Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 20, views: 19.877 •

Cybercriminelen die honderdduizenden systemen in Nederland en Duitsland konden aansturen via het Pobelka-botnet, waren niet alleen inlogdata aan het inzamelen, maar ook informatie over de structuur van interne netwerken. Deze informatie kan ingezet worden voor vervolgaanvallen.

Dat concluderen SurfRight en Digital Investigation in een onderzoek naar het Citadel-malwareplatform en het Pobelka-botnet dat gebruik maakt van Citadel. Aanleiding voor de research naar de schadelijke software was een malware-aanval via de website van De Telegraaf. De onderzoekers kwamen al snel uit op een command-and-control-server die verder is onderzocht. Daaruit bleek dat het Pobelka-botnet meer dan 264.000 zombies telde die vooral in Nederland en Duitsland waren te vinden. Niet alleen computers van bedrijven waren veelal onopgemerkt besmet geraakt, maar ook veel overheidssystemen.

Uit een analyse van gestolen data bleek dat de aanvallers met buitgemaakte inloggegevens op webpagina's van onder andere uitgevers konden inloggen om zo kwaadaardige code die naar malware verwees te kunnen plaatsen. Er werden onder andere logingegevens aangetroffen voor systemen van De Telegraaf. Ook via de sites van Weeronline.nl en RTV West werd de afgelopen maanden malware verspreid. Verder werd op de command-and-control-server configuratiedata aangetroffen om geld te stelen bij drie Nederlandse banken: ING, ABN Amro en ASN Bank.

Volgens Surfright en Digital Investigation had het Pobelka-botnet niet alleen koppelingen met de Dorifel-malware, een virus dat onder andere bij de overheid voor problemen zorgde, maar de criminelen zouden het botnet ook gebruikt hebben om interne netwerken en alle aangesloten apparatuur in kaart te brengen. Deze informatie zou doorverkocht kunnen zijn aan derden, bijvoorbeeld schurkenstaten, zo stellen de schrijvers van het onderzoek. Concreet bewijs wordt daarvoor echter niet aangedragen.

De Citadel-malware, een compleet malwareplatform dat voor enkele duizenden dollar op de zwarte markt te koop is en van professionele support voorzien kan worden, blijkt vernuftig in elkaar te steken. De malware kan zich goed verstoppen voor vrijwel alle gangbare antivirussoftware en het weet zich in alle bekende browsers te nestelen. Dat cybercriminelen met het op Citadel gebaseerde Pobelka-botnet zo gericht, ongemerkt en op grote schaal in Nederland konden opereren, is volgens de onderzoekers dan ook te danken aan de geraffineerde en professionele wijze waarop de Citadel-malware is opgebouwd.

Reacties (20)

site met wat info en scan/fix linkjes hier

op 'am i infected' kun je ook (automatisch) kijken of je in de database met affected hosts staat.

ik heb verder niets met die site te maken

[Reactie gewijzigd door SilentStorm op 24 december 2012 08:22]

Een ernstige zaak die duidelijk laat zien dat criminele organisaties vrijwel geen hinder zullen ondervinden van zaken zoals nationale firewalls. De vraag is natuurlijk hoe ver we achter lopen. Nu Citadel open en bloot onder de loep ligt zal naar alle waarschijnlijkheid deze software niet meer waardevol zijn op de zwarte markt. Er zal dus een nieuwe variant moeten worden ontwikkeld, als deze er natuurlijk niet is.

Hoe beveilig je anno 2012 en 2013 nog je netwerk voor zulke aanvallen? Je zult altijd wel een koppeling hebben tussen je online domein en je lokale domein en je zult altijd wel onbekende lekken hebben en users of admins die lak aan de regels hebben. Ik denk dat het kwalijker is dat het zo lang duurde voordat er een respons kwam die aduquaat was.

Dorifel werd snel opgemerkt, maar niet snel genoeg en de dreiging werd te lang gezien als marginaal. Nederlandse en Europese anti-cyberterreur eenheden moeten sneller dergelijke bedreigingen kunnen onderzoeken imo en daar liggen wij nog op achter ten opozichte van bijvoorbeeld de VS en China.
Waar veiligheid echt cruciaal is, wordt nog wel eens een scheiding gemaakt tussen de fysieke netwerken: dus een waar gewerkt wordt met de 'belangrijke systemen' en een apart netwerk (en ook aparte fysieke computers) voor werkzaamheden die internet vereisen.

Dit vergt natuurlijk nog steeds een hoop discipline met usb sticks en technisch bekwaam personeel dat hun werk 'makkelijker' probeert te maken.

--

Onder iets normalere werkomstandigheden: blijven updaten en hopen dat die <1% die er door komt je niet opbreekt, door er snel op in te spelen?

Een goede systeembeheerder heeft hier vast een beter antwoord op :P
Onder iets normalere werkomstandigheden: blijven updaten en hopen dat die <1% die er door komt je niet opbreekt, door er snel op in te spelen?
"Defense in depth."

Dus niet alleen vertrouwen op je verdediging ten opzichte van de buitenkant (of dat nou internet of kantoor-netwerk betreft), maar bijvoorbeeld ook ervoor zorgen dat je back-end servers naar elkaar toe gefirewalled zijn.

Niet alleen verkeer dat over het publieke internet gaat voorzien van SSL-encryptie, maar ook zo veel mogelijk van je interne verbindingen.

Wat je wilt voorkomen is dat een bad guy door je buitenste laag heenkomt en daarna vrij spel heeft. Denk eens vanuit beveiligingsperspectief: hoeveel schade kan een vertrouwd systeem aanrichten? Hoe kan ik dat zoveel mogelijk beperken, zonder functionaliteit te schaden?

Een ander aspect is dat het zou helpen als 'de business' veiligheid als onderdeel van functionaliteit gaat waarderen. Op dit moment wordt dienstonderbreking, bijvoorbeeld door patching, als verstorend ervaren. Mijns insziens zou 'de business' al bij het moment van het opstellen van de SLA juist sterke eisen op veiligheidsgebied moeten neerleggen.

Op dit moment krijgt IT vaak de zwarte piet toegespeeld in geval van beveiligingslekken. Toch ontbreekt het item security in heel veel SLA's. Tsja.

[Reactie gewijzigd door Keypunchie op 24 december 2012 09:01]

Bij een hoop kleinere bedrijven wordt security gezien als een kostenpost, daar is men al blij met een echte firewall aan de buitenkant, De servers onderling staan 100% open.
Ik ben dan ook een voorstander van "security by design".
Knoop inderdaad niet alles als een blinde aan elkaar omdat het wel makkelijk is,
Keypunchie heeft 200% gelijk.
de meeste aanvallen komen van binnen uit en niet meer van buiten.
Iemand neemt zijn laptop mee naar huis, "werkt" daar op zijn laptop, en de volgende dag hangt deze weer aan het interne netwerk!
Om te controleren of mijn PC deel uitmaakt van het Pobelka-botnet heb ik de link die al genoemd is gebruikt::

http://check.botnet.nu/

Echter werkt dit alleen wanneer het IP adres niet gewijzigd is. Weet iemand een andere manier om een controle te doen, die ook werkt bij een gewijzigd IP adres?

[Reactie gewijzigd door Bilbo.Balings op 24 december 2012 09:33]

Niet via die site natuurlijk. Anders zou een botnetbeheerder zijn voorraad ip-adressen kunnen laten controleren op ontdekking.
"...zou een botnetbeheerder zijn voorraad ip-adressen kunnen laten controleren op ontdekking. "
Waarom zou dat niet kunnen?
Ik zou zeggen als je er niet in staat met je huidige ip nr dan wordt ook niet meer gevolgd. Tenzij er nog steeds malware actief is die naar een backup C&C server staat te transmitten.
ICT onderzoeksjournalist Brenno de Winter bracht een bezoek aan Digital Investigation en kreeg persoonlijk te zien welke data is buitgemaakt:
  • de indeling van het netwerk van een grote multinational;
  • lopende zaken van een gerenommeerd advocatenkantoor en komende rechtszaken die de verweerder waarschijnlijk nog niet eens kent;
  • productontwikkeling van een technologisch hoogstaand bedrijf;
  • de productiviteit van een ambtenaar die zijn dag vooral op Facebook besteedt;
  • welke medewerker op een ministerie precies aan welke kamervragen werkt;
  • welke software precies op welke computer staat;
  • hoe de politie precies haar werk doet in een zaak;
  • de informatie die op diverse redacties circuleert;
  • welke medewerkers in een ziekenhuis welke verslagen schrijven.
Heeft u al een rus in uw computer?
http://www.hpdetijd.nl/20...l-een-rus-in-uw-computer/
apart, hoe komt zo'n virus op jouw als je alles up to date houdt? Hoe? Moeten we allemaal een speciale opleiding gaan volgen over ict om onze eigen pc te beveiligen? En dat bijna geen gangbare antivirus dit kan onderscheppe? Wel zorgelijk!!
apart, hoe komt zo'n virus op jouw als je alles up to date houdt? Hoe?
Door nog niet eerder ontdekte lekken in software die je draait. Over het algemeen is dat vanwege de fragmentatie van software pakketten die door personen en bedrijven gebruikt wordt niet zo'n probleem. Je hebt dan als hacker simpelweg een te kleine doelgroep om op in te breken om het de moeite waard te maken.
Echter is er ook software die door heel grote groepen gebruikt wordt: Flash, Adobe Reader, Java, Internet Explorer, Firefox, Chrome, etc. etc. Ook deze bevatten hier en daar uit te buiten zwakheden en allemaal praten ze direct (of vrijwel direct) met de grote boze buitenwereld van het internet. Met de grote aandacht die vanuit hackers vooral naar Flash en Java uit gaan is het de laatste tijd dweilen met de kraan open op dat gebied. Heb je één exploit gepatcht, zijn er alweer twee nieuwe door hackers ontwikkeld...
Moeten we allemaal een speciale opleiding gaan volgen over ict om onze eigen pc te beveiligen?
Het zou al een heel eind helpen als burgers een soort van 'internet brevet' dienen te bemachtigen, zoiets als een digitaal rijbewijs, alvorens ze een privé internetaansluiting kunnen aanvragen. Op die manier heeft men in elk geval de kennis van een aantal elementaire zaken overgedragen gekregen: niet zomaar overal 'ja' op klikken, de browser en haar addons en plugins up-to-date te houden, niet met een administrator account gaan browsen, etc.
En dat bijna geen gangbare antivirus dit kan onderscheppe? Wel zorgelijk!!
Een anti-virus programma is de laatste verdedigingslinie. Je moet er nooit compleet op vertrouwen, juist omdat het niet perfect is (en nooit perfect kan zijn).

[Reactie gewijzigd door R4gnax op 24 december 2012 11:35]

er wordt zoveel gehamerd op het voorkomen dat een virus binnen komt (is oke, anti-virus sw, firewall) , maar ik ga ervan uit dat een nieuw virus WEL binnen kan komen.

Helaas is de standaard Windows firewall alleen ingericht om binnenkomend verkeer te onderscheppen maar niet uitgaand. Het programmeren van deze firewall-rules is voor de meeste gebruikers te ingewikkeld, daarom vertrouw ik op een goede, eenvoudige firewall die applications en hun gedrag (port / destination) eenvoudig laat programmeren en by-default alle niet gedefinieerd verkeer disabled.

Ik sta iedere keer verbaasd dat bekende programma's internet op willen zonder enige duidelijke reden. Als deze programma's elke toegang ontzegt wordt werken ze desondanks "normaal".
Helaas is de standaard Windows firewall alleen ingericht om binnenkomend verkeer te onderscheppen maar niet uitgaand. Het programmeren van deze firewall-rules is voor de meeste gebruikers te ingewikkeld, daarom vertrouw ik op een goede, eenvoudige firewall die applications en hun gedrag (port / destination) eenvoudig laat programmeren en by-default alle niet gedefinieerd verkeer disabled.
Het haalt minder uit dan je zou denken. Een software firewall draait in je OS en zal hoogstens verbindingen tegenhouden die via de normale weg opgebouwd worden. Een virus kan op verschillende manieren langs een software firewall heenwerken. Het kan een eigen TCP stack draaien, bijvoorbeeld. Of het schakelt de firewall uit, maar doet het in de bijhorende user interfaces nog steeds over laten komen alsof deze nog aanstaat.

Uitgaande firewalls zijn eigenlijk pas veilig te noemen als ze ten minste in een losstaand apparaat draaien wat verder niet op het normale interne netwerk aangesloten is voor zaken als 'remote management'.
Het probleem met dit soort virussen is dat ze gewoon binnenkomen over dezelfde verbinding als jouw browser. Een firewall helpt totaal niet en heeft er ook heel weinig mee te maken. Poort 80 wordt geïnitieerd door je webbrowser en wordt door de firewall toegestaan (anders kun je niet websurfen). Dus je hebt een content scanning firewall nodig (die het webverkeer IN poort 80 nakijkt op bijvoorbeeld exploits).
Dus je hebt een content scanning firewall nodig (die het webverkeer IN poort 80 nakijkt op bijvoorbeeld exploits).
En dat lukt dus niet omdat er steeds weer nieuwe veiligheidsgaten in je OS worden gevonden die nog niet gepatched kunnen zijn simpelweg omdat er nog geen patch voor is.
Helaas is de standaard Windows firewall alleen ingericht om binnenkomend verkeer te onderscheppen maar niet uitgaand
DAT is al sinds XP sp3 NIET meer het geval.
Zowel uitgaand als inkomend verkeer is te configuren.
Inderdaad, een pc in m'n netwerk benaderen is niet zo makkelijk. De firewall blokkeert broadcasts zodat de netwerknaam van m'n pc niet verspreid wordt.
Je kunt een griepvirus ook niet 100% voorkomen, moeten we ons nu ook zorgen gaan maken? Je leert ermee leven... maar niemand zal het je kwalijk nemen als je toch voor 99,99% zekerheid wilt gaan.
maar niemand zal het je kwalijk nemen als je toch voor 99,99% zekerheid wilt gaan.
Stel, je watervoorziening, waterniveaucontrole (gemalen), kerncentrale of andere energiecentrales zijn remote toegankelijk (wat wellicht vaker kan dan je denkt).
Accepteer jij dan 99,99% veiligheid? Ik niet. Ik zou dat zeker wel kwalijk nemen van zulke bedrijven.
En waar gaat 't dan precies om: 99,99% veiligheid per jaar per bedrijf? Of per eeuw?
In elk geval moet je best practices toepassen (dus eigenlijk in eerste instantie zulke zaken al sowieso niet op internet), zoals een goede Linux OS nemen. En alleen dat installeren wat echt noodzakelijk is.

Op dit item kan niet meer gereageerd worden.