Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 41, views: 10.823 •

De Digital Crimes Unit van Microsoft heeft samen met Symantec het Bamital-botnet offline gehaald. Het volgens Microsoft gevaarlijke botnet kaapte zoekresultaten van gebruikers en verwees ze door naar gevaarlijke websites. Ook in Nederland werd een server offline gehaald.

MalwareVolgens Microsoft had het botnet tussen de 300.000 en 1 miljoen systemen geïnfecteerd. Het botnet kaapte de zoekresultaten van gebruikers en verwees ze door naar malafide websites. Zo verwezen zoekresultaten voor de term 'Nickelodeon' door naar websites met malware. Hetzelfde gold voor zoekresultaten voor beveiligingssoftware.

Microsoft en Symantec haalden de command-and-control-servers offline, waardoor de beheerders van het botnet hoogstwaarschijnlijk niet meer met de 'zombies' in het botnet kunnen communiceren. Of het botnet daardoor daadwerkelijk onthoofd is, is onduidelijk. "Dat zal de komende tijd blijken", zegt een woordvoerder van Microsoft tegenover Reuters.

De bedrijven vielen datacenters in Virgina en New Jersey binnen, met toestemming van de Amerikaanse rechter. Daarnaast haalden ze één server offline bij een Nederlandse hostingprovider. Volgens Webwereld hebben de botnet-beheerders in het verleden ook gebruikgemaakt van servers bij de Nederlandse hostingprovider Leaseweb, maar zijn die op het moment van schrijven niet meer in gebruik.

Als gevolg van de actie konden gebruikers die waren geïnfecteerd, tijdelijk niet zoeken op internet. In plaats daarvan gebruikt Microsoft de servers van het botnet om gebruikers te forwarden naar een pagina met uitleg. Daarin wordt gebruikers verteld dat ze zijn geïnfecteerd en wordt hulp aangeboden om het probleem op te lossen. Microsoft en Symantec hebben in het verleden vaker samengewerkt om botnets offline te halen.

Reacties (41)

Ik las eerst 'bamibal-botnet'. :')
Maar wel goed dat ze het netwerk hebben opgerold, hoe meer hoe beter.
Voor verdere info omtrend de trojan:

http://www.symantec.com/s...docid=2010-070108-5941-99

Netjes dat ze alles gerechtelijk hebben geregeld. Alleen jammer dat de mannen achter de gordijnen nog niet zijn gepakt. Ik hoop dat de servers aanwijzingen geven over de gebruikers.

Opmerkelijk dat de threat assesment volgens Symantec low is, mogelijk omdat de C&C servers zijn neergehaald.

[Reactie gewijzigd door Auredium op 7 februari 2013 10:35]

Daarin wordt gebruikers verteld dat ze zijn geïnfecteerd en wordt hulp aangeboden om het probleem op te lossen
Is dit dan met de melding dat je de wet hebt overtreden en een boete moet betalen van een overschrijving op een rekening ergens in Rusland e.d. :+
Goede actie van Microsoft en Symantec. Hoop dat er nog meerdere zullen volgen, zodat (ijdele hoop) het internet weer wat veiliger wordt.
Heel mooi dat MS en Symantec van buitenaf je Windows server binnensluipen om een botnet op te ruimen, maar via datzelfde soort gaten komen de hackers juist binnen...
Het is helaas inderdaad altijd maar de vraag of dit daadwerkelijk het einde is van dit botnet. Vaak zijn de trojans zo geschreven dat ze backup-mogelijkheden hebben dus met een nieuwe C&C server verbinding zullen maken of nog beter informatie van een andere C&C server ontvangen om zichzelf te herconfigureren op de nieuwe servers.
Het is altijd even afwachten na zo'n actie of er geen slim mechanisme in zit die ze over het hoofd hebben gezien maar aangezien het 2 grote spelers zijn binnen de IT-sector ga ik er al bijna vanuit dat het wel goed zit. Maar jah, assumption is the .......
Het zal waarschijnlijk erg moeilijk zijn de personen die dit opgezet hebben te achterhalen of er moet al 1 zo dom zijn een app op zijn telefoon te hebben of rechtstreeks zonder proxies of bijv. TOR in te loggen op de C&C servers.
Moest ik ook direct aan denken.

Jammer dat iemand weer geen gevoel voor humor had. +1tje van mij in ieder geval.
"...van servers bij de Nederlandse hostingprovider Leaseweb,"

Slordig dat hosting providers niet meer zorg uitdragen aan het controleren van wat er werkelijk op de servers gebeurt.

Helaas ontwikkelen ook botnets zich in rap tempo, en zijn er zelfs al botnets waarbij er geen centrale servers meer zijn maar de zombies onderling bij elkaar gaan luisteren zodat de commandos letterlijk "als een lopend vuurtje" door het botnet gaan. Lijkt me ook bijna onmogelijk om op te rollen.
Hoe weet je dat de hackers die gaten hebben gebruikt?
Het kan mij niet de bedoeling lijken dat een hosting provider even van elke gebruiker gaat zitten controleren wat er op de server staat en draait. Bij problemen of aanwijzingen wel, maar zonder aanleiding toch zeker niet. Als ik een server huur is het mijn zaak wat ik daar op doe, dat er clausules zijn met boetes en weet ik veel wat nog allemaal als zou blijken dat ik er illegale praktijken op doe is normaal, maar dat moeten dan de correcte autoriteiten maar uitzoeken lijkt mij. Hoe kan een hosting provider dan controleren wat er op de servers draait zonder de privacy van de huurder te schenden?
Of het moet op voorhand duidelijk in de overeenkomst staan, maar dan gaat een botnet zich daar gewoon niet hosten.

[Reactie gewijzigd door MClaeys op 7 februari 2013 11:12]

Opvallend - Microsoft heeft de pagina waar de server naar redirect overgenomen om zo een waarschuwing te geven.
Destijds had de politie in Nederland pc's die geinfecteerd waren ook iets dergelijks gedaan, maar dat mocht toen niet?
Nee volkomen logisch dat dit niet gebeurd. Laten we AUB niet die kant op gaan. Ik huur een server en laat mij aub bepalen wat ik met dat ding doe. Daarbij, hoe wil je gaan controleren wat er gebeurd wel rechtmatig is? DPI? En wie bepaald of iets rechtmatig is of niet?

Edit:
achteraf constateren dat er onrechtmatigheden hebben plaats gevonden is altijd beter. Je bent immers onschuldig tot het tegendeel bewezen is.

[Reactie gewijzigd door Floor op 7 februari 2013 11:20]

Controleren wat er werkelijk op de servers gebeuren...

Je kan het meestal alleen controleren als er fysiek op zit, dat zou betekenen dat je moet inloggen op een dedi server. Maar dat kan natuurlijk niet hé gezien de huurder die alleen heeft, of denk je dat zulke verhuurders het wachtwoord weten? Nou geloof me dan houden ze niet veel klanten over, mensen die vaak zulke servers huren hebben informatie, programma's of scripts/sources van websites. Ontwikkel je even voor ¤50.000,- een website en loopt er één of andere persooneelslid van de hosting alles te jatten om het door te verkopen.

Een virus en de C&C script is niks meer dan een applicatie, dus hoe kan je nou weten van buiten af als een server gebruikt wordt voor "black-hatting"?
MS en Symantec hebben helemaal niet een windows server binnen geslopen? Ze hebben met een rechterlijk bevel de fysieke server gewoon uit het rack gehaald en vervangen door hun eigen. Niets backdoor achtigs aan?
De bedrijven vielen datacenters in Virgina en New Jersey binnen, met toestemming van de Amerikaanse rechter.
Het gaat hier om een fysieke server, niet via RDP inloggen. Daar hebben ze dan ook totaal geen mogelijkheid toe, zo'n achterdeur zou veel te snel worden gevonden en misbruikt.
En ms mag ook zomaar servers in nederland offline halen? daar moet toch altijd een nederlandse rechter aantepas komen, usa rechter heeft hier in nederland niets tezeggen.

Lees namelijk nergens dat een nl rechter toestemming heeft gegeven.

[Reactie gewijzigd door devil-strike op 7 februari 2013 11:22]

De politie in Nederland had toen een melding laten weergeven op de computer van de gebruiker zelf (er is dus iets op de client veranderd), het gaat hier over het "defacen" van een website, voor hoever je over defacen kan spreken als het gaat om de boel opruimen.
In amerika wel ja, maar hoe zit dat met het neerhalen van de servers in Nederland? Daar kan ik niks over vinden. Ondanks de goede bedoelingen in dit geval hoort dit toch niet zomaar te kunnen zonder rechter dan. Of eigenlijk is dit altijd voor justitie.
En ms mag ook zomaar servers in nederland offline halen? daar moet toch altijd een nederlandse rechter aantepas komen, usa rechter heeft hier in nederland niets tezeggen.

Lees namelijk nergens dat een nl rechter toestemming heeft gegeven.
Je moet voor de gein ook even de aangehaalde bronartikelen doornemen:
"We hebben op verzoek van Microsoft 3 ip-adressen afgesloten, in Nederland trouwens. US was verder niet betrokken", meldt Alex de Joode, security officer bij Leaseweb aan Webwereld. Leaseweb werden gevraagd dat op een bepaald tijdstip de IP-adressen te blokkeren in verband met wereldwijde coördinatie van de actie.

In tweede instantie meldt De Joode dat de drie IP's op het moment van de actie al niet meer in gebruik waren. "Één was nog wel toegewezen aan een klant maar deze server was per 1 februari opgezegd. We hebben er voor gezorgd dat deze server niet meer door de klant uit quarantaine gehaald kan worden."
Als MS kan bewijzen dat er malafide activiteiten worden ondernomen vanaf die IPs, dan is het aan Leaseweb om er al dan niet wat mee te doen. Zij hebben er voor gekozen om de IPs te blokkeren. Mochten de eigenaren van de IP adressen het er niet mee eens zijn, dan zouden ze naar de rechter kunnen stappen om Leaseweb aan te klagen (MS heeft namelijk zelf niets ondernomen in Nederland), maar ik betwijfel dat ze dat gaan doen.
In amerika wel ja, maar hoe zit dat met het neerhalen van de servers in Nederland? Daar kan ik niks over vinden. Ondanks de goede bedoelingen in dit geval hoort dit toch niet zomaar te kunnen zonder rechter dan. Of eigenlijk is dit altijd voor justitie.
Volgens het artikel van Webwereld heeft MS een aanvraag ingediend bij Leaseweb. Die hebben de IPs geblokkeerd. Dat is compleet legaal, er zal vast in de AV van Leaseweb staan dat er stappen genomen worden als er malafide activiteiten ondernomen worden vanaf IPs die onder hun beheer staan. Dit is 1 van die stappen. Het is dan ook niet MS die iets heeft neergehaald, maar Leaseweb.

[Reactie gewijzigd door the_shadow op 7 februari 2013 11:31]

Op dit item kan niet meer gereageerd worden.



Populair: Tablets Mobiele netwerken Gamecontrollers Smartphones Apple Sony Microsoft Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013