Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 20, views: 20.136 •

Cybercriminelen die honderdduizenden systemen in Nederland en Duitsland konden aansturen via het Pobelka-botnet, waren niet alleen inlogdata aan het inzamelen, maar ook informatie over de structuur van interne netwerken. Deze informatie kan ingezet worden voor vervolgaanvallen.

Dat concluderen SurfRight en Digital Investigation in een onderzoek naar het Citadel-malwareplatform en het Pobelka-botnet dat gebruik maakt van Citadel. Aanleiding voor de research naar de schadelijke software was een malware-aanval via de website van De Telegraaf. De onderzoekers kwamen al snel uit op een command-and-control-server die verder is onderzocht. Daaruit bleek dat het Pobelka-botnet meer dan 264.000 zombies telde die vooral in Nederland en Duitsland waren te vinden. Niet alleen computers van bedrijven waren veelal onopgemerkt besmet geraakt, maar ook veel overheidssystemen.

Uit een analyse van gestolen data bleek dat de aanvallers met buitgemaakte inloggegevens op webpagina's van onder andere uitgevers konden inloggen om zo kwaadaardige code die naar malware verwees te kunnen plaatsen. Er werden onder andere logingegevens aangetroffen voor systemen van De Telegraaf. Ook via de sites van Weeronline.nl en RTV West werd de afgelopen maanden malware verspreid. Verder werd op de command-and-control-server configuratiedata aangetroffen om geld te stelen bij drie Nederlandse banken: ING, ABN Amro en ASN Bank.

Volgens Surfright en Digital Investigation had het Pobelka-botnet niet alleen koppelingen met de Dorifel-malware, een virus dat onder andere bij de overheid voor problemen zorgde, maar de criminelen zouden het botnet ook gebruikt hebben om interne netwerken en alle aangesloten apparatuur in kaart te brengen. Deze informatie zou doorverkocht kunnen zijn aan derden, bijvoorbeeld schurkenstaten, zo stellen de schrijvers van het onderzoek. Concreet bewijs wordt daarvoor echter niet aangedragen.

De Citadel-malware, een compleet malwareplatform dat voor enkele duizenden dollar op de zwarte markt te koop is en van professionele support voorzien kan worden, blijkt vernuftig in elkaar te steken. De malware kan zich goed verstoppen voor vrijwel alle gangbare antivirussoftware en het weet zich in alle bekende browsers te nestelen. Dat cybercriminelen met het op Citadel gebaseerde Pobelka-botnet zo gericht, ongemerkt en op grote schaal in Nederland konden opereren, is volgens de onderzoekers dan ook te danken aan de geraffineerde en professionele wijze waarop de Citadel-malware is opgebouwd.

Reacties (20)

site met wat info en scan/fix linkjes hier

op 'am i infected' kun je ook (automatisch) kijken of je in de database met affected hosts staat.

ik heb verder niets met die site te maken

[Reactie gewijzigd door SilentStorm op 24 december 2012 08:22]

Een ernstige zaak die duidelijk laat zien dat criminele organisaties vrijwel geen hinder zullen ondervinden van zaken zoals nationale firewalls. De vraag is natuurlijk hoe ver we achter lopen. Nu Citadel open en bloot onder de loep ligt zal naar alle waarschijnlijkheid deze software niet meer waardevol zijn op de zwarte markt. Er zal dus een nieuwe variant moeten worden ontwikkeld, als deze er natuurlijk niet is.

Hoe beveilig je anno 2012 en 2013 nog je netwerk voor zulke aanvallen? Je zult altijd wel een koppeling hebben tussen je online domein en je lokale domein en je zult altijd wel onbekende lekken hebben en users of admins die lak aan de regels hebben. Ik denk dat het kwalijker is dat het zo lang duurde voordat er een respons kwam die aduquaat was.

Dorifel werd snel opgemerkt, maar niet snel genoeg en de dreiging werd te lang gezien als marginaal. Nederlandse en Europese anti-cyberterreur eenheden moeten sneller dergelijke bedreigingen kunnen onderzoeken imo en daar liggen wij nog op achter ten opozichte van bijvoorbeeld de VS en China.
Onder iets normalere werkomstandigheden: blijven updaten en hopen dat die <1% die er door komt je niet opbreekt, door er snel op in te spelen?
"Defense in depth."

Dus niet alleen vertrouwen op je verdediging ten opzichte van de buitenkant (of dat nou internet of kantoor-netwerk betreft), maar bijvoorbeeld ook ervoor zorgen dat je back-end servers naar elkaar toe gefirewalled zijn.

