Nationale Recherche haalt Bredolab-botnet uit de lucht

Het Team High Tech Crime stelt het Bredolab-botnet offline te hebben gehaald door 143 servers af te sluiten. Deze stonden bij hoster LeaseWeb opgesteld. Het botnet zou sinds juli 2009 actief zijn en wereldwijd 30 miljoen pc's besmet hebben.

De Nationale Recherche heeft bij de actie samengewerkt met Leaseweb, beveiligingsfirma Fox IT, het NFI en Govcert.nl, het Computer Emergency Response Team van de Nederlandse overheid. Criminelen zouden bij een klant van LeaseWeb een aantal servers hebben gehuurd en van daaruit wereldwijd pc's hebben besmet door de Bredolab-trojan te verspreiden.

Het Team High Tech Crime stelt dat het in de zomer van 2009 signalen kreeg dat de Bredolab-trojan in een maand tijd wereldwijd 3 miljoen pc's had besmet. Na een besmetting zouden deze pc's deel uit maken van een botnet. Eind 2009 zouden vanuit de Nederlandse servers dagelijks circa 3,6 miljard e-mails zijn verstuurd waarin de Bredolab-trojan als attachment was verpakt. De malware zet na een succesvolle besmetting de deur open voor het ongemerkt installeren van nog meer kwaadaardige software, waaronder sniffers en keyloggers.

Maandag ging de opsporingsdienst over tot actie en besloot 143 servers af te sluiten die bij hostingprovider Leaseweb stonden. De Nationale Recherche stelt dat LeaseWeb volledig heeft meegewerkt aan het offline halen van de systemen. Voor zover bekend zijn er geen arrestaties verricht; de cybercriminelen achter de Bredolab-malware zouden zich schuilhouden in Oost-Europa.

Het KLPD, waarvan de Nationale Recherche deel uitmaakt, laat weten dat het de komende tijd gebruikers van geïnfecteerde computers actief wil gaan waarschuwen. Dit zou moeten gebeuren door via de restanten van het botnet een waarschuwing te verspreiden. Deze zou zichtbaar moeten worden op het beeldscherm van besmette Windows-pc's. De Nationale Recherche sluit echter niet uit dat het botnet in de toekomst weer in handen zal vallen van de maker. Alleen een arrestatie zou dit kunnen voorkomen.

IT-banen

Reacties (103)

amx 26 oktober 2010 12:46

dit is overigens al eens eerder gedaan

http://www.youtube.com/watch?v=2GdqoQJa6r4

jbouwh 25 oktober 2010 19:20

Ik vraag me toch af hoe het kan bestaan dat een hosting provider zolang kan toezien dat er zoveel kwaadaardig 'verkeer' vanaf de servers komt zonder tot actie over te gaan.
Lijkt me een slechte zaak voor het imago van LeaseWeb.

Anoniem: 264902 @jbouwh • 25 oktober 2010 19:39

Ja idd, "ze werken mee", maar je gaat me niet wijsmaken dat een systeem onopgemerkt zomaar 3,6 miljard! mails/dag!! kan versturen zonder dat de hosting daar iets van opmerkt. Ofwel stonden daar een aantal managers met nummers te zwaaien "kijk hoeveel er bij ons gebeurt" en gaan er een aantal meppen voor krijgen. Helaas zal dit wel weer doorgegeven worden naar de normale werknemer die geen zicht heeft op de cijfers.

kimborntobewild @Anoniem: 264902 • 25 oktober 2010 20:11

3,6 miljard emailtjes... Da's misschien zo'n 3,6 miljard kB. Zo'n 42MB per seconde. Da's een druppel op de gloeiende plaat... Zo'n Leaseweb heeft misschien wel 1GB/sec data. Dus als je niet speciaal op zoek gaat, merk je er inderdaad niks van.

Scharnout @kimborntobewild • 25 oktober 2010 20:57

http://leasewebnoc.com/index.html, maar daar maar 750 Gbps van

En denk je dat de recherche vandaag die mooie oplossingen bedacht heeft om dat botnet te gebruiken? Je weet toch niet wanneer er wat heeft plaatsgevonden. Misschien hebben ze onwijs veel kennis opgedaan door te observeren. Ik zou Leaseweb wat meer credits geven.

kimborntobewild @Scharnout • 3 november 2010 12:56

Soms zelfs 780 gigabyte per seconde, volgens een beveiliger daar. Nog eens ruim 8x zoveel

Plofkotje @Anoniem: 264902 • 25 oktober 2010 20:49

Servers bij Leaseweb waren warschijnlijk command & control.. De servers die de bots aanstuurde om als een gek te gaan spammen..

YaPP @jbouwh • 26 oktober 2010 10:31

Het is risicovol om een botnet server ineens uit te zetten. Je kunt er onverwachte reacties mee ontlokken van de gehackte computers, die ineens zichzelf gaan formatteren of iets anders gaan DDOS'en

Ook verspil je op die manier je mogelijkheid om het botnet te onderzoeken, in kaart te brengen of de bende te achterhalen.

[Reactie gewijzigd door YaPP op 30 juli 2024 16:23]

BTB @jbouwh • 25 oktober 2010 19:29

Heeft dan wel lang geduurd ja, niet alleen van de kant van LeaseWeb...

roy-t @BTB • 25 oktober 2010 19:43

Inderdaad, je zou toch wel merken als er over jouw verbinding 3600 Miljoen mails per dag worden verstuurd.

thegve @roy-t • 25 oktober 2010 20:07

Dat gaat niet via de servers van leaseweb, dat gaat via die bots. Servers bij leaseweb zijn alleen 'command and control', oftewel die sturen alleen die bots aan ( a la, stuur dit spam mailtje naar deze lijst met mensen ), ofwel 'scan deze IP range en infecteer daar zo veel mogelijk andere computers'.

jbouwh @thegve • 25 oktober 2010 22:47

Dan blijkt maar weer dat een ISP aardig wat spullen in huis moet hebben om dit control verkeer inzichtelijk te maken. Een goed IPS systeem is een flinke investering.
Mij dunkt toch dat je daarmee aardig zou moeten kunnen zien dat er iets flink mis is.
Dergelijke systemen kunnen op 'applicatie niveau' (OSI laag 7) kijken naar het gedrag van verkeersstromen.
Met zoveel bots in het net zal er toch ook nog aardig wat 'control' verkeer zijn geweest.
Probleem is wel dat er dan aardig wat aan extra beheer taken van ISP's komt kijken. Daar zitten ze natuurlijk niet echt op te wachten.

Nijn @jbouwh • 26 oktober 2010 01:48

De vraag is: Moet je dat als Colo willen? Ik zie heel wat tegenargumenten..

- Kosten. De througput op het Leaseweb netwerk betrof bijna een jaar geleden al meer dan 500 Gbps. De hardware aanschaffen om dat te monitoren is een hele flinke investering. Laat staan het personeel om de boel te analyseren.
- Vertraging. Hoe goed je hardware ook is, er zal altijd een vertraging optreden.
- Concurentie. Als bedrijf ga ik liever naar een provider die niet precies in kaart brengt hoe mijn software met mijn servers communiceert. Sterker nog, misschien wel logt wat mijn software met mijn servers communiceert.
- Nut. Dit heeft nut als alle colo's het doen. Zo niet, dan plaats je je zooi toch lekker bij een andere colo? Commercieel gezien kost het Leaseweb dan enkel geld (klanten).

maarten12100 25 oktober 2010 19:19

3,6 miljard emails slechts 3 miljoen besmet niet extreem efectieve trojan dan.
Maar als dit gebruikt werd voor fraude is het natuurlijk wel een megakraak van die met een mooi woord genoemde cybercriminelen

Oftopic:
De recherche is wel traag met handelen als ze in 2009 signalen kregen dat er een trojan werd versprijd(een trojan die niet gedetecteerd word)

thegve @maarten12100 • 25 oktober 2010 20:06

De recherche wil weten wie er achter zit en moet eerst voldoende bewijs hebben. Zou goed kunnen dat de boefjes eerst een botnet hebben aangelegd, en toen bezig zijn gegaan met verkopen. Kun je ze veel beter pakken op het moment dat ze hun net in de aanbieding doen.

stresstak @thegve • 26 oktober 2010 15:54

De recherche wil weten wie er achter zit en moet eerst voldoende bewijs hebben. Zou goed kunnen dat de boefjes eerst een botnet hebben aangelegd, en toen bezig zijn gegaan met verkopen. Kun je ze veel beter pakken op het moment dat ze hun net in de aanbieding doen.

Ze zijn echter niet gepakt dus het duurt nog langer.

Maarten21

@maarten12100 • 25 oktober 2010 20:50

Er staat 30 miljoen.
3 miljoen in de eerste maand

dus rond de 100 mailtjes per client. Niet erg veel inderdaad. Maar het moet natuurlijk niet teveel opvallen.

Anoniem: 310408 @maarten12100 • 25 oktober 2010 20:49

Oftopic:
De recherche is wel traag met handelen als ze in 2009 signalen kregen dat er een trojan werd versprijd(een trojan die niet gedetecteerd word)

Als je kan aangeven hoe dat sneller kan ben ik er zeker van dat ze je graag eens onvangen voor een gesprek. Denk echter dat je er niets van weet en alleen 2009 met de huidige datum hebt vergeleken.

Anoniem: 298195 25 oktober 2010 19:28

ongeveer 5% opent die attachment
1 op de 20 ofzo

of ik zit er compleet naast

[Reactie gewijzigd door Anoniem: 298195 op 30 juli 2024 16:23]

Anoniem: 80466 @Anoniem: 298195 • 25 oktober 2010 19:35

Als je die binnenkrijgt.
Waarschijnlijk wordt 95% al weggefilterd door je mailprovider

Anoniem: 310408 @Anoniem: 298195 • 25 oktober 2010 20:55

Als 1 op de 335.000 mensen er in trapt loont het al de moeite om een doosje namaak medicijnen te verkopen. Spam kost op dit moment minder dan de helft die het koste een jaar geleden. En toen was het al vrijwel niets. Vraag maar eens rond. $1 voor 5000 emails is heel gewoon.

Natuurlijk moet je dan wel vertrouwen op dit soort criminelen. Ik heb een (onwetende) kennis die $250 heeft betaald voor een spam mail die naar mijn idee helemaal nooit op een botnet is gezet.

YopY 25 oktober 2010 20:17

De KLPD, waar de Nationale Recherche deel van uit maakt, laat weten dat het de komende tijd gebruikers van geïnfecteerde computers actief wil gaan waarschuwen. Dit zou moeten gebeuren door via de restanten van het botnet een waarschuwing te verspreiden. Deze zou zichtbaar moeten worden op het beeldscherm van besmette Windows-pc's.

"Your computer has been infected with 2,568 threats!"? Ja, dat zullen veel mensen gaan geloven,

Koesper @YopY • 25 oktober 2010 20:26

Als ik botnetbeheerder was zou ik daar nu mooi op inspringen. Gewoon mooie pagina fabriceren met logotje KLPD er op, chique waarschuwings tekstje etc.. En dan 'even ter bevestiging' nog wat persoonsgegevens vragen etc...

Anoniem: 95522 @Koesper • 26 oktober 2010 12:50

breng ze nou alsjeblieft niet op ideeen....

stresstak @YopY • 26 oktober 2010 15:59

"Your computer has been infected with 2,568 threats!"? Ja, dat zullen veel mensen gaan geloven, .

[_] Click here for your solution.

HoppyF 25 oktober 2010 20:35

Wat ik zo vreemd vind is het feit dat men deze servers nu pas laat afsluiten terwijl het al zolang bekend was dat het hier om een botnet ging.

Als de recherche nu het brein en handlangers had opgepakt na een lange tijd zoeken had ik hier begrip voor op kunnen brengen.
Als het alleen maar te doen was om het afsluiten van een zooitje botnet servers hadden ze dit ook na 1 week al kunnen doen.

JKP @HoppyF • 25 oktober 2010 20:57

Het zou goed mogelijk kunnen zijn dat ze eerst hebben geprobeerd de bende op te rollen. Zoals je in het bericht leest is dat (helaas) nog niet gelukt.

Een andere mogelijkheid wordt hieronder door Crazius gezegd.

Overigens vind ik het wel vreemd dat een bedrijf als LeaseWeb dit niet doet. Je mag verwachten dat men alles dag en nacht monitort en dus ook een botnet zouden kunnen ontdekken.

Mantis 25 oktober 2010 20:58

Dat is toch immens 143 servers. Dat is een dikke 6 racks vol. Iemand een idee over wat voor hardware het hier gaat?

FreezeXJ @Mantis • 25 oktober 2010 22:31

Keurige servers van een bedrijf, waar men totaal geen idee heeft wat er allemaal draait voor leuks, naast hun eigen bedrijfsnaam.nl... Niet iedere sysadmin (zo men deze al heeft) houdt dagelijks z'n verstuurde spullen bij...

Anoniem: 310408 25 oktober 2010 21:02

Leaseweb verstookt 70 gigabyte per seconde. Ga jij daar maar eens 45 mb/sec van email tussenuit sniffen daar heb je geen apparatuur voor.

http://www.leasewebnoc.com

Mmmmm, ik kan op onze servers wel zien als er een plotselinge stijging van uitgaand verkeer is op een server. Niet al te ingewikkeld. Je moet natuurlijk wel goed vinden dat je ISP dat soort dingen checked.

Veel tweakers zullen dat niet accepteren (ik neem ook aan dat die niet willen dat je bank je belt als je creditcard opeens 5 dagen lang een maximale opname in cash heeft in Tukmenistan). Net zoals ik het uitstekend vind dat mijn ISP ons belde toen we een nieuwsletter (opt in) verstuurde vanaf een andere server.

Smylodon @Anoniem: 310408 • 25 oktober 2010 22:50

Zoals eerder gezegd zijn deze servers niet zelf mail aan het versturen, maar waarschijnlijk enkel 'command and control' - anders hadden ze het botnet niet nodig voor al die mailtjes.
Het resultaat is dan dus ook dat je enkel een relatief constante stroom aan data hebt tussen de geïnfecteerde computers en de servers die verder niet bijzonder opvalt.

Dennizz 25 oktober 2010 22:45

Mjah, ik zou mijn bots iig instrueren een x aantal domeinnamen te bereiken als de c&c niet meer bereikbaar is. Niet allemaal tegelijk natuurlijk maar om de week een andere ofzo

. Misschien hebben ze wel "alternative" DNS servers staan wereldwijd. Het verkeer daarvan zou niet opvallen en de bots kunnen altijd hun nieuwe c&c bereiken als deze DNS servers geupdate zijn met de nieuwe ip's. In dat geval zullen de bots waarschijnlijk heel snel niet meer naar de leaseweb servers connecteren en is het ook niet meer mogelijk om countermeasures te nemen.

Ik vermoed dus dat deze jongens slim genoeg zijn om de bots weer op te kunnen pikken.

YopY @Dennizz • 25 oktober 2010 23:08

Dan zou ik eerder een Stuxnet-achtige maken, die ook werkt zónder centrale C&C server - een p2p botnet dat via technologieën als DHT de instructies ontvangt en doorstuurt naar andere leden van het botnet.

Oulewappeur 26 oktober 2010 00:52

Lekker handig via datzelfde botnet een waarschuwing verspreiden. Dan denken mensen juist dat ze daardoor besmet zijn...

AnderNeo @Oulewappeur • 26 oktober 2010 08:21

Dat is ook het hele idee toch? Ik bedoel 'Deze zou zichtbaar moeten worden op het beeldscherm van besmette Windows-pc's'

Op dit item kan niet meer gereageerd worden.

Nationale Recherche haalt Bredolab-botnet uit de lucht

Lees meer

IT-banen

Reacties (103)

Sorteer op:

Weergave: