Nederlandse bankrekening-hackers maakten gebruik van eigen Tor-malwaretool

De TorRAT-malware die de vier deze week opgepakte hackers gebruikten om bankrekeningen te plunderen is een door henzelf geschreven tool die zich nadrukkelijk op Nederlandse banken richt. De verdachten waren door onder andere het gebruik van Tor lastig op te sporen.

De kwaliteit van de TorRAT-tool noemt Michael Sandee van Fox-IT "vrij goed". Het beveiligingsbureau deed onderzoek naar de malware en kwam tot de conclusie dat deze door Nederlanders ontwikkeld is. "Aan de code te zien gaat het om één iemand, waarbij de anderen handlanger waren. Er werden regelmatig wijzigingen aangebracht en nieuwe functionaliteit toegevoegd en de software was stabiel. Er zijn trojans die veel gebruikt worden die slechter van kwaliteit zijn", aldus Sandee tegen Tweakers. Hoewel de basis zelf geschreven was, werd in een later stadium onder andere de Blackhole-exploitkit toegevoegd, evenals diensten van andere partijen om bijvoorbeeld de malware onschadelijk te laten lijken.

TorRAT verscheen in 2012 en was aanvankelijk slechts een spionagetool, waarbij RAT voor Remote Access Tool staat. Een van de functies die tijdelijk werd toegevoegd was Bitcoinmining en in augustus 2012 kreeg de tool de mogelijkheid om tegen twee van de drie grote banken in Nederland ingezet te worden. "Wat de doorslag gaf dat het inderdaad een Nederlandse groepering was, was het feit dat de overzichtsvensters van de tool in het Nederlands waren." Fox-IT wist toegang tot de beheervensters te krijgen.

Een van de trucs die de verdachten toepasten om opsporingsspecialisten op een dwaalspoor te brengen, was het uitrollen van de ZeuS-malware bij aanvallen: "Bij onderzoek van de pc zouden forensische specialisten zich zeer waarschijnlijk richten op de verwijderde ZeuS-infectie, en niet zozeer op de onbekende malware op het systeem."

De vier richtten zich bij hun aanvallen met name op 'grote vissen': de mails die voor besmetting moesten zorgen werden gericht op adressen die van een Nederlandse website met een overzicht van bedrijven kwam en de aanvallers gebruikten 'incasso' als onderwerp. Hierdoor werden de berichten doorgezet naar financieel verantwoordelijken binnen bedrijven. Geschat wordt dat de vier een miljoen euro buitmaakten.

De criminele organisatie was lastig op te sporen door het gebruik van Tors onion-routing, anonieme vpn-diensten, prepaid-kaarten en het gebruik van Bitcoin-exchanges voor het wegsluizen van het geld. "Tor is traag en niet altijd even betrouwbaar, waardoor het niet ideaal is om internetfraude te plegen", zegt Sandee. De aanvallers gebruikten bijvoorbeeld ook VNC-verbindingen met computers van slachtoffers via een server buiten het Tor-netwerk om: "Over Tor is het niet realtime genoeg". Een van de redenen waardoor de vier op te sporen waren, betreft het feit dat ze zich op Nederland, en daarmee een vrij beperkt gebied, richtten. "Als ze vanuit Rusland opereerden was het lastiger", aldus Sandee.

Screenshot TorRAT

IT-banen

Reacties (41)

bvk 25 oktober 2013 18:35

Uit het artikel van gisteren:

TorRAT kan bovendien tijdens internetbankieren informatie manipuleren of wijzigen en heimelijk nieuwe betalingsopdrachten toevoegen of bestaande opdrachten aanpassen.

Dan hebben de bank klanten toch ook niet goed opgelet denk ik, want je krijgt ook altijd het bedrag op je scherm te zien waar je voor autoriseert. En dat bedrag moet je in ieder geval bij de Rabo ook weer invoeren op je digipas waarna de response alleen geldig is voor dat bedrag.

En bij de ING krijg je in de SMS te zien om welk bedrag het gaat waar de TAN code voor is. Dus bij ING en Rabo lijkt het me alleen mogelijk als je niet goed oplet, hoe zit dit bij de andere banken, weet iemand dat?