Niet alleen verkeer dat over het publieke internet gaat voorzien van SSL-encryptie, maar ook zo veel mogelijk van je interne verbindingen.

Wat je wilt voorkomen is dat een bad guy door je buitenste laag heenkomt en daarna vrij spel heeft. Denk eens vanuit beveiligingsperspectief: hoeveel schade kan een vertrouwd systeem aanrichten? Hoe kan ik dat zoveel mogelijk beperken, zonder functionaliteit te schaden?

Een ander aspect is dat het zou helpen als 'de business' veiligheid als onderdeel van functionaliteit gaat waarderen. Op dit moment wordt dienstonderbreking, bijvoorbeeld door patching, als verstorend ervaren. Mijns insziens zou 'de business' al bij het moment van het opstellen van de SLA juist sterke eisen op veiligheidsgebied moeten neerleggen.

Op dit moment krijgt IT vaak de zwarte piet toegespeeld in geval van beveiligingslekken. Toch ontbreekt het item security in heel veel SLA's. Tsja.

[Reactie gewijzigd door Keypunchie op 24 december 2012 09:01]

ICT onderzoeksjournalist Brenno de Winter bracht een bezoek aan Digital Investigation en kreeg persoonlijk te zien welke data is buitgemaakt:
  • de indeling van het netwerk van een grote multinational;
  • lopende zaken van een gerenommeerd advocatenkantoor en komende rechtszaken die de verweerder waarschijnlijk nog niet eens kent;
  • productontwikkeling van een technologisch hoogstaand bedrijf;
  • de productiviteit van een ambtenaar die zijn dag vooral op Facebook besteedt;
  • welke medewerker op een ministerie precies aan welke kamervragen werkt;
  • welke software precies op welke computer staat;
  • hoe de politie precies haar werk doet in een zaak;
  • de informatie die op diverse redacties circuleert;
  • welke medewerkers in een ziekenhuis welke verslagen schrijven.
Heeft u al een rus in uw computer?
http://www.hpdetijd.nl/20...l-een-rus-in-uw-computer/
apart, hoe komt zo'n virus op jouw als je alles up to date houdt? Hoe?
Door nog niet eerder ontdekte lekken in software die je draait. Over het algemeen is dat vanwege de fragmentatie van software pakketten die door personen en bedrijven gebruikt wordt niet zo'n probleem. Je hebt dan als hacker simpelweg een te kleine doelgroep om op in te breken om het de moeite waard te maken.
Echter is er ook software die door heel grote groepen gebruikt wordt: Flash, Adobe Reader, Java, Internet Explorer, Firefox, Chrome, etc. etc. Ook deze bevatten hier en daar uit te buiten zwakheden en allemaal praten ze direct (of vrijwel direct) met de grote boze buitenwereld van het internet. Met de grote aandacht die vanuit hackers vooral naar Flash en Java uit gaan is het de laatste tijd dweilen met de kraan open op dat gebied. Heb je één exploit gepatcht, zijn er alweer twee nieuwe door hackers ontwikkeld...
Moeten we allemaal een speciale opleiding gaan volgen over ict om onze eigen pc te beveiligen?
Het zou al een heel eind helpen als burgers een soort van 'internet brevet' dienen te bemachtigen, zoiets als een digitaal rijbewijs, alvorens ze een privé internetaansluiting kunnen aanvragen. Op die manier heeft men in elk geval de kennis van een aantal elementaire zaken overgedragen gekregen: niet zomaar overal 'ja' op klikken, de browser en haar addons en plugins up-to-date te houden, niet met een administrator account gaan browsen, etc.
En dat bijna geen gangbare antivirus dit kan onderscheppe? Wel zorgelijk!!
Een anti-virus programma is de laatste verdedigingslinie. Je moet er nooit compleet op vertrouwen, juist omdat het niet perfect is (en nooit perfect kan zijn).

[Reactie gewijzigd door R4gnax op 24 december 2012 11:35]

Het probleem met dit soort virussen is dat ze gewoon binnenkomen over dezelfde verbinding als jouw browser. Een firewall helpt totaal niet en heeft er ook heel weinig mee te maken. Poort 80 wordt geïnitieerd door je webbrowser en wordt door de firewall toegestaan (anders kun je niet websurfen). Dus je hebt een content scanning firewall nodig (die het webverkeer IN poort 80 nakijkt op bijvoorbeeld exploits).

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Luchtvaart Crash Smartphones Google Laptops Apple Games Politiek en recht Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013