Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 103 reacties

Het Team High Tech Crime stelt het Bredolab-botnet offline te hebben gehaald door 143 servers af te sluiten. Deze stonden bij hoster LeaseWeb opgesteld. Het botnet zou sinds juli 2009 actief zijn en wereldwijd 30 miljoen pc's besmet hebben.

De Nationale Recherche heeft bij de actie samengewerkt met Leaseweb, beveiligingsfirma Fox IT, het NFI en Govcert.nl, het Computer Emergency Response Team van de Nederlandse overheid. Criminelen zouden bij een klant van LeaseWeb een aantal servers hebben gehuurd en van daaruit wereldwijd pc's hebben besmet door de Bredolab-trojan te verspreiden.

Het Team High Tech Crime stelt dat het in de zomer van 2009 signalen kreeg dat de Bredolab-trojan in een maand tijd wereldwijd 3 miljoen pc's had besmet. Na een besmetting zouden deze pc's deel uit maken van een botnet. Eind 2009 zouden vanuit de Nederlandse servers dagelijks circa 3,6 miljard e-mails zijn verstuurd waarin de Bredolab-trojan als attachment was verpakt. De malware zet na een succesvolle besmetting de deur open voor het ongemerkt installeren van nog meer kwaadaardige software, waaronder sniffers en keyloggers.

Maandag ging de opsporingsdienst over tot actie en besloot 143 servers af te sluiten die bij hostingprovider Leaseweb stonden. De Nationale Recherche stelt dat LeaseWeb volledig heeft meegewerkt aan het offline halen van de systemen. Voor zover bekend zijn er geen arrestaties verricht; de cybercriminelen achter de Bredolab-malware zouden zich schuilhouden in Oost-Europa.

Het KLPD, waarvan de Nationale Recherche deel uitmaakt, laat weten dat het de komende tijd gebruikers van geïnfecteerde computers actief wil gaan waarschuwen. Dit zou moeten gebeuren door via de restanten van het botnet een waarschuwing te verspreiden. Deze zou zichtbaar moeten worden op het beeldscherm van besmette Windows-pc's. De Nationale Recherche sluit echter niet uit dat het botnet in de toekomst weer in handen zal vallen van de maker. Alleen een arrestatie zou dit kunnen voorkomen.

Gerelateerde content

Alle gerelateerde content (29)
Moderatie-faq Wijzig weergave

Reacties (103)

Ik vraag me toch af hoe het kan bestaan dat een hosting provider zolang kan toezien dat er zoveel kwaadaardig 'verkeer' vanaf de servers komt zonder tot actie over te gaan.
Lijkt me een slechte zaak voor het imago van LeaseWeb.
Ja idd, "ze werken mee", maar je gaat me niet wijsmaken dat een systeem onopgemerkt zomaar 3,6 miljard! mails/dag!! kan versturen zonder dat de hosting daar iets van opmerkt. Ofwel stonden daar een aantal managers met nummers te zwaaien "kijk hoeveel er bij ons gebeurt" en gaan er een aantal meppen voor krijgen. Helaas zal dit wel weer doorgegeven worden naar de normale werknemer die geen zicht heeft op de cijfers. :+
3,6 miljard emailtjes... Da's misschien zo'n 3,6 miljard kB. Zo'n 42MB per seconde. Da's een druppel op de gloeiende plaat... Zo'n Leaseweb heeft misschien wel 1GB/sec data. Dus als je niet speciaal op zoek gaat, merk je er inderdaad niks van.
http://leasewebnoc.com/index.html, maar daar maar 750 Gbps van :)

En denk je dat de recherche vandaag die mooie oplossingen bedacht heeft om dat botnet te gebruiken? Je weet toch niet wanneer er wat heeft plaatsgevonden. Misschien hebben ze onwijs veel kennis opgedaan door te observeren. Ik zou Leaseweb wat meer credits geven.
Soms zelfs 780 gigabyte per seconde, volgens een beveiliger daar. Nog eens ruim 8x zoveel :).
Servers bij Leaseweb waren warschijnlijk command & control.. De servers die de bots aanstuurde om als een gek te gaan spammen..
Het is risicovol om een botnet server ineens uit te zetten. Je kunt er onverwachte reacties mee ontlokken van de gehackte computers, die ineens zichzelf gaan formatteren of iets anders gaan DDOS'en

Ook verspil je op die manier je mogelijkheid om het botnet te onderzoeken, in kaart te brengen of de bende te achterhalen.

[Reactie gewijzigd door YaPP op 26 oktober 2010 10:32]

Heeft dan wel lang geduurd ja, niet alleen van de kant van LeaseWeb...
Inderdaad, je zou toch wel merken als er over jouw verbinding 3600 Miljoen mails per dag worden verstuurd.
Dat gaat niet via de servers van leaseweb, dat gaat via die bots. Servers bij leaseweb zijn alleen 'command and control', oftewel die sturen alleen die bots aan ( a la, stuur dit spam mailtje naar deze lijst met mensen ), ofwel 'scan deze IP range en infecteer daar zo veel mogelijk andere computers'.
Dan blijkt maar weer dat een ISP aardig wat spullen in huis moet hebben om dit control verkeer inzichtelijk te maken. Een goed IPS systeem is een flinke investering.
Mij dunkt toch dat je daarmee aardig zou moeten kunnen zien dat er iets flink mis is.
Dergelijke systemen kunnen op 'applicatie niveau' (OSI laag 7) kijken naar het gedrag van verkeersstromen.
Met zoveel bots in het net zal er toch ook nog aardig wat 'control' verkeer zijn geweest.
Probleem is wel dat er dan aardig wat aan extra beheer taken van ISP's komt kijken. Daar zitten ze natuurlijk niet echt op te wachten.
De vraag is: Moet je dat als Colo willen? Ik zie heel wat tegenargumenten..

- Kosten. De througput op het Leaseweb netwerk betrof bijna een jaar geleden al meer dan 500 Gbps. De hardware aanschaffen om dat te monitoren is een hele flinke investering. Laat staan het personeel om de boel te analyseren.
- Vertraging. Hoe goed je hardware ook is, er zal altijd een vertraging optreden.
- Concurentie. Als bedrijf ga ik liever naar een provider die niet precies in kaart brengt hoe mijn software met mijn servers communiceert. Sterker nog, misschien wel logt wat mijn software met mijn servers communiceert.
- Nut. Dit heeft nut als alle colo's het doen. Zo niet, dan plaats je je zooi toch lekker bij een andere colo? Commercieel gezien kost het Leaseweb dan enkel geld (klanten).
3,6 miljard emails slechts 3 miljoen besmet niet extreem efectieve trojan dan.
Maar als dit gebruikt werd voor fraude is het natuurlijk wel een megakraak van die met een mooi woord genoemde cybercriminelen

Oftopic:
De recherche is wel traag met handelen als ze in 2009 signalen kregen dat er een trojan werd versprijd(een trojan die niet gedetecteerd word)
De recherche wil weten wie er achter zit en moet eerst voldoende bewijs hebben. Zou goed kunnen dat de boefjes eerst een botnet hebben aangelegd, en toen bezig zijn gegaan met verkopen. Kun je ze veel beter pakken op het moment dat ze hun net in de aanbieding doen.
De recherche wil weten wie er achter zit en moet eerst voldoende bewijs hebben. Zou goed kunnen dat de boefjes eerst een botnet hebben aangelegd, en toen bezig zijn gegaan met verkopen. Kun je ze veel beter pakken op het moment dat ze hun net in de aanbieding doen.
Ze zijn echter niet gepakt dus het duurt nog langer.
Er staat 30 miljoen.
3 miljoen in de eerste maand

dus rond de 100 mailtjes per client. Niet erg veel inderdaad. Maar het moet natuurlijk niet teveel opvallen.
Oftopic:
De recherche is wel traag met handelen als ze in 2009 signalen kregen dat er een trojan werd versprijd(een trojan die niet gedetecteerd word)
Als je kan aangeven hoe dat sneller kan ben ik er zeker van dat ze je graag eens onvangen voor een gesprek. Denk echter dat je er niets van weet en alleen 2009 met de huidige datum hebt vergeleken.
ongeveer 5% opent die attachment
1 op de 20 ofzo

of ik zit er compleet naast :)

[Reactie gewijzigd door laurens91 op 25 oktober 2010 19:30]

Als je die binnenkrijgt.
Waarschijnlijk wordt 95% al weggefilterd door je mailprovider
Als 1 op de 335.000 mensen er in trapt loont het al de moeite om een doosje namaak medicijnen te verkopen. Spam kost op dit moment minder dan de helft die het koste een jaar geleden. En toen was het al vrijwel niets. Vraag maar eens rond. $1 voor 5000 emails is heel gewoon.

Natuurlijk moet je dan wel vertrouwen op dit soort criminelen. Ik heb een (onwetende) kennis die $250 heeft betaald voor een spam mail die naar mijn idee helemaal nooit op een botnet is gezet.
De KLPD, waar de Nationale Recherche deel van uit maakt, laat weten dat het de komende tijd gebruikers van geÔnfecteerde computers actief wil gaan waarschuwen. Dit zou moeten gebeuren door via de restanten van het botnet een waarschuwing te verspreiden. Deze zou zichtbaar moeten worden op het beeldscherm van besmette Windows-pc's.
"Your computer has been infected with 2,568 threats!"? Ja, dat zullen veel mensen gaan geloven, :+.
Als ik botnetbeheerder was zou ik daar nu mooi op inspringen. Gewoon mooie pagina fabriceren met logotje KLPD er op, chique waarschuwings tekstje etc.. En dan 'even ter bevestiging' nog wat persoonsgegevens vragen etc...
breng ze nou alsjeblieft niet op ideeen....
"Your computer has been infected with 2,568 threats!"? Ja, dat zullen veel mensen gaan geloven, :+.
[_] Click here for your solution.
Wat ik zo vreemd vind is het feit dat men deze servers nu pas laat afsluiten terwijl het al zolang bekend was dat het hier om een botnet ging.

Als de recherche nu het brein en handlangers had opgepakt na een lange tijd zoeken had ik hier begrip voor op kunnen brengen.
Als het alleen maar te doen was om het afsluiten van een zooitje botnet servers hadden ze dit ook na 1 week al kunnen doen.
Het zou goed mogelijk kunnen zijn dat ze eerst hebben geprobeerd de bende op te rollen. Zoals je in het bericht leest is dat (helaas) nog niet gelukt.

Een andere mogelijkheid wordt hieronder door Crazius gezegd.

Overigens vind ik het wel vreemd dat een bedrijf als LeaseWeb dit niet doet. Je mag verwachten dat men alles dag en nacht monitort en dus ook een botnet zouden kunnen ontdekken.
Dat is toch immens 143 servers. Dat is een dikke 6 racks vol. Iemand een idee over wat voor hardware het hier gaat?
Keurige servers van een bedrijf, waar men totaal geen idee heeft wat er allemaal draait voor leuks, naast hun eigen bedrijfsnaam.nl... Niet iedere sysadmin (zo men deze al heeft) houdt dagelijks z'n verstuurde spullen bij...
Leaseweb verstookt 70 gigabyte per seconde. Ga jij daar maar eens 45 mb/sec van email tussenuit sniffen daar heb je geen apparatuur voor.

http://www.leasewebnoc.com
Mmmmm, ik kan op onze servers wel zien als er een plotselinge stijging van uitgaand verkeer is op een server. Niet al te ingewikkeld. Je moet natuurlijk wel goed vinden dat je ISP dat soort dingen checked.

Veel tweakers zullen dat niet accepteren (ik neem ook aan dat die niet willen dat je bank je belt als je creditcard opeens 5 dagen lang een maximale opname in cash heeft in Tukmenistan). Net zoals ik het uitstekend vind dat mijn ISP ons belde toen we een nieuwsletter (opt in) verstuurde vanaf een andere server.
Zoals eerder gezegd zijn deze servers niet zelf mail aan het versturen, maar waarschijnlijk enkel 'command and control' - anders hadden ze het botnet niet nodig voor al die mailtjes.
Het resultaat is dan dus ook dat je enkel een relatief constante stroom aan data hebt tussen de geÔnfecteerde computers en de servers die verder niet bijzonder opvalt.
Mjah, ik zou mijn bots iig instrueren een x aantal domeinnamen te bereiken als de c&c niet meer bereikbaar is. Niet allemaal tegelijk natuurlijk maar om de week een andere ofzo :). Misschien hebben ze wel "alternative" DNS servers staan wereldwijd. Het verkeer daarvan zou niet opvallen en de bots kunnen altijd hun nieuwe c&c bereiken als deze DNS servers geupdate zijn met de nieuwe ip's. In dat geval zullen de bots waarschijnlijk heel snel niet meer naar de leaseweb servers connecteren en is het ook niet meer mogelijk om countermeasures te nemen.

Ik vermoed dus dat deze jongens slim genoeg zijn om de bots weer op te kunnen pikken.
Dan zou ik eerder een Stuxnet-achtige maken, die ook werkt zůnder centrale C&C server - een p2p botnet dat via technologieŽn als DHT de instructies ontvangt en doorstuurt naar andere leden van het botnet.
Lekker handig via datzelfde botnet een waarschuwing verspreiden. Dan denken mensen juist dat ze daardoor besmet zijn...
Dat is ook het hele idee toch? Ik bedoel 'Deze zou zichtbaar moeten worden op het beeldscherm van besmette Windows-pc's'

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True