Verwijderd @bvk • 25 oktober 2013 20:03

Bij ABN gaat alles via je browser dus lijkt me als het goed in elkaar zit je er nooit achter komt tot je ineens niet meer kunt pinnen maar nog wel geld zou moeten hebben.

cariolive23 @Verwijderd • 25 oktober 2013 20:39

In connected mode, dus via USB aangesloten, zie je precies wat je autoriseert. Werkt prima en zou je standaard moeten doen.

Evenals werken met een pc-account, al dan niet via een (Linux) VM, met net voldoende rechten om op de website van je bank te komen.

Donald313 @cariolive23 • 25 oktober 2013 20:50

Via de USB is niet erg veilig wat je in het volgende artikel kan lezen:
nieuws: Fraude mogelijk bij internetbankieren ABN Amro - update 2

Kalief @Donald313 • 26 oktober 2013 00:07

Dat bericht is van een jaar geleden. Hoe actueel is dat nog?

ari3 25 oktober 2013 17:33

Is de conclusie dat het Nederlanders zijn op basis van de taal in de beheerschermen niet wat naief? Ik zou als hacker ook opzettelijk de interface in een andere taal maken dan mijn moedertaal...

supersnathan94 @ari3 • 25 oktober 2013 18:15

Is niet heel naïef hoor. Als nederlander engels gebruiken bij aoftware is erg handig, maar een buitenlandse crimineel die Nederlands als software taal gebruikt kom je zelden tegen, puur omdat er te weinig nederlandstaligen zijn en omdat nederlands ook niet bepaald een makkelijke taal is om vloeiend te gebruiken in software. Ik vind het zelf veel makkelijker om engels te gebruiken in commentaar code (ook omdat het dan internationaal te snappen is.).

Verwijderd @supersnathan94 • 26 oktober 2013 10:45

ontwikkelaars snappen zelf de functies en opties wel. die tekst was volgens mij enkel bedoeld voor eigen gebruik dus ze hadden op de knoppen ook de letters a, b, en c kunnen gebruiken ipv woorden in een specifieke taal. denk denk dat dit eerder een secundaire fout is geweest om ontdekt te worden.

kodak @ari3 • 25 oktober 2013 17:51

Probeer jij binnenkort een buitenlandse crimineel te vinden die wel continue goed in Nederlands is? Het zou overigens pas naief zijn als je andere mogelijkheden buiten beschouwing zou laten EN andere zaken naast de taal niet zou meewegen om in een bepaalde richting te gaan denken over mogelijke daders.

Maurits van Baerle @ari3 • 25 oktober 2013 17:53

De conclusie dat het Nederlanders zijn kon simpelweg getrokken worden door naar de paspoorten van de arrestanten te kijken.

Dat de interface in het Nederlands was maakte het alleen makkelijker om ze te vinden omdat de kans dus vrij groot is dat het dan ook Nederlanders of Vlamingen zijn.

[Reactie gewijzigd door Maurits van Baerle op 27 juli 2024 12:21]

Saven 25 oktober 2013 17:25

Hoe zijn ze dan opgespoord? Want dat is niet uit het artikel op te maken.

CMD-Snake @Saven • 25 oktober 2013 17:33

Uit het artikel:

De aanvallers gebruikten bijvoorbeeld ook VNC-verbindingen met computers van slachtoffers via een server buiten het Tor-netwerk om: "Over Tor is het niet realtime genoeg".

Ze gingen ook buiten Tor om voor remote controle over de machines omdat Tor te veel lag heeft. Zo konden ze getraceerd worden. Verder is het ook een hint als de interface van de software in het Nederlands is. Dat beperkt nogal het zoekgebied.

Mediacj

@Saven • 25 oktober 2013 17:34

Door de vnc verbindingen die ze gebruikten buiten het tor netwerk om.

JJ93 25 oktober 2013 17:28

Ik moet toegeven dat ik het toch knap vind hoe één persoon zoiets in elkaar kan zetten EN heeft kunnen verspreiden voor een relatief lange tijd. Ik ben benieuwd wat de ontwikkelaar uiteindelijk de kop heeft gekost. Bij Silk Road kwam het uiteindelijk door een beginnersfout.

Beveiliging spreekt mij meer en meer aan en het is essentieel voor een bedrijf om alle zaken op orde te hebben. Je moet altijd op de hoede zijn voor "criminelen". Ik neem aan dat deze malware vooral gericht was op Windows, of werkte het ook op *unix systemen?

[Reactie gewijzigd door JJ93 op 27 juli 2024 12:21]

Verwijderd @JJ93 • 25 oktober 2013 22:41

Om het zowel op Windows als op mac OS of linux te laten draaien zou de RAT in java geschreven moeten zijn.
Het is lastig om malware te maken die in java geschreven is en daarnaast is deze vaak minder stabiel dan windows-only varianten.

Ik denk dat deze malware in c++ is geschreven, omdat die het meest voor de hand liggend is (runt op elke windows variant en is het meest 'powerful'). Echt zeker weten doe ik het echter niet.

Kalief @JJ93 • 26 oktober 2013 00:05

Bij Silk Road verraadde een persoon zichzelf door o te scheppen en gebruikersnamen in zowel een veilige als onveilige omgeving te gebruiken.

Technomania

25 oktober 2013 18:02

Als een "vrij goed" stukje malware 2 van de 3 Nederlandse banken kan treffen vraag ik mij af of de getroffen banken hebben gefaald, Of dat het stukje Malware gewoon als "verdomde goed" kan worden bestempeld.

edit: Typo

[Reactie gewijzigd door Technomania op 27 juli 2024 12:21]

DJ Henk @Technomania • 26 oktober 2013 08:26

Misschien was het ook wel "verdomde goed", maar was dat niet handig om te zeggen. Een andere uitleg kan zijn: op deze manier houdt Fox-IT wel de dreiging hoog, maar kunnen ze nog wel autoriteit claimen. (Ga maar rustig slapen, burgers, wij houden de wacht. En geef ons geld.)

Ik zeg niet dat het zo is, ik weet er geen bal vanaf, maar het kan nooit kwaad om PR-uitingen sceptisch te bekijken.

markborgen 26 oktober 2013 13:30

Er is weer een andere groep/persoon actief met phishing mail.
kreeg vandaag een mailbericht van rabobank online, dat mijn online account benadert was .
begin bericht;

Geachte Rabobank klant,

Uit onze gegevens blijkt dat recentelijk een derde/illegale binnenkomst
aan uw Rabobank Online Account werd opgericht. De beveiliging van uw
account is onze primaire zorg, dus hebben we besloten om actief de
toegang tot je account te beperken. Om actief de toegang tot uw Rabobank
Online Account log zo snel mogelijk via de onderstaande link om toegang
te krijgen tot uw account te behouden.

dan volgt een internet link die ik dus niet post!!
vervolg bericht;

Zodra uw gegevens zijn gecontroleerd en bevestigd, en er is een behoefte
aan verdere activering,kunt u gecontacteerd door onze medewerkers
herstel van de volledige toegang tot uw Rabobank Online Account.

Hoogachtend,
Rabobank Online
Copyright © 2013 Rabobank NEDERLAND

ziet er net echt uit, alleen heb ik geen online account

Verwijderd 27 oktober 2013 10:22

Ik krijg de indruk dat elk systeem uiteindelijk min of meer ten prooi valt aan corruptie. Hoewel TOR vast nog heel erg handig en mooi is, is het weer tijd om een nieuw protocol uit te vinden. Dat zou wel eens de enige oplossing kunnen zijn om geheime diensten en criminelen te weren.

Verwijderd 26 oktober 2013 14:00

Als men 'je'en 'uw' in hetzelfde mailtje gebruikt, zou ik alvast nergens op klikken.
Ook "kunt u gecontacteerd door onze medewerkers" is nogal klungelig.

CMD-Snake @HMC • 25 oktober 2013 17:35

Waarom is dit zwartmaken? Er wordt uitgelegd hoe de criminelen te werk gingen. Dat is neutraal verder.

Bovendien, de aard van zaken als Tor en Bitcoin leent zich wel voor criminele doeleinden. Tor kan je verkeer met je bots anonimiseren waardoor traceren moeilijker is. Bitcoins zijn ook erg anoniem van aard. Het is een kwestie van tijd tot er een crimineel voorbij komt die dit ook inziet en er gebruik van gaat maken.

DeTeraarist @HMC • 25 oktober 2013 18:38

Tor en Bitcoin worden niet zwart gemaakt door de media, ze worden zwart gemaakt door de gebruikers. Tor heeft voor gewone mensen bijna geen nut. Daarentegen is het ideaal voor de 'slechterikken'. Bijna anonieme communicatie maakt het voor criminelen een stuk makkelijker om zich te verbergen. Daarom is Tor ook zo populair bij kinderporno verspreiders.
't Zelfde geld voor Bitcoin, omdat het anoniem is, is het bij uitstek geschikt voor criminelen om geld wit te wassen.
Uit de feiten die elke week over deze 2 netwerken opduiken krijgen ze een slechte naam. De media gaat uiteraard niet melden dat iemand succesvol een website via Tor heeft kunnen laden of een product heeft kunnen kopen met Bitcoins.

bytemaster460 @DeTeraarist • 25 oktober 2013 19:22

Door de recente onthullingen gaan steeds meer mensen TOR gebruiken. Niet omdat ze wat te verbergen hebben maar omdat ze hun privacy terug willen hebben.

Kalief @DeTeraarist • 26 oktober 2013 00:04

het normale internet gebruik, dan is dat geen oplossing. Twitter, Facebook, Google
Door het zo te schrijven stel je dat 'normaal internetgebruik' gelijk staat aan het gebruiken van social media of op z'n minst diensten waarvoor je moet inloggen. Maar de meeste internetters gebruiken die diensten helemaal niet.

MrFrans @Kalief • 26 oktober 2013 00:36

"Maar de meeste internetters gebruiken die diensten helemaal niet."
Nou dat is nog al een boude stelling. Ik geloof daar niks van.

dasiro @Kalief • 26 oktober 2013 10:11

in nederland gebruikt 60% facebook en google waarschijnlijk nog meer

http://www.marketingfacts...et-meest-actief-gebruikt/

Kalief @dasiro • 26 oktober 2013 20:16

Welnee. Iedereen maakt een accountje aan om z'n naam te reserveren maar doet er vervolgens niks mee.

dasiro @Kalief • 27 oktober 2013 00:30

zelfde site: 39% gebruikt het dagelijks

DeTeraarist @Kalief • 26 oktober 2013 02:33

Uhm, ok, als jij dat denkt. Maar goed, voor jou zullen we het dan anders vertalen, alle diensten waar je moet inloggen kan de privacy schenden zonder een IP nodig te hebben. Die bouwen een profiel van je posts, plaatjes en wat je ook doet op die sites.

polopolo150 @HMC • 25 oktober 2013 17:30

Het enigste wat er word verteld is dat middelen als Tor gebruikt worden in dit soort situaties. Of Tor een slechte dienst is, heb ik nog nooit gelezen.

Dat gezegd, als je er niks te zoeken hebt, waarom zou je het uberhaupt gebruiken?

eheijnen @polopolo150 • 26 oktober 2013 11:57

Je kunt bij de ijzerhandel vrij verkrijgbaar een breekijzer kopen.
Dat maakt je nog geen inbreker.

polopolo150 @eheijnen • 26 oktober 2013 12:25

Oke. Maar waarom zou je een hoefijzer nemen als je het niet gaat gebruiken?

De mensen die Tor gebruiken weten dat het een goede middel is. Ik gebruik het om blokkade`s te ontwijken en journalistieke redenen en daar is het perfect voor, ondanks misbruik door andere gebruikers. Mijn vriendin heeft er niks te zoeken, dat Tor word `zwart` gemaakt veranderd niks voor haar.

eheijnen @polopolo150 • 26 oktober 2013 13:06

Is idd een prima tool om anoniem te posten op sites zodat je privacy gewaarborgd blijft. Voor gewoon te surfen is het gewoonweg te traag.

De hele privacy discussie heeft het gebruik alleen maar meer aangevuurd en mensen bewuster gemaakt.

Zoals met alles zullen er altijd mensen zijn die er misbruik van maken en het voor de anderen verzieken.

Een beetje off-topic, i know

teacup @eheijnen • 26 oktober 2013 13:29

Zoals met alles zullen er altijd mensen zijn die er misbruik van maken en het voor de anderen verzieken.

Mee eens. Bedenk het en het gebeurt. Dit doet echter niets af aan het gegeven dat door NSA-gate de stelling "ze mogen best weten dat ik het ben...en.....ik heb toch niets te verbergen???" een beetje als een echo uit een vorig tijdperk begint te klinken.

Eigenlijk hoop ik dat door de gebeurtenissen van afgelopen weken (maanden) de hang naar anonimiteit zo een standaard behoefte wordt dat we niet meer hoeven uit te wijken naar iets als een Tor netwerk maar dat de service ons gewoon door onze access providers als optie wordt geboden. Gewoon omdat anonimiteit iets zo vanzelfsprekends is geworden.

Als ik op straat loop heb ik toch ook geen bord op mijn hoofd met mijn identiteit er met koeienletters op.

offtopic:
wat maakt van letters eigenlijk koeienletters, en waarom meerdere koeien? Wat is het nut van het veranderen van dit soort taalafspraken, werkverschaffing?

. Oké, een agent mag mijn identiteitsbewijs vragen, maar daar ben ik dan zelf bij, en ik vrees dat de agent er na een oeverloze discussie spijt van zal hebben dat mij de vraag is gesteld. Zonder toestemming informatie bekomen van burgers zou niet moeten zijn toegestaan.

Als overheden nu die piëteit zouden bezitten te respecteren dat eerst helder met burgers moet worden gecommuniceerd wat ze doen, wanneer en waarom, zouden mensen nu niet de logische stap zetten van het anonimiseren van hun dataverkeer. Het Tor netwerk is hiervoor een niet zo gebruikersvriendelijke oervorm, en trekt als een van de weinige opties criminaliteit aan. Als straks anonimiteit baseline is geworden, wordt ook het bedenkelijke imago dat het huidige Tor netwerk dreigt te krijgen gerelativeerd en niet meer als oorzaak aangemerkt van minder prettige bijeffecten.

[Reactie gewijzigd door teacup op 27 juli 2024 12:21]

eheijnen @teacup • 26 oktober 2013 14:10

Mee eens. Bedenk het en het gebeurt. Dit doet echter niets af aan het gegeven dat door NSA-gate de stelling "ze mogen best weten dat ik het ben...en.....ik heb toch niets te verbergen???" een beetje als een echo uit een vorig tijdperk begint te klinken.

Ik wordt ook doodmoe van deze uitspraken. Opstelten en Teeven maken hier ook gebruik van en stellen zich buiten de wet op de privacy. Je hebt toch ook niet de helft van je privégegevens ingelijst aan je voorgevel hangen, of wel soms?

Daarnaast is anonimiteit ook een manier om beïnvloeding door allerlei sites / diensten uit de weg te gaan. Als ik op Youtube naar video's over "onderwerp A" zit te zoeken zie ik regelmatig resultaten die met een eerder gezocht onderwerp te maken hebben opduiken. Terwijl deze zoekopdrachten mijlenver uit elkaar liggen.

Ook is het een manier om ervoor te zorgen dat Google / MS / Facebook en andere data-miners zo min mogelijk informatie over jouw gedrag verzamelen. Daarnaast is het zo dat alle spionagediensten kunnen beweren wat ze willen. Zolang ik niets uitspook hoef ik ook niet onderzocht te worden. Dat is wettelijk in de hele westerse wereld zo geregeld. Inmiddels gaat men in NL ook al over op het massaal bewaken van smartphones.

Als straks anonimiteit baseline is geworden, wordt ook het bedenkelijke imago dat het huidige Tor netwerk dreigt te krijgen gerelativeerd en niet meer als oorzaak aangemerkt van minder prettige bijeffecten.

Het negatief in het nieuws brengen van TOR is vaak gebruikt om mensen aan te zetten dit te mijden zodat men meer inzicht houdt in het internetverkeer / gedrag.

Allemaal een beetje off-topic maar wil toch even deze uitwisseling voortzetten.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (41)

Sorteer op:

Weergave: