×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft krijgt domeinnamen staatshackers via rechtszaak in handen

Door , 50 reacties

Microsoft heeft via rechtszaken domeinnamen in handen gekregen die staatshackers gebruikt zouden hebben bij operaties. Microsoft koppelt de domeinnamen vervolgens aan zijn eigen servers, waardoor de staatshackers een c&c-punt kwijtraken.

Microsoft startte vorig jaar een rechtszaak tegen een 'geavanceerde organisatie die over goede resources beschikt', zonder hier ruchtbaarheid aan te geven. De term verwijst naar staatshackers en The Daily Beast, die bericht over de zaak, gaat ervan uit dat het gaat om de Fancy Bear-groepering, die in opdracht van Rusland handelt. De aanklachten luiden dat de groep zich schuldig maakt aan computervredebreuk, cybersquatting en inbreuk op handelsnamen van Microsoft.

De groep maakte voor de command & control-servers bij hackoperaties namelijk gebruik van domeinnamen als 'livemicrosoft.net' of 'rsshotmail.com'. Omdat de groep zich veelvuldig op Windows richt en vaak namen gebruikt die verband houden met Microsoft-producten, heeft de softwaremaker een gerechtvaardigd belang. Door de domeinnamen in bezit te krijgen, kan Microsoft verbindingen naar zijn eigen servers leiden. "Elke keer als een geïnfecteerde computer probeert contact op te nemen met een command & control-server via een van de domeinen, zal deze in plaats daarvan met een door Microsoft beheerde, veilige server verbinding maken", aldus een advocaat van Microsoft in de juridische documenten.

De eerste verzoeken diende Microsoft in juli vorig jaar in en het ging daarbij om 22 domeinnamen. Daaronder was ook de domeinnaam actbleus.com, die Russische staatshackers volgens beveiligingsbedrijven gebruikt zouden hebben bij de hack van systemen van de Democratische partij. De toewijzing van Microsofts eisen leidde tot een kat-en-muisspel met de groepering, die steeds nieuwe domeinnamen registreerde.

In maart van dit jaar stond de teller van domeinnamen die inmiddels in handen van Microsoft zijn gekomen op zeventig, verkregen via vijf aanvullende verzoeken. Ondanks onderzoek van Microsoft onder registrars, webmailaanbieders, hostingbedrijven en aanbieders van betaaldiensten, is het niet gelukt de identiteit van aanvragers te achterhalen. De dagvaardingen zijn via e-mail verstuurd, maar hier kwam nooit antwoord op. Microsoft probeert nu proactief domeinnamen toegewezen te krijgen als de groepering domeinnamen registreert met verwijzingen naar Microsoft. Het bedrijf heeft een lijst van negenduizend namen opgesteld die kans maken geregistreerd te worden door de staatshackers.

Door Olaf van Miltenburg

NieuwscoŲrdinator

21-07-2017 • 14:38

50 Linkedin Google+

Reacties (50)

Wijzig sortering
"Het bedrijf heeft een lijst van negenduizend namen opgesteld die kans maken geregistreerd te worden door de staatshackers."

Is het niet rendabeler voor MS om die domeinen preventief zelf te registreren? Of zijn het meer elementen van namen, die dan ook weer in verschillende combinaties geregistreerd kunnen worden, zodat je uiteindelijk op honderdduizenden varianten uitkomt (wat wel wat ondoenlijk is om preventief te gaan lopen registreren :) )
Dat doet ze toch ook?
Microsoft probeert nu pro-actief domeinnamen toegewezen te krijgen als de groepering domeinnamen registreert met verwijzingen naar Microsoft. Het bedrijf heeft een lijst van negenduizend namen opgesteld die kans maken geregistreerd te worden door de staatshackers.
Ik lees althans toewijzing (voor registratie). Het hangt er vanaf hoe dat toewijzen moet worden geÔnterpreteerd. Op zoek naar iets meer detail liep tegen hetzelfde The Daily Beast artikel aan als Tweakers ook gebruikt. Over deze bron, The Daily Beast is gestationeerd in New York en zegt Fiercely independent te zijn):

Refererend aan de domeinen die in verzoeken tot nu toe aan Microsoft zijn toegewezen:
The cat-and-mouse game has continued unabated ever since, with Microsoft painstakingly analyzing Fancy Bear’s choices of domain names, registrars and webmail providers, and even developing a list of 140 words most likely to appear in a Fancy Bear domain. To streamline the process, a retired judge has been appointed to serve as an independent “court monitor” overseeing the takedown requests. (Her expenses include $1,005 for “computer security”). By last March, Microsoft had been back five times for supplemental orders, and grabbed a total of 70 domains from the Russians.
En over de toekomstige domeinnamen:
The company is hunkering down for a long fight. “Defendants are persistent in their activities and are likely to attempt to maintain, rebuild, and even grow, their capabilities again and again,” wrote attorney Jenson last month. As part of its motion, Microsoft is asking for the court monitor to stay on indefinitely, with the company paying the bill, and is seeking an order that prospectively seizes from Fancy Bear a number of other Microsoft-themed domains that have never been registered, but which the company’s algorithms suggest the Kremlin’s hackers may use in the future: infomicrosoftcenter[.]com, win-newsmail[.]com, statistic-security-microsoft[.]com …
Eigenlijk is de benadering van Microsoft een logische. Een preventieve actie waarin domeinen zouden worden dichtgezet heeft alleen maar een tegenactie tot gevolg die Fancy Bear andere namen doet kiezen. Door direct te reageren op de acties van Fancy Bear vertraagt Microsoft hun operatie en tegelijkertijd betekend dit een drain van de financiŽle slagkracht van Fancy Bear. Het gegeven dat Microsoft dit kan volhouden met wat gepensioneerde juridische capaciteit lijkt me een oplossing die Microsoft als organisatie relatief weinig inspanning kost.
Wel opvallend dat Microsoft op deze manier diep kan doordringen door de traditionele grenzen van de trias politica :?

Zo'n retired judge direct op de company payroll in nauwe samenwerking met niet-retired/acting judicieel systeem, gezamenlijk tegen het digitale leger van een commercieel-staatsvijand. Dat lijkt mij vanuit afstand van objectiviteit toch een uiterst curieuze ontwikkeling weer :? :Y)

Wie hier verder ook aan wiens touwtjes trekt, de brug die zo geslagen is (en actief in stand gehouden wordt) conflicteert dus sowieso met contemporaine opvattingen over de 'correcte' westerse staatsvorm. Waar gaat dit heen?
Wel opvallend dat Microsoft op deze manier diep kan doordringen door de traditionele grenzen van de trias politica :?
Maar hoe wordt de trias politica geschonden dan volgens jou?

De trias politica gaat over de scheiding van de wetgevende, uitvoerende en rechterlijke macht. Microsoft is geen van de drie en het feit dat ze een gepensioneerde rechter als adviseur aannemen maakt geen inbreuk hierop. Die gepensioneerde rechter zal ongetwijfeld haar contacten hebben, maar dat is niet heel anders dan een advocaat. Dure advocatenkantoren hebben ongetwijfeld ook goede contacten binnen rechtbanken.
Wie hier verder ook aan wiens touwtjes trekt, de brug die zo geslagen is (en actief in stand gehouden wordt) conflicteert dus sowieso met contemporaine opvattingen over de 'correcte' westerse staatsvorm. Waar gaat dit heen?
Leg eventjes je thesaurus neer. ;) Hoe wordt de Westerse staatsvorm aangetast hier? Je schiet nu wel heel hard door naar samenzweringstheorieŽn.

Het afpakken van domeinnamen van kwaadwillende hackers gebeurt zeer regelmatig, niet enkel door Microsoft maar ook vele beveiligingsfirma's spannen rechtszaken aan om domeinen in handen te krijgen.
Is het zo erg?

Nee dat valt wel mee. Het gaat om het probleem wat bestreden wordt:
Er is een groep die graag domeinen registreert, maar dit op een zodanige manier doet dat ze niet persoonlijk te benaderen zijn, dit wordt gestaafd doordat Microsoft geen response ontvangt op dagvaardingen.
Deze geregistreerde domeinen worden vervolgens gebruikt als command & control servers voor doeleinden waarvan onder de jurisdictie van het tld, in dit geval .com, duidelijk is dat er sprake is van wat wij hier zouden omschrijven als computervredebreuk.
Microsoft voert aan, dat gezien het aantal mogelijk domeinnamen dat gecreŽerd kan worden, het voor haar onmogelijk is om al deze domeinen te blokkeren en vordert daarom dat ze voor 9000 potentiŽle domeinen, en zoveel meer als nodig, via een onafhankelijke partij - die zij betalen, maar die op basis van haar overige inkomsten, verre van afhankelijk zal zijn van Microsoft, beoordeelt of er sprake is van een gerechtvaardigd belang van Microsoft, waarna zij met haar oordeel aan de rechter voorlegt dat er een rechtvaardig belang is of ontbreekt, en er vervolgens een domein wordt overdragen.
In het geval er een zeperd wordt gemaakt door Microsoft, die wordt bevestigd door de court monitor, dan wordt er inderdaad een domein overgedragen aan Microsoft. Hierna klaag je als domeinhouder Microsoft aan, omdat het toch echt jouw legitieme domein was en je krijgt het wel weer terug en nog wat centen schadevergoeding erbij.
Die laatste stap gebeurt nu niet, omdat de mensen die deze Command en Control domeinen beheren erbij gebaat zijn niet bekend te worden bij bijvoorbeeld de overheid.

Het argument dat er ook mensen zijn met domeinnamen die om legitieme redenen niet bekend willen zijn bij de overheid en dat door deze constructie wel zullen worden, bijvoorbeeld de eigenaar van iets wikileaksachtigs, op deze manier achterhaald kunnen worden is gerechtvaardigd als ze daarbij het merkrecht van een grote entiteit misbruiken. Dat belang is echter afgewogen tegen het belang om snel te kunnen reageren op "inbreukmakende" domeinen, zodat misbruik van systemen wordt voorkomen. Die afweging kon de rechter volgen en is daar in mee gegaan.
Dit is een stuk beter dan bijvoorbeeld Brein vs. thePirateBay domeinen waarbij Brein maar hoeft te zeggen dat een domein bij de thePirateBay hoort en vervolgens de ISP het moet blokkeren.
Rare jongens die Amerikanen maar soms zijn ze zo gek nog niet.
Je gaf aan je zorgen te maken over een beperkte scheiding der machten, trias politica en zowel @CMD-Snake als ik beargumenteren dat daarvan geen sprake is. @CMD-Snake wat eleganter dan ik.

Daarnaast schreef je:
Wie hier verder ook aan wiens touwtjes trekt, de brug die zo geslagen is (en actief in stand gehouden wordt) conflicteert dus sowieso met contemporaine opvattingen over de 'correcte' westerse staatsvorm. Waar gaat dit heen?

En ik heb beargumenteerd dat het helemaal nergens heen gaat en dat er binnen het wettelijk systeem voldoende ruimte blijft voor toetsing op proportionaliteit en bijsturing door rechthebbenden.
Exact!!
Microsoft zet vol in op cyber oorlogvoering
Dit is mij ook wel een moment door het hoofd gegaan. Zoal ik het lees heeft die vrouw een soort aanjaagrol om het bestaande juridische systeem scherp te houden voor het vlotte verloop van deze procedures. De oplossing staat of valt met dat vlotte verloop. Zelf lijkt die vrouw dus geen formele rol in het juridische proces zelf te hebben. Maar zo iemand met veel ervaring is natuurlijk wel een luis in de pels die weet aan welke touwtjes moet worden getrokken om voortgang te houden.

Op zich heeft dit initiatief van Microsoft wel mijn sympathie. Iedereen valt over het bedrijf heen als het aankomt op de veiligheid van haar software. Stelt het bedrijf zich pro-actief op, dan zouden we dit eigenlijk moeten toejuichen. Als je de rechtspraak als een waterbed beschouwt dan ligt het genuanceerder. De druk van Microsoft zal als effect hebben dat de Microsoft procedures voortgang behouden ten koste van andere procedures. Ik wil niet zover gaan dat de Amerikaanse rechtspraak Microsoft bevoordeelt omdat Microsoft Microsoft is. Wel zouden we kritisch moeten zijn op wat voor effect dit heeft op de toegankelijkheid van die rechtspraak. De rechtspraak is maar een eindige capaciteit. Als die zaken van Microsoft veel capaciteit vreten, dan dreigen andere zaken niet aan bod te komen. En met dit laatste heb je denk ik een terecht punt.
Tsja, dan moet de capaciteit groter worden. Microsoft treedt hier in zekere zin op voor het algemeen belang en gaat natuurlijk niet zijn eigen zaken op de backburner laten plaatsen.
Ik lees nergens dat de retired judge op de loonlijst van microsoft staat.
Er wordt alleen gerept over "expenses"; een onkostenvergoeding, dus.
en dat op enkele honderden TLDs? En ga je daar hackers mee stoppen? Neen, die verzinnen natuurlijk gewoon nummer 9001 en je bent niets opgeschoten, behalve dat je voor enkele honderdduizenden dollars aan domeinnamen hebt gekocht die je niet nodig hebt maar nu wel jaarlijks gaat moeten vernieuwen om te voorkomen dat ze alsnog in handen van criminelen vallen die dan ineens een echt, voormalig MS domein hebben.
In de malware zit vaak een lijst of algoritme ingebakken van domeinnamen warmee moet geprobeerd worden om te communiceren. Het is dan gewoon een kwestie om op het juiste moment de juiste naam wel te registreren om de controle te krijgen over de bots en/of ze iets bepaald te laten uitvoeren.

Dat zijn er voor deze malware dus mogelijk 9.000 maar het hadden er evengoed veel meer kunnen zijn. Hangt er wat vanaf hoe geavanceerd de malware is een hoe goed je de toekomstige namen verborgen kan houden voor de onderzoekers.

Het trucje om gewoon de tijd te versnellen of de datum te verzetten om te kijken wat de malware gaat doen in de komende weken is ook alweer achterhaald of geeft expres een verkeerd resultaat... kat en muis :)
Ik denk dat ze juist open laten zodat ze degene te pakken kunnen krijgen.
Het gaat ze niet om het misbruik van de merknaam. Het idee is dat Microsoft die domeinen in handen wil krijgen nadat ze door hackers in gebruik zijn genomen. Op die manier kunnen ze het verkeer dat malware richting de c&c stuurt opvangen en analyseren.

Het merknaam gebeuren is een bijzaak om de domeinen in handen te krijgen.
dit zal allicht werken met .com en .net domeinenen.
maar als die russische staatshackers nou gewoon rssms.ru of iets dergelijks registreren dan kan de Russische overheid dit toch gewoon blokkeren?
Zeker, maar als ze een *.ru nemen weet men ook direct uit welk land ze komen wanneer de overheid onnodig dwars gaat liggen bij een verzoek van Microsoft.
HŻh? Waarom zou de (Russische) overheid z'n eigen medewerkers willen frustreren?
Ik bedoel acties van ms blokkeren. Niet de site zelf.
Op zich sta ik er nu pas bij stil dat die domeinregistratie anoniem kan gebeuren. Hieraan zijn ook vast voordelen, als ik denk aan het oprichten van onafhankelijke nieuwsagentschappen in landen waar de rechtstaat onder druk staat.

Het is daarom makkelijk te roepen dat het afgelopen moet zijn om anoniem domeinen te kunnen registreren, hieraan zitten consequenties. Maar de excessen die de anonieme domeinregistratie ons nu oplevert zorgt er wel voor dat onze rechtspraak (in dit geval va de VS) op een inefficiŽnte manier alleen maar de gevolgen van deze anonieme domeinregistratie kan opruimen zonder zich over de oorzaak te kunnen buigen.

Dit verhaal laat zien dat ondanks alle inspanning de rechtelijke macht geen millimeter dichter bij de veroordeling van de schuldigen komt. En dat laatste moeten we als samenleving niet willen. Vanuit mijn optiek moet die anonieme domeinregistratie dus ter discussie worden gesteld.

[Reactie gewijzigd door teacup op 22 juli 2017 06:10]

Ik zeg block alle verkeer naar sites die geen EV certificaat hebben en klaar.
Ja, een EV-certificaat dekt in ieder geval het anonimiteitsissue af. Er wordt pas gecertificeerd als de certificerende partij zich aan een identiteitscontrole heeft laten onderwerpen. Maar als ik dan lees dat voor de controle va de bedrijfsgegevens de informatie va de kamer va Koophandel wordt gebruikt, dan denk ik al weer: "hoeveel oplichters lopen er niet met een kvk nummer in het rond".

Begrijp mij alsjeblieft niet verkeerd, het is heel makkelijk overal een bezwaar tegen te vinden. Een extra drempelverhoger zal het zeker wel zijn. Het proces van het aanvragen van nieuwe domeinen wordt zo in ieder geval nog omslachtiger, trager en duurder gemaakt. En eigenlijk hou ik wel van sterke en duidelijke maatregelen, geen slappe hap ;). Klaar is het alleen niet, want het kat en muis spel wordt alleen naar een ander niveau getild, tot het zo'n gedoe geeft dat het economisch niet interessant meer is.
Goede zaak lijkt me. Sowieso op basis van merkrecht zou ms veel van die domeinen met naam van ms er in zo in handen kunnen krijgen. Moet alleen via een rechtszaak en daarom is het misschien beter als registrars geen domeinen registreren waar merknamen van bedrijf als ms google apple en dergelijke in zouden zitten.
Goede zaak lijkt me. Sowieso op basis van merkrecht zou ms veel van die domeinen met naam van ms er in zo in handen kunnen krijgen. Moet alleen via een rechtszaak en daarom is het misschien beter als registrars geen domeinen registreren waar merknamen van bedrijf als ms google apple en dergelijke in zouden zitten.
Het klinkt op het eerste gezicht aardig maar het is een onmogelijke opgave. Er zijn veel te veel merknamen, zo'n beetje ieder woord uit het woordenboek is wel door iemand geregistreerd. Een merk geeft echter nog geen alleenrecht. 'ajax' is een merk van een voetbalclub en van een schoonmaakmiddel. 'apple' wordt gebruikt in de IT-industrie ťn in de muziek-industrie, maar een fruitboer zou er ook best aanspraak op kunnen maken. Tot slot zijn de meeste merken ook nog eens regiogebonden maar die regio's komen niet altijd mooie overheen met TLD's, .nl en .de zijn nog wel duidelijk, maar onder welk land (en dus onder welk merkenrecht) van .shop ?
Als registrars nu eerst eens zorgen dat je alleen kunt registreren als ze je persoonlijke/bedrijfsgegevens hebben, dan is het in een geval als deze tenminste mogelijk om de verantwoordelijken te achterhalen.
En de regel dat als je registratie wordt aangevochten, dat je binnen een bepaalde tijd moet reageren en anders je registratie kwijtraakt.
Misschien hebben de providers wel de gegevens, maar geven zij die niet zomaar af.
Als je de WHOIS van mijn domeinen opzoekt krijg je ook mijn gevens niet te zien, maar die van mijn provider.

Buiten dat al denk ik, dat voor dat soort personen een vals identiteitsbewijs een kleine moeite is.
In het artikel staat dat ze via de registrars geprobeerd hebben de eigenaars te benaderen maar dat er niet gereageerd wordt.
Natuurlijk, de gegevens hoeven niet voor iedereen beschikbaar te zijn. Maar voor onderzoek als deze zou het wel gewenst zijn dat ze te achterhalen zijn. Computervredebreuk is in veel landen strafbaar.
ben je wel effectief eigenaar? het zou niet de eerste hoster zijn die zichzelf opgeeft en je als klant achteraf problemen hebt om je domein te verhuizen
Ja ik ben de eigenaar.
Alleen de contactgegevens staan op de naam van mijn provider.
Buiten dat al denk ik, dat voor dat soort personen een vals identiteitsbewijs een kleine moeite is.
Euh, de lui worden verondersteld staathackers te zijn. Die hebben niet eens een valse identiteit nodig
klopt maar hier gaat het specifiek op merknamen van bijv ms die gebruikt worden voor hacken van windows, c.q malware aanbieden, doen overkomen dat het echt om ms gaat.
bij Apple is het wel wat lastiger: appletree.com applearehealth,etc.. daarnaast zou je het dan voor elk bedrijf moeten doen, omdat ook kleine bedrijven slachtoffer zijn van domeinnaam problemen.
Dat "probleem" heeft Microsoft natuurlijk ook met "windows", "office", "word", "edge", etc.
Valt wel mee toch.
De meest lijkende op apple/logo bestaan toch niet meer omdat Apple het te veel op hun naam/logo vindt lijken.
Dingetje in Duitsland ging om de Metro merknaam :) Daarom heet dat nu Modern UI.


Edit:
https://en.m.wikipedia.org/wiki/Metro_AG#History

[Reactie gewijzigd door mrdemc op 21 juli 2017 16:26]

Mooi, hoe je doormiddel van domein namen iemand zijn operaties kan verpesten
Welnee, dit is alleen maar gepest. Ze registreren weer nieuwe domeinen, passen hun software aan en gaan gewoon door.
en dan pakt iemand anders dat domein, en zo blijft het doorgaan.
De toewijzing van Microsofts eisen leidde tot een kat-en-muisspel met de groepering, die steeds nieuwe domeinnamen registreerde.
Joh, maar je moet de boel wel weer opnieuw binnen weten te dringen.

Tevens is weten hoe de communicatie verloopt en de hele bende werkt, handig om te weten, zodat je het in de toekomst kan voorkomen. Het is een kat en muis spelletje, maar dat is security altijd al geweest en zal het altijd blijven.
Gaan ze nu gelijk je computer repareren zodra die weer contact opneemt?

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*