Nederlandse politie haalt samen met FBI Redline- en Meta-infostealers offline

De Nederlandse politie heeft maandag, samen met de FBI en andere politiediensten, de Redline- en Meta-infostealers offline gehaald. De diensten deden dat onder de noemer Operation Magnus. De politie zegt binnenkort met meer informatie te komen.

De politiediensten hebben Operation Magnus op maandag aangekondigd op een eigen website. "Op 28 oktober 2024 heeft de Nederlandse Nationale Politie, in nauwe samenwerking met de FBI en andere partners van de internationale taskforce Operation Magnus, de operatie van de Redline en Meta infostealers verstoord", staat daarop vermeld.

De politiediensten meldden op maandag dat ze toegang hebben verkregen tot de servers achter deze infostealers. Daarmee is ook alle broncode van de malware en de gegevens van hun gebruikers bemachtigd. “Betrokken partijen zullen op de hoogte worden gebracht en er worden juridische stappen ondernomen", luidt de Operation Magnus-website. De politie komt op dinsdag 29 oktober om 12.00 uur Nederlandse tijd met meer nieuws over de operatie.

Redline en Meta zijn veelgebruikte infostealers die zich richten op het Windows-besturingssysteem, schrijft ook Bleeping Computer. Het betreft malware waarmee kwaadwillenden de gegevens van slachtoffers stelen, zoals wachtwoorden, authenticationcookies en gegevens rondom cryptowallets. Die gestolen gegevens worden daarna gebruikt of verkocht om cyberaanvallen mee uit te voeren.

Reacties (26)

multiplexer 28 oktober 2024 16:08

Ik mag graag een beetje mopperen op de politie, en hoe ze "klein bier"-fraude te weinig prioriteit lijken te geven... maar ben ook wel een beetje trots dat "onze jongens/meiden in blauw" op aardig niveau meespelen, en internationaal opererende netwerken van labbekakken onderuit halen. Eerder ook al met No More Ransom. Wellicht dat die netwerken juist in NL actief zijn doordat we iets te laks zijn geweest in het neerhalen van safe-haven hosters voor dit soort praktijken, maar dat mag de pret niet drukken.

Ook leuk dat ze met een beetje humor naar de afnemers van zulke diensten communiceren om ze nerveus te maken over het feit dat hun gegevens nu bekend zijn - moest best glimlachen om het filmpje dat ze op de Operation Magnus site plaatsten.

blorf @multiplexer • 28 oktober 2024 16:16

Het is symptoombestrijding. Die infostealers zijn niet het probleem maar het gat dat ze gebruiken. Anders maken ze het uitgaande verkeer eens helder voor de eindgebruiker. Die programma's kunnen bestaan omdat ze dat verzuimen.

multiplexer @blorf • 28 oktober 2024 16:41

Ik denk ik dat ik begrijp wat je zegt... maar al het uitgaande verkeer zichtbaar maken wat vanaf een PC (of netwerk) loopt is tegenwoordig geen haalbare kaart meer. Alleen al het opvragen van één enkele webpagina genereert al zo veel requests dat het vrij simpel is om tussen al die ruis (versleuteld) de data te verstoppen die je wilt exfiltreren. Voeg daar alle auto-updaters en andere zooi aan toe, en ik wens je veel succes om uit al dat verkeer te herkennen wanneer er iets malafide tussen zit.

Mijns inziens is juist wat deze actie doet het probleem bij de wortel aanpakken. Als bekend is dat infostealers gebruiken een reëel risico met zich meebrengt dat die infostealer-ontwikkelaar gepakt wordt door zulke operaties, en dat jouw naam en contactgegevens vervolgens bij de FBI/Landelijke Eenheid terecht komt, dan bedenk je je wel twee keer voordat je langs deze weg probeert om een extra zakcentje te verdienen. Tot nu toe lijkt het alsof zulke "crime as a service" een pakkans van vrijwel nihil heeft, waardoor het steeds aantrekkelijker wordt.

blorf @multiplexer • 28 oktober 2024 17:06

Dat is absoluut haalbaar. Geen enkele uitgaande byte kan worden verborgen voor de administrator, tenzij het OS die autoriteit opeist en de info afschermd maar er zelf onvoldoende mee doet.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Malware
Cybercrime

@blorf • 28 oktober 2024 16:49

Anders maken ze het uitgaande verkeer eens helder voor de eindgebruiker.

Welke gebruiker zal dat verkeer begrijpen en kunnen duiden? Dit nog los van het feit dat veel proprietary en /of encrypted is en in zeer grote hoeveelheden wordt verstuurd? Dit is geen haalbare zaak voor de doorsnede consument.

blorf @Bor • 28 oktober 2024 16:55

"programma X -probeert- een tcp-ip verbinding te openen naar url Y,gebruikmakend van protocol: Z"
Accepteren? Y/N
Dit is een serieuze dreiging. Een OS dat niks laat zien is onacceptabel.

[Reactie gewijzigd door blorf op 28 oktober 2024 16:56]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Malware
Cybercrime

@blorf • 28 oktober 2024 16:56

Ook al maar je het zo relatief simpel; welke doorsnede consument begrijpt ook maar iets van wat je hier post?

TCP-IP

URL

Protocol

Als Facebook het maar doet... (is dan al snel de reactie).

Bovendien zegt bovenstaande nog niets over wat er nu exact wordt uitgewisseld. Het is niet voor niets dat de default instelling van bv de Windows Firewall deze vragen niet aan de gebruiker voorlegt.

[Reactie gewijzigd door Bor op 28 oktober 2024 16:57]

blorf @Bor • 28 oktober 2024 16:59

Dan blokkeren? Als het te ingewikkeld is voor de gebruiker lijkt het me dat dat de default actie moet zijn. Als er iets niet werkt weten we waar het aan ligt.

multiplexer @blorf • 28 oktober 2024 17:29

Dat was ongeveer hoe de firewall van Windows XP standaard werkte... met als netto-resultaat dat gebruikers hem massaal uitschakelden of zichzelf aanleerden om bij elk verzoek op OK/whitelist te klikken.

blorf @multiplexer • 28 oktober 2024 18:32

Dat is zo sinds iedereen TCP/IP gebruikt. Je kan met de nodige permissies alles zien wat er over een lijn gaat. Geen uitzonderingen.

OruBLMsFrl @blorf • 28 oktober 2024 17:50

Dit helpt ook niet tegen moderne malware. Die hebben overal wat wegwerp accountjes zoals bij OneDrive, GDrive, etc... dus die gebruiker welke werkt met OneDrive, daar doen ze de data exfiltratie naar een van hun eigen accountjes bij OneDrive, enzovoorts. Die gebruiker heeft in jouw format:
"programma X -probeert- een tcp-ip verbinding te openen naar url Y,gebruikmakend van protocol: Z"
helaas allang geaccepteerd wat maar nodig is om OneDrive te laten werken, en daar gaat dus je gevoelige data vervolgens dus ook heen.
En die diensten zitten wereldwijd op allerlei IP blokken en zo meer, om daar ooit nog een patroon in te vinden op netwerkniveau dat het twee verschillende soorten gebruik zijn van een identieke cloud dienst: succes helaas, die URL's lijken ook enorm op elkaar. En zo een analyse is heel ver verwijderd van elke eindgebruiker, of zelfs gemiddelde systeembeheerder welke op een veel basaler niveau de boel draaiend moet houden en daar de handen al vol aan heeft.

Coffee @Bor • 29 oktober 2024 08:06

Dit is precies wat Little Snitch en een vergelijkbare software doen. Werkt perfect eigenlijk. Je moet je wel enigszins verdieping in welke regio’s en verbindingtypen je applicaties nodig hebben.

Ik kijk meestal voornamelijk naar de domeinnaam en eventueel subdomein. Bijvoorbeeld zou een Twitter client wel contact mogen leggen met Twitter, maar niet met Google (tenzij nodig voor Google Account login).

Passkes @multiplexer • 28 oktober 2024 16:36

Ik vermoed zelf ook dat de servers in Nederland stonden en dat ze daarom meewerkten aan het geheel. Niet te min fijn dat er iig iets gebeurd

[Reactie gewijzigd door Passkes op 28 oktober 2024 16:38]

magnifor @multiplexer • 28 oktober 2024 18:23

Zolang ze niets doen tegen telefoondiefsfal ondanks dat je duidelijk kunt aantonen waar het toestel zich bevind geef ik weinig om dit soort acties.

The-Source @magnifor • 28 oktober 2024 19:10

Nu zijn er ook bij de politie diverse divisies en fysieke diefstal is weer een andere afdeling dan cybercrime.
En met de laatst genoemde vandaag nog contact gehad over een lopende zaak. En voor zover er informatie gedeeld mag/kan worden snap ik wel beter waardoor zaken lang kunnen duren. Wanneer daarover echt meer nieuws te delen valt ( wat het onderzoek niet tegen werkt) dan zal het topic daarover geupdate worden. Gaat dan overigens niet over kosten van een telefoon maar goede 30k

magnifor @The-Source • 28 oktober 2024 20:02

Mijn tel is gestolen eerder dit jaar. Via find my phone redelijk kunnen aantonen waar het zich bevind, 0 moeite gedaan door ze. Dus blijkbaar loont het om te stelen meb doet toch niks.

CivLord

@magnifor • 30 oktober 2024 13:13

0 moeite gedaan omdat men het te druk had met koffiedrinken? Of 0 aandacht kunnen geven omdat men al met 1001 andere zaken bezig was die door de politiek een hogere prioriteit hebben gekregen?
De politie is één van de overheidsorganisaties die de afgelopen jaren zoveel reorganisaties, herstructureringen, personeelsstops, personeelsinkrimpingen, personeelsuitbreidingen en herprioriteringen hebben ondergaan dat het intussen een godswonder mag heten dat er nog iets van functioneert.

magnifor @CivLord • 30 oktober 2024 15:29

Er wordt 0 gedaan omdat het niks oplevert voor de staatskas. Maar ze weten je wel prima op te sporen als je te hard rijdt. Het is een kwestie van prioriteiten