FBI rolt megabotnet op met hulp van KLPD

De FBI heeft samen met onder meer de Nederlandse politie een groot botnet ontmanteld, dat uit vier miljoen pc's zou hebben bestaan. De inmiddels opgepakte beheerders manipuleerden de dns-instellingen van geïnfecteerde pc's.

Malware De FBI kreeg bij de opsporing hulp van het Team High Tech Crime van de Nederlandse politie. Wat de precieze rol van het KLPD bij de opsporing was, is onduidelijk. De vervalste dns-servers van de cybercriminelen zijn vervangen door legitieme dns-servers, waardoor geïnfecteerde pc's weer normaal verbinding met internet kunnen maken. Daarmee is de malware echter nog niet van iemands pc verwijderd, waarschuwt de FBI.

Het botnet, dat in Estland zou zijn gehost, werd gebruikt om miljoenen te verdienen, meldt de FBI. De malware die via het botnet werd verspreid, veranderde de dns-instellingen van slachtoffers om te verwijzen naar een malafide dns-server die door de botnetbeheerders was opgezet.

Daardoor konden websites die gebruikers bezochten worden gekaapt, bijvoorbeeld om eigen advertenties op een website te injecteren. De beheerders zouden op die manier minstens 14 miljoen dollar hebben buitgemaakt. Ook zorgde de malware er in sommige gevallen voor dat updates voor besturingssystemen en beveiligingssoftware niet konden worden geïnstalleerd.

De Estse politie heeft in samenwerking met de FBI zes verdachte botnetbeheerders opgepakt. Ze zouden het botnet in 2007 hebben opgezet en 4 miljoen pc's in 100 landen hebben besmet. In de Verenigde Staten waren een half miljoen pc's met de malware geïnfecteerd, waaronder computers bij overheidsinstellingen zoals het ruimte-agentschap NASA. Het lijkt er echter niet op dat de cybercriminelen met opzet bepaalde organisaties aanvielen.

Volgens beveiligingsbedrijf Trend Micro, dat bij de opsporing betrokken was, hadden de botnetbeheerders een forse infrastructuur achter de hand, van in totaal circa 100 servers. Achter het botnet zouden twee Estse bedrijven zitten, waarvan er een ook namaak-beveiligingssoftware - ook wel bekend als scareware - verspreidde.

IT-banen

Reacties (44)

Burner NL 9 november 2011 23:51

Stukjes uit de bron wat de moeite waard is om te lezen:

When users of infected computers clicked on the link for the official website of iTunes, for example, they were instead taken to a website for a business unaffiliated with Apple Inc. that purported to sell Apple software. Not only did the cyber thieves make money from these schemes, they deprived legitimate website operators and advertisers of substantial revenue.

As part of a federal court order, the rogue DNS servers have been replaced with legitimate servers in the hopes that users who were infected will not have their Internet access disrupted.

Dit zijn geen kleine jongens. Naast de reclame inkomsten hebben ze op deze manier ook andere inkomsten weten te ontfutselen. Gezien de grote impact is dit een nette tijdelijk oplossing om de malafide dns servers te vervangen voor legale.

Sniffert 10 november 2011 08:20

Gaat om deze range van IP-adressen:

64. 28.176.0 to 64. 28.191.255
67.210. 0.0 to 67.210. 15.255
77. 67. 83.0 to 77. 67. 83.255
85.255.112.0 to 85.255.127.255
93.188.160.0 to 93.188.167.255
213.109. 64.0 to 213.109. 79.255

Bron met uitleg van FBI: http://www.fbi.gov/news/s...1/DNS-changer-malware.pdf

Melvinvm 9 november 2011 23:38

Ik begrijp dat de pc's met de malware zelf niet veel gevaar hebben gelopen. Het zijn vooral de websites die inkomen hebben verloren door de vervangen reclame. Best slim!

aZuL2001 @Melvinvm • 9 november 2011 23:44

De malware makers hebben zelf "op die manier minstens 14 miljoen dollar hebben buitgemaakt.".

Malware is gewoon business.

Dikke kans dat er een uitgebreid verhaal van Rik Fergusson op zijn blog verschijnt.
Staat al wat : http://countermeasures.tr...of-operation-ghost-click/

Wellicht dat de uitgebreide analyse nog gaat komen.

[Reactie gewijzigd door aZuL2001 op 23 juli 2024 15:59]

Xirt @aZuL2001 • 10 november 2011 00:05

Ik denk dat er nog wel een betere post komt. De huidige post is vrij nutteloos, want mijn DNS zou dan 192.168.1.1 zijn. Klopt wel, maar ik denk niet dat ik die DNS server hoef te controleren op de genoemde site. De DNS server die mijn router gebruikt is misschien een ander verhaal ;-).

humbug @Xirt • 10 november 2011 02:22

Juist wel. Je router kan via dhcp je computer vertellen welke dns server beschikbaar is, maar als je dat op de computer aanpast gebruik je de instellingen van de computer en niet de router. De malware staat op de computer, niet de router en het is dus irrelevant wat je router instellingen zijn.

Niemand_Anders

Beveiliging

@Melvinvm • 9 november 2011 23:58

Een bot is natuurlijk geen virus (hoewel het zichzelf wel vaak kan verspeiden). Als een bot zijn eigen host zou kapot maken, dan heeft de botbeheerder natuurlijk weinig aan zo'n bot.

Een goede botbeheerder (zeker met 4 miljoen bots) zal er ook voor zorgen dat bots vooral pas aan het werk gaan als de PC voor een lange tijd idle staat te draaien en kan zelf de resources vrij laag houd. Zelfs als de bot zou worden gebruikt voor het versturen van spam, beperk je als je verstandig bent het aantal emails per bot tot laten we zeggen 2 tot 3 berichten per minuut. Dat lijkt weinig, maar als je paar honderd duizend bots inzet heb je het natuurlijk alsnog over flinke aantallen.

Daarbij worden de bots zelf ook steeds complexer. Konden ze vroeger alleen een vast aantal opdrachten uitvoeren, tegenwoordig halen bots geen opdrachten meer op, maar lijken ze steeds vaker code als addins uit te voeren.

Probeer je eens voor te stellen als je bijvoorbeeld alleen al op 4 miljoen pc's de adsense requests aanpast via een proxy server. Het enigste wat je dan hoeft te doen is het accountnummer te wijzigen en het geld komt vanzelf binnen. Ik denk dat uiteindelijk een aantal webmasters zijn gaan klagen bij Google dat zij opeens geen (of veel minder) views en kliks meer hebben. Het zou mij niet verbazen dat Google uiteindelijk de FBI heeft ingeschakeld en daarna het onderzoek heeft voortgezet..

dasiro @Niemand_Anders • 10 november 2011 00:28

2 tot 3 mails per minuut valt al veel te hard op bij providers, zeker als het over particuliere lijntjes gaat. 2 per minuut zou betekenen 120 per uur en 2880 per dag !! Die sturen hooguit een mailtje of 10 gemiddeld per dag en als je een botnet hebt van 4 miljoen, dan ben je al blij met 5 mails per bot = 200 miljoen per dag

Niemand_Anders

Beveiliging

@dasiro • 10 november 2011 08:47

Heel erg veel MKB bedrijven hebben ook gewoon een 'consumenten' internet abonnement en die kunnen aanzienlijk meer mails versturen dan een gewone internetter. De 'flood' protection bij de providers staat meestal op 5 SMTP connecties per minuut en de meeste kunnen slechts een beperkte periode (meestal laatste 10 tot 15 minuten) terug kijken..

Daarnaast zijn natuurlijk niet alle gebruikers van een provider geinfecteerd en is de kans op detectie vrij klein. Een goede botnet beheerder zal daarbij niet al z'n bots aan het spammen. Juist omdat bots tegenwoordig steeds beter worden gemanaged (onopvallend opereren) duurt het ook steeds langer voordat de bots worden opgemerkt.

Er zijn botnets welke jaren onopgemerkt hun gang kunnen gaan..

Anoniem: 64623 @Niemand_Anders • 10 november 2011 10:41

Ik weet dat de grootste provider van Nederland dus max 650 berichten / 2000 geadresseerden per 24 uur als limiet heeft voor een normale, niet ssl verbinding met de smtp server.

kimborntobewild @dasiro • 10 november 2011 05:42

?
Vijf mails per bot per dag is dan 20 miljoen, geen 200 miljoen.

NjitsSs 9 november 2011 23:35

Als ze toch de controle over die DNS servers hebben, is het dan niet even een kleine moeite om er een pagina op te zetten dat de slachtoffers de malware van hun PC moeten verwijderen?

Mont2uk

@NjitsSs • 9 november 2011 23:42

Als ik heb goed heb begrepen werden niet DNS servers aangepast, maar DNS instellingen (localhost file?) op de pc van de besmette computers.

robvanwijk

Beveiliging
Malware
Politiek en recht
Privacy

@Mont2uk • 10 november 2011 00:03

Dan heb je het denk ik niet goed begrepen

De malware die via het botnet werd verspreid, veranderde de dns-instellingen van slachtoffers om te verwijzen naar een malafide dns-server die door de botnetbeheerders was opgezet.

Wat jij bedoelt is dat niemand natuurlijk uit zichzelf jouw malafide DNS-server gaat gebruiken, dus moesten ze instellingen kapen om toch mensen naar hun DNS te leiden. De "echte" DNS-servers zijn dus niet aangepast, wel buiten spel gezet.
Het zou inderdaad niet zo heel moeilijk moeten zijn om een DNS server zo te configureren dat ie voor elke query hetzelfde IP-adres teruggeeft. Als je dan op dat IP een server draait die voor elke request dezelfde pagina (met daarop een waarschuwing en advies hoe je de malware kunt verwijderen) teruggeeft dan zul je inderdaad iedereen bereiken. Alleen...., als ze dan een Windows update / virusscanner / firewall / whatever proberen te downloaden... oeps, dan lukt dat niet, want die requests komen ook bij jouw speciale "waarschuwingsserver" uit.

Een mogelijke oplossing is om (net als de oorspronkelijke beheerders) pagina's on-the-fly aan te passen. Alleen in plaats van hun eigen advertenties plaats je dan een "advertentie" voor een waarschuwingspagina. Als opeens alle advertenties op het hele Internet hetzelfde zijn, dan zou het mensen vroeg of laat toch op moeten vallen en gaan ze een keertje kijken. Daar zijn echter ook een aantal problemen mee; je wilt liever niet de bestaande code daarvoor gebruiken (die is immers door criminelen geschreven, dus die vertrouw je niet), het van scratch ontwikkelen kost tijd en, hoe je het ook went of keert, je bent in principe pagina's aan het vervalsen, dat zou best nog wel eens illegaal kunnen zijn (ook al heb je de beste bedoelingen).

Een alternatieve oplossing is om simpelweg van alle requests naar die DNS-server de IPs te loggen en een keer in de zoveel tijd alle ISPs met besmette klanten een overzichtje van IPs (en time stamps) geven, zodat ze hun klanten persoonlijk kunnen waarschuwen. Dan zie je het verkeer naar die DNS-server vanzelf afnemen, dus je weet zelfs wanneer je klaar bent.

Elfjes

@robvanwijk • 10 november 2011 02:40

Het grote probleem met het sturen van een berichtje naar de geinfecteerde PC met een mededeling dat hun PC's is besmet en dat ze een aantal stappen kunnen doen voor het verwijderen van de infectie, is dat dit net zo goed ook door malwareverspreiders kan worden toegepast; en we dus weer terug zijn bij scareware.

Ik geloof dat deze vorm van notificatie ook is toegepast na het oprollen van Bredolab: http://tweakers.net/nieuw...-botnet-uit-de-lucht.html. Dit was toen ook al een omstreden maatregel, al speelde toen ook een rol dat voor het geven van de notificatie daadwerkelijk op de geinfecteerde pc moest worden ingebroken (mbv de al voorgeinstalleerde malware) en dus niet helemaal legitiem zou kunnen zijn geweest. Wat dat betreft is het weergeven van een iets aangepaste website misschien minder onwettig.

Feit blijft dat als bekend wordt dat dit een veelvuldig toegepaste techniek van de