat criminelen alles kunnen zien wat je op je computer doet.
Ik begrijp dat de pc's met de malware zelf niet veel gevaar hebben gelopen. Het zijn vooral de websites die inkomen hebben verloren door de vervangen reclame. Best slim! }>
De malware makers hebben zelf "op die manier minstens 14 miljoen dollar hebben buitgemaakt.".

Malware is gewoon business.


Dikke kans dat er een uitgebreid verhaal van Rik Fergusson op zijn blog verschijnt.
Staat al wat : http://countermeasures.tr...of-operation-ghost-click/

Wellicht dat de uitgebreide analyse nog gaat komen.

[Reactie gewijzigd door aZuL2001 op 9 november 2011 23:47]

Ik denk dat er nog wel een betere post komt. De huidige post is vrij nutteloos, want mijn DNS zou dan 192.168.1.1 zijn. Klopt wel, maar ik denk niet dat ik die DNS server hoef te controleren op de genoemde site. De DNS server die mijn router gebruikt is misschien een ander verhaal ;-).
Juist wel. Je router kan via dhcp je computer vertellen welke dns server beschikbaar is, maar als je dat op de computer aanpast gebruik je de instellingen van de computer en niet de router. De malware staat op de computer, niet de router en het is dus irrelevant wat je router instellingen zijn.
Een bot is natuurlijk geen virus (hoewel het zichzelf wel vaak kan verspeiden). Als een bot zijn eigen host zou kapot maken, dan heeft de botbeheerder natuurlijk weinig aan zo'n bot.

Een goede botbeheerder (zeker met 4 miljoen bots) zal er ook voor zorgen dat bots vooral pas aan het werk gaan als de PC voor een lange tijd idle staat te draaien en kan zelf de resources vrij laag houd. Zelfs als de bot zou worden gebruikt voor het versturen van spam, beperk je als je verstandig bent het aantal emails per bot tot laten we zeggen 2 tot 3 berichten per minuut. Dat lijkt weinig, maar als je paar honderd duizend bots inzet heb je het natuurlijk alsnog over flinke aantallen.

Daarbij worden de bots zelf ook steeds complexer. Konden ze vroeger alleen een vast aantal opdrachten uitvoeren, tegenwoordig halen bots geen opdrachten meer op, maar lijken ze steeds vaker code als addins uit te voeren.

Probeer je eens voor te stellen als je bijvoorbeeld alleen al op 4 miljoen pc's de adsense requests aanpast via een proxy server. Het enigste wat je dan hoeft te doen is het accountnummer te wijzigen en het geld komt vanzelf binnen. Ik denk dat uiteindelijk een aantal webmasters zijn gaan klagen bij Google dat zij opeens geen (of veel minder) views en kliks meer hebben. Het zou mij niet verbazen dat Google uiteindelijk de FBI heeft ingeschakeld en daarna het onderzoek heeft voortgezet..
2 tot 3 mails per minuut valt al veel te hard op bij providers, zeker als het over particuliere lijntjes gaat. 2 per minuut zou betekenen 120 per uur en 2880 per dag !! Die sturen hooguit een mailtje of 10 gemiddeld per dag en als je een botnet hebt van 4 miljoen, dan ben je al blij met 5 mails per bot = 200 miljoen per dag
?
Vijf mails per bot per dag is dan 20 miljoen, geen 200 miljoen.
Heel erg veel MKB bedrijven hebben ook gewoon een 'consumenten' internet abonnement en die kunnen aanzienlijk meer mails versturen dan een gewone internetter. De 'flood' protection bij de providers staat meestal op 5 SMTP connecties per minuut en de meeste kunnen slechts een beperkte periode (meestal laatste 10 tot 15 minuten) terug kijken..

Daarnaast zijn natuurlijk niet alle gebruikers van een provider geinfecteerd en is de kans op detectie vrij klein. Een goede botnet beheerder zal daarbij niet al z'n bots aan het spammen. Juist omdat bots tegenwoordig steeds beter worden gemanaged (onopvallend opereren) duurt het ook steeds langer voordat de bots worden opgemerkt.

Er zijn botnets welke jaren onopgemerkt hun gang kunnen gaan..
Ik weet dat de grootste provider van Nederland dus max 650 berichten / 2000 geadresseerden per 24 uur als limiet heeft voor een normale, niet ssl verbinding met de smtp server.
Hoewel ik het met je eens ben dat het, van de technische kant gezien, een erg slimme truc is, het blijft evengoed misdaad; ook de meest briljante bankroof blijft een bankroof.
Op zich kan ik best begrijpen dat je niet wilt dat je slachtoffers beveiligingsupdates installeren (dat vergroot de kans dat jouw malware gevonden en verwijderd wordt), maakt dat het voor andere malware (waaronder de echt smerige online-banking-sniffers en identiteitsfraude-troep) wel makkelijker om jouw slachtoffers ook te besmetten. Dus als je dacht "ach, niemand heeft er echt last van", think again (ook derf je inkomsten van de eigenlijke adverteerders, maar ik weet niet in hoeverre jij dat een goed argument vindt, vandaar deze benadering).
Ik ben eigenlijk wel jaloers.
Ik mag toch hopen dat je het niet zou doen als je het zou kunnen. Of zit je soms ook bij de maffia?
somige mensen maken alkaar dood voor 100.000 euro.
deze hebben 14 miljoen dollar buit gemaakt...
dan zou ik dit toch een stuk aantrekkelijker vinden.
+ ik ben wel geinstreseerd in beveileging / virusen /exploits enzo
altijd al geweest. ik zou dit toch wel eens willen doen / zien.

al is het maar een simulatie
Stukjes uit de bron wat de moeite waard is om te lezen:
When users of infected computers clicked on the link for the official website of iTunes, for example, they were instead taken to a website for a business unaffiliated with Apple Inc. that purported to sell Apple software. Not only did the cyber thieves make money from these schemes, they deprived legitimate website operators and advertisers of substantial revenue.
As part of a federal court order, the rogue DNS servers have been replaced with legitimate servers in the hopes that users who were infected will not have their Internet access disrupted.
Dit zijn geen kleine jongens. Naast de reclame inkomsten hebben ze op deze manier ook andere inkomsten weten te ontfutselen. Gezien de grote impact is dit een nette tijdelijk oplossing om de malafide dns servers te vervangen voor legale.
Hoe kunnen die gasten nou ooit zoveel geld verdienen?

4 miljoen pc's injecteren met ads en dan 14 miljoen binnenhalen, dan moet je toch heel lang bezig zijn?

Ik vraag me toch altijd af waar al die gebruikers vandaan komen? Geregeld zie ik berichten dat er zoveel computers zijn betrokken en dat er zoveel geld verdiend is, dat ik me altijd afvraag : Als die gebruikers een half jaar ge´nfecteerd zijn (extreem groffe eigen schatting nav het geld) wie is er dan niet ge´nfecteerd als ik volgende week weer zo'n bericht lees en de week daarna weer.
Het zal toch niet enkel maar om 1 gebruikersgroep gaan die 100 soorten malware tegelijk heeft draaien?
De FBI is 2 jaar bezig geweest met het onderzoek ( Operation Ghost Click ).
Het is duidelijk dat het om meerdere jaren gaat.
Amerikaans berekeningen moet je vaak met een korreltje zout nemen, maar volgens mij komt deze best wel aardig in de buurt.

Even narekenen met een hoop schattingen:
Laten we aannemen dat over die 4 jaar gemiddeld de helft van de PC's besmet was =
2 miljoen PC's * 4 jaar
Laten we zeggen dat elke PC 10 websites met elk 3 advertisements bezoekt per dag = 30 advertisements
Per advertisement tonen verdient het bedrijf 0.01 cent (heb ooit getallen gezien, orde van grote klopt ongeveer)

Dan hebben ze verdiend:
PC*dagen*advertenties*inkomsten_per_advertentie = 4*10^6*4*365*30*0.01=17 miljoen

Ik geef toe, een hoop aannames. Dus correct me where I'm wrong
4*10^9 --> 4*10^6 aangepast

[Reactie gewijzigd door Taghorn op 10 november 2011 11:29]

Moet het niet 4 * 10^6 zijn?
De vervalste dns-servers van de cybercriminelen zijn vervangen door legitieme dns-servers, waardoor ge´nfecteerde pc's weer normaal verbinding met internet kunnen maken.
Haha, heeft de FBI goed gedaan. Die hadden gewoon zelf een botnet nodig. Echt een knudde oplossing, daar leert dus geen mens wat van. Gewoon neerhalen die dingen. Van geen internet leren ze een stuk meer.
De integriteit van je website ligt ook aan diggelen zodra je reclamebanners toestaat die vanaf een andere server komen dan die van je eigen website. Je hebt er simpelweg geen enkele controle over.

Dus, om maar een voorbeeldje te noemen: de inhoud van banners op tweakers.net zouden ook alleen fysiek van de tweakers.net webserver mogen komen. Helemaal als het om (flash)ads gaat die geen vaste banner-afmetingen hebben. Zoiets van externe servers toestaan op je site is vragen om problemen.

[Reactie gewijzigd door kimborntobewild op 10 november 2011 05:48]

Dan ligt elke site hen integriteit aan diggelen sinds banners bestaan want banners komen van affiliate programma's.
De banners worden dus altijd(?) aangevraagd en geladen vanaf de server bij diegene waarvan de site affiliate is als je een site laadt.

Rechtsklik voor de gein eens op een banner en check de afbeelding-url of bekijk de broncode van een willekeurige site die banners toont inc. de "grote" namen.

Views leveren namelijk ook wat op en als niet op z'n minst de banner graphic met je affiliate id wordt geladen vanaf de server van het bedrijf waar je affiliate van bent weten zij niet hoeveel views de banner krijgt en wat je verdient hebt.

"Externe servers toestaan op je site" is overigens onzin uitkramen.
Hoe kun je een server op een site hebben/toestaan..?
Je kunt linken naar een of er spullen van embedden in je site (zoals banners)

Waarom zou iedereen alle graphics en code moeten kopiŰren van bv google's adsense en lokaal hosten als daarvoor al lang embed voor uitgevonden is.

Ga eens zoeken naar affiliate programma's alsof je zelf een webbeheerder of designer bent en lees je eens in over hoe het functioneert.

maw je zegt het is vragen om problemen maar al jaar en dag werkt het zo.
Overigens zou je suggestie helemaal niet helpen bij het geval uit het artikel.
Het artikel heeft niks te maken met het laden van banners van affiliates.
Ze passen je host file aan zodat als jij bv tweakers.net in je browser intikt je niet werkelijk bij tweakers.net aankomt maar op een site met hun banners, hier heeft tweakers.net helemaal geen invloed op.

[Reactie gewijzigd door Kaell op 10 november 2011 07:13]

Jammer dat je zo uit de hoogte doet en het dan nog steeds fout hebt. Er wordt namelijk in dit artikel niet gesproken over het aanpassen van je host-file maar over het aanpassen van je DNS server naar eentje die in beheer is van de malware-maker.

Dus je komt nog steeds op de site die je wou zien, maar alleen de reclame is anders dan wat de site-eigenaar voor ogen had omdat de url's naar de advertenties 'gekaapt' zijn en verwijzen naar reclame waar de malware-maker dan geld aan verdient.

kimborntobewild heeft zeker een punt. Het embedden van third-party dingen op je site heeft een zeker risico. Niet alleen in dit geval, maar ook in het geval wanneer de third-party gehackt wordt.

[Reactie gewijzigd door Ramon op 10 november 2011 08:20]

Stond de KLPD te controleren op snelheid zeker... :)
Gaat om deze range van IP-adressen:

64. 28.176.0 to 64. 28.191.255
67.210. 0.0 to 67.210. 15.255
77. 67. 83.0 to 77. 67. 83.255
85.255.112.0 to 85.255.127.255
93.188.160.0 to 93.188.167.255
213.109. 64.0 to 213.109. 79.255

Bron met uitleg van FBI: http://www.fbi.gov/news/s...1/DNS-changer-malware.pdf
Goed nieuws, niet de eerste keer dat de tech politie het nieuws haalt met zo'n soort zaak.

Op dit item kan niet meer gereageerd worden.



Populair: Tablets Nokia Samsung Smartphones Google Apple Sony Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013