Rus achter Citadel-malware krijgt celstraf van vijf jaar in VS

Een Russische man die volgens de aanklacht bij de ontwikkeling van de Citadel-malware was betrokken, heeft in de VS een celstraf van vijf jaar gekregen. Hij bekende vier maanden geleden schuld. In 2015 werd ook al een Rus veroordeeld voor verspreiding van de malware.

De straf houdt rekening met de twee jaar die de man, ook bekend onder de naam Kolypto, al in Noorwegen heeft vastgezeten, aldus persbureau Reuters. In december vond uitlevering aan de VS plaats. Volgens de aanklacht heeft Kolypto tussen 2012 en 2014 bijgedragen aan de ontwikkeling en verbetering van de Citadel-malware. In die tijd woonde hij in Oekraïne en Noorwegen. De kwaadaardige software zou 11 miljoen apparaten hebben geïnfecteerd en 500 miljoen dollar aan schade hebben aangericht.

Citadel dook op in 2012, nadat de broncode van de Zeus-malware online was verschenen. Het doel van de kwaadaardige opensourcesoftware was om bankgegevens te stelen. Later werd de malware aangepast om bijvoorbeeld wachtwoorden uit wachtwoordmanagersoftware te stelen. In 2013 bleek dat in Nederland 150.000 systemen van overheden en bedrijven met Citadel waren besmet, waardoor ongeveer 750GB aan gegevens was buitgemaakt. Een beveiligingsbedrijf zou de gegevens aan de politie hebben gegeven, die vervolgens weinig maatregelen nam.

Een andere Russische man werd al in 2015 in de VS veroordeeld tot een celstraf van 4,5 jaar voor betrokkenheid bij de verspreiding van de malware.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 20-07-2017 10:1231

20-07-2017 • 10:12

31 Linkedin

Lees meer

Microsoft en FBI verstoren werking honderden botnets Nieuws van 6 juni 2013
'Overheid deed weinig met kennis over grote cyberaanval' Nieuws van 14 februari 2013
'Banktrojans blijven bijna maand actief op volledig beschermde pc' Nieuws van 23 oktober 2012
'Malware Omroep Zeeland was bankentrojan' - update Nieuws van 30 maart 2012
Meer producten en artikelen
Politiek en recht Netwerk en systeembeheer Malware Verenigde staten

Reacties (31)

-Moderatie-faq
31
29
16
0
0
11
Wijzig sortering
MrFax
20 juli 2017 10:38
Dus het schrijven van zulke software is verboden? Als je malware bezit, ben je dan in bezit van "een wapen"? Het lijkt mij dat zolang je iets schrijft en er niks mee doet, dit toch niet strafbaar is?

Hier wordt gezegd dat hij alleen betrokken was bij het maken ervan, maar dit zal wel niet zo zijn.

[Reactie gewijzigd door MrFax op 20 juli 2017 10:39]

RGAT
@MrFax20 juli 2017 10:45
Weet niet of het hebben van malware strafbaar is, zou een hoop mensen gedoe opleveren :+
Of het bezitten van de broncode van malware strafbaar is ook geen idee, maar het maakt je wel verdacht tenzij je een goede verklaring hebt (Werkzaam bij een AV bedrijf oid).
Verder zal het maken van dit soort malware iets als georganiseerde misdaad zijn en daaronder ook wel strafbaar te stellen zijn.
WhatsappHack
@MrFax20 juli 2017 10:46
Als je betaald wordt om software te ontwikkelen die ontworpen is om gegevens of zelfs geld buit te maken, dan kan je dat vergelijken met illegaal een bom voor iemand maken terwijl je weet dat die persoon een vol restaurant gaat opblazen ermee. Dat is gewoon medeplichtigheid.

Malware maken of in je bezit hebben zonder er iets mee te doen is in Nederland niet strafbaar. In Duitsland bijvoorbeeld geloof ik wel; daar is t al discutabel of je als pentester Kali mag hebben.

[Reactie gewijzigd door WhatsappHack op 20 juli 2017 10:48]

Blokker_1999
@MrFax20 juli 2017 10:51
Schrijven is niet verboden, net zoals hacken in de basis niet verboden is. Zelfs het bezit is niet verboden. Maar er gebruik van maken om systemen aan te vallen zonder toestemming of deze software verkopen aan mensen waarvan je weet dat de kans klein is dat ze deze voor legale doeleinden gebruiken is dan weer wel strafbaar. Deze man heeft uiteindelijk software geschreven die aan de basis ligt van internetaanvallen.
mhnl1979
@MrFax20 juli 2017 11:06
Wapenbezit is ook verboden, dus in dat opzicht. En als het vaststaat dat er kwaadaardige bedoelingen mee zijn, waarom niet?
PostHEX
@MrFax20 juli 2017 12:42
Of het bezit van een wapen legaal of illegaal is ligt dan ook puur aan de context. Bezit voor defensieve doeleinden bijvoorbeeld is legaal in sommige landen. De kans dat malware zal worden ingezet voor defensieve doeleinden is héél klein.

[Reactie gewijzigd door PostHEX op 20 juli 2017 12:44]

dakaza
@MrFax20 juli 2017 13:07
Het bezit van malware is een lastig punt. Volgens de Budapest convention, waarop de wetten van Europese landen zijn voortgeborduurd, is het bezit strafbaar wanneer jij de `intentie` hebt om schaden aan te richten. Het woord intentie maakt het lastig, want hoe ga jij aantonen dat iemand intentie heeft om malware te gebruiken. Dit lijkt heel makkelijk, maar als iemand malware koopt om het te gebruiken. Na het testen bedenkt om het te verwijderen, kan hij nog steeds schuldig bevonden worden. Hij had tenslotte een intentie om het te gebruiken.

Het schrijven van malware is al sneller strafbaar, dit doe jij namelijk met een intentie.

Hoewel er regels zijn opgesteld voor cybercriminaliteit is het vaak lastig. De regels kun je op verschillend manieren interpreteren en per land zijn ze ook weer verschillend.

http://www.europarl.europ...t_/7_conv_budapest_en.pdf

[Reactie gewijzigd door dakaza op 20 juli 2017 13:10]

preske
@MrFax20 juli 2017 15:17
Een tijdje geleden zijn er heel wat gebruikers van 'n spy-/hacktool gearresteerd, dus ik vermoed van wel.
MicBenSte
@MrFax20 juli 2017 17:39
Waarschijnlijk is hij veroordeeld op een punt mbt verkoop/weggeven van de software waarbij hij had kunnen weten / had moeten weten dat de software voor illegale doeleinden zou worden gebruikt. Het feit dat de software zelf dit al faciliteert en eigenlijk het primaire doel ervan is zal hem waarschijnlijk ook niet geholpen hebben.
cilfour
20 juli 2017 10:33
" De kwaadaardige software zou 11 miljoen apparaten hebben geïnfecteerd en 500 miljoen dollar aan schade hebben aangericht."
Met 11 miljoen besmette apparaten is ze kans aanwezig dat er in diverse landen wat besmettingen waren.
Kan deze persoon dan de rest van zijn leven uitgeleverd worden om overal even te zitten?
Iva Wonderbush
@cilfour20 juli 2017 10:47
Als elk land dat wilt doen, ja. Maar reken er niet op dat hij dan ook word uitgeleverd, hij zal dan zelf daar naartoe moeten gaan.

[Reactie gewijzigd door Iva Wonderbush op 20 juli 2017 10:48]

MrFax
@Iva Wonderbush22 juli 2017 11:27
Juist, ik denk dat de VS als die man al 5 jaar gezeten heeft niet zomaar nog een uitleververzoek accepteert. Er zijn natuurlijk nog wel menselijke rechten :P. Die krijgt gewoon een kaartje terug naar Rusland. Je kan iemand niet telkens opnieuw vast laten zitten voor hetzelfde feit, ongeacht het land.

[Reactie gewijzigd door MrFax op 22 juli 2017 12:42]

2Dutch
20 juli 2017 10:16
Neem aan dat ze ook de geldstromen nageplozen hebben? Niet dat meneer na zijn straf uitgezeten te hebben nog lekker riant kan leven van een begraven kist vol met goudstukken ofzo :+
Gamebuster
@2Dutch20 juli 2017 10:21
Alles naar bitcoins overschrijven & je multibit wallet words onthouden?

[Reactie gewijzigd door Gamebuster op 20 juli 2017 10:22]

Morgan4321
@Gdelaat20 juli 2017 10:46
Als een ITer zijn eed verbreekt (geen gevoelige data doorlekken)
Eed? Ik heb wel contractuele bepalingen gezien over de omgang met gevoelige gegevens maar nog nooit meegemaakt dat ik als ITer een eed moest afleggen.
unilythe
@Morgan432120 juli 2017 10:50
Inderdaad, dat is ook onzin.
Gdelaat
@Morgan432120 juli 2017 11:01
een soort eed. idd het is een contract dat je moet teken, tegenwoordig op ICT opleiding krijg moet je hiervoor al tekenen en wordt je erbewust van gemaakt. ze noemen het ook wel een eed.
Jerie
@Gdelaat20 juli 2017 12:29
Dat is gewoon een contract, en je moet je daarnaast allereerst aan de wet houden. Want data lekken mag volgens de wet niet.

Als je iets vast laat leggen in een contract is het makkelijker om van iemand af te komen. Want dan zeg je contractbreuk. Maar ga er maar van uit dat de politie ook wordt ingeschakeld.

Dat heeft verder weinig met eed te maken.

https://nl.wikipedia.org/wiki/Eed
killzonex
@Gdelaat20 juli 2017 10:38
5 jaar een amerikaanse gevangenis of 5 jaar een Nederlandse gevangenis is wel degelijk een verschil!
Decipher666
@Gdelaat20 juli 2017 10:28
Alleen heeft dit compleet niets met Nederland te maken omdat hij 5 jaar cel krijgt in Amerika... Daarnaast heeft hij al 2 jaar gezeten in Noorwegen.
Dus in totaal zit hij hij dadelijk 7 jaar vast wat nog steeds niet overdreven lang is maar het blijft "enkel" een financieel delict. Als je dan toch de vergelijking wil trekken als je iemand in Nederland dood rijdt sta je rustig binnen 5 jaar weer buiten je celdeur...
Mathi159
@Decipher66620 juli 2017 10:31
Opzet of geen opzet maakt toch een behoorlijk verschil. Als jij opzettelijk iemand doodrijd kom je hier echt niet weg met 5 jaar.
Composed
@Mathi15920 juli 2017 10:53
Doodslag (ervanuitgaande dat het geen moord is) zonder verlichtende of verzwarende omstandigheden is meestal ongeveer 8 jaar cel. Bij goed gedrag kom je dan na 5.6 jaar (na twee derde van straf) vrij. Indirect kun je dus soms bijna buiten staan na 5 jaar.
MrFax
@Composed23 juli 2017 01:13
Moord is op voorbedachte rade. Als je dus van te voren bedenkt ik ga die man doodrijden dan is het gewoon moord :P

Doodslag is bijvoorbeeld als je in een gevecht terecht komt en iemand door te hard slaan letterlijk doodslaat. Moord is als je een gevecht start om diegene dood te slaan(Je hebt van de voren tijdens "kalmte" bedacht: he ik ga diegene doden)..

Als je dus iemand "opzettelijk doodrijd" is dit meestal gewoon moord, behalve als er sprake is van road rage(dan kan dit wel als doodslag gezien worden). Onopzettelijk(dodelijk ongeluk veroorzaakt) is het dood door schuld.

[Reactie gewijzigd door MrFax op 23 juli 2017 01:19]

Jerie
@Gdelaat20 juli 2017 12:43
Nou er zijn zat mensen voor moord die na 3-5 jaar terug op straat staan. en soms eerder door "Goed gedrag"
Er zijn zat mensen die misdaden begaan en helemaal niet eens worden opgespoord of opgepakt.

Vrijwel iedereen [maar niet iedereen] die in detentie zit krijgt in Nederland gratie ("goed gedrag"). Dat houdt in dat 1/3 deel van de straf wordt kwijtgescholden. Krijgt iemand dus bijvoorbeeld 9 jaar cel, dan wordt dat praktisch gezien 6. Toch schrikt dat laatste meer af, en het betekent verder ook niet dat de straf lager was. Verder zijn er diverse studies die aantonen dat strenger straffen niet helpt. Was het maar zo simpel.

Bovendien houdt moord in dat er sprake is van opzet en voorbedachte raden. In Nederland staat daar max levenslang voor. En dat is in Nederland ook daadwerkelijk levenslang.

Waarschijnlijk haal jij e.e.a. door elkaar. Bijvoorbeeld je neemt dood door schuld ook mee. Of je vergeet een maatregel als TBS.

Zie ook http://www.wetrecht.nl/moord/
Morgan4321
20 juli 2017 10:46
Zijn de makers van Stuxnet en al die CIA malware al voor dfe rechter gebracht?
Anoniem: 310408
@Morgan432120 juli 2017 10:52
Lever jij het bewijs even dan regel ik de rechter wel.
markwiering
20 juli 2017 18:06
Het ontwikkelen van malware is juist goed, want dit stelt ontwikkelaars van besturingssystemen, antivirusprogramma's en andere programma's in staat om de beveiligingslek in hun programmatuur te vinden en deze te dichten. Zonder malware zou alle programmatuur vol met gaten zitten. Stel je maar eens voor hoe kwetsbaar jij bent als er nog nooit in de geschiedenis van de mensheid een kwaadaardig programma geschreven zou zijn. Dankzij malware worden deze gaten gedicht. Het klinkt misschien raar, maar malware maakt het web juist veiliger. ;)
HooGLaNDeR
@markwiering20 juli 2017 20:30
Met deze redenatie vraag ik me af of inbraken en (roof)overvallen de maatschappij ook veiliger maken?!?
sxbrentxs
20 juli 2017 19:53
Een beveiligingsbedrijf zou de gegevens aan de politie hebben gegeven, die vervolgens weinig maatregelen nam.
Naja, we weten in ieder geval wel waar het wel geëindigd is.

Toch wel jammer dat de waarde van onze gegevens niet aan zulk grote maten gewerkt wordt als hun andere taken. Had wel een pluspuntje voor de politie kunnen zijn om wat vertrouwen en publiciteit te winnen.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee