Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Miljoenenbotnet weet negen jaar lang onder de radar te blijven

Een groot botnet is al sinds 2006 actief en heeft daarbij minimaal aandacht gekregen van beveiligingsbedrijven. Het Ponmocup-botnet heeft sindsdien meer dan 15 miljoen unieke infecties veroorzaakt en wordt gebruikt voor financieel gewin, claimt Fox-IT.

Het Nederlandse beveiligingsbedrijf Fox-IT heeft de details van het Ponmocup-botnet blootgelegd en de bevindingen in een whitepaper op het Botconf 2015-evenement in Parijs gepubliceerd. Volgens Maarten van Dantzig en Yonathan Klijnsma van het bedrijf is het botnet interessant omdat het geavanceerd en onderschat is. In 2006 werd het al ontdekt en toen van de namen Vundo of Virtumonde voorzien, maar sinds die tijd ebde de aandacht weg.

Op zijn hoogtepunt in 2011 bestond het botnet uit 2,4 miljoen systemen. Inmiddels is dat aantal gedaald tot 500.000 actieve bots, waarmee het nog steeds tot de grootste in omvang van dit moment behoort. Bovendien is het botnet na lange tijd nog steeds bijzonder actief. De beheerders zouden over diepgaande kennis van Windows beschikken en Ponmocup in de loop der jaren geoptimaliseerd en bijgewerkt hebben om het onder de radar te houden. Onder andere maakten ze gebruik van ongedocumenteerde Windows-api's om systeemherstelpunten bij getroffen systemen een reset te geven.

Fox-IT concludeert dat de beheerders Russen zijn, op basis van Russische instructies van de beheerders naar zakelijke partners. Aanvankelijk lag de infectieratio bij landen als Rusland, Oekraïne en Wit-Rusland ook lager. De beheerders gebruiken het botnet waarschijnlijk voor financieel gewin en hebben er misschien wel meerdere miljoenen euro's mee verdiend, speculeert het beveiligingsbedrijf. Het financiële motief leiden de onderzoekers af uit de complexiteit van de command&control-infrastructuur, de moeite die de beheerders doen om analyse van malware te voorkomen en de snelheid waarmee ze reageren bij detectie. Sommige beheerders konden worden aangewezen als actieve deelnemers aan fora voor advertentiefraude.

De inzet voor advertentiefraude blijkt uit een actief ontwikkelde plug-in voor het botnetframework met de naam ppc, wat voor pay-per-click staat. Daarnaast lijkt het framework vooral ingezet te worden tegen Engelstalige bank-, investerings- en handelssites om gevoelige informatie in handen te krijgen die gebruikt kan worden voor fraude. Ook zou met Ponmocup diefstal van bitcoins gepleegd worden.

In totaal heeft Fox-IT 25 plug-ins ontdekt, met namen als avkit, socks, proxy en fbcookie, die door het botnet gebruikt kunnen worden voor verschillende kwaadaardige activiteiten. In de loop der tijd zijn daarvan vierduizend verschillende versies ontwikkeld, wat een indicatie is dat het framework continu wordt bijgewerkt.

Door Olaf van Miltenburg

Nieuwscoördinator

02-12-2015 • 14:57

48 Linkedin Google+

Reacties (48)

Wijzig sortering
Best wel typisch, net nu vandaag dit nieuws bekend is, voor het eerst iets van gemerkt. De internettoegang werd net even voor 10 seconden afgesloten door XS4ALL met de volgende melding:

"Uw internettoegang is geblokkeerd
Ponmocup is een ernstige besmetting. Daarom is uw internettoegang afgesloten totdat het probleem is opgelost. We hopen op uw begrip hiervoor. Voer onderstaand stappenplan uit om het probleem op te lossen en uw internetverbinding te herstellen. "

Vervolgens worden twee antivirusprogramma's aangeraden om te scannen op Ponmocup. Maar na 10 seconden was er weer internet, dus geen idee of het echt onveilig is. Ik heb zoiets nog nooit gezien op mijn computer. Er stond ook dat het alleen onveilig was voor Windows-computers en ik gebruik zelf een Mac.

Heeft iemand dit ooit eerder meegemaakt of weet iemand hier meer over?
Ik denk eerder dat de fraude gepleegd wordt bij een partij als Google. Als jij een site runt en daarop advertenties toont, dan loont het om een botnet 'clicks' uit te laten voeren op jouw site. Als je daar €1000,- voor kwijt bent aan de botbeheerders, maar Google betaald je elke maand €2000,- aan reclameinkomsten, dan is het interessant.
Wat hebben geheime diensten hier mee te maken?
Twee dingen:
1. Geheime diensten steken veel geld en moeite in het bouwen van botnets.
2. Geheime diensten als de NSA zouden moeten verdedigen tegen dit soort aanvallen en gaten te dichten.

Geheime diensten hebben zowel offensieve als defensieve taken. Er bestaat een inherent conflict tussen die twee taken: moet je een gat melden zodat het (defensief) gedicht kan worden of moet je het geheim houden zodat je het zelf (offensief) kan gebruiken?

Momenteel lijkt men de offensieve taken belangrijker te vinden dan de defensieve taken. Het gevolg is dat er voor gekozen wordt om de eigen bevolking niet te beschermen door gaten te dichten. Liever houdt men de gaten geheim zodat men de vijand er mee kan hacken. Dat die vijand de eigen bevolking terughacked wordt voor lief genomen.

Bijkomend probleem is dat de defensieve taken en offensieve taken dezelfde mate van geheimhouding hebben. Daardoor lopen de bevoegdheden voor en de controle op die taken door elkaar. Uit de documenten van Snowden weten we dat geheime diensten hier handig van gebruik maken om de eigen bevoegdheden te maximaliseren door de politiek in het ongewis te laten over wat ze precies wel en niet mogen, ook in Nederland. Zo weten we dat een Britse geheime dienst hulp heeft geboden om de Nederlandse wetten creatief uit te leggen.

Naar mijn mening zouden die twee taken niet bij dezelfde organisaties moeten liggen en moet er bij conflicten het belang van de eigen bevolking zwaarder wegen dan het vermogen om bij de vijand in te breken.

[Reactie gewijzigd door CAPSLOCK2000 op 2 december 2015 23:37]

Jezus, vijf seconden rondkijken op deze site en je ziet dat het bestaat uit een blog sectie en een serie scriptjes waarin doodleuk wat recent links worden geplakt. Logo erboven en kijk es aan... nét echt!

Avoid like the plague.

[Reactie gewijzigd door Vayra op 2 december 2015 15:44]

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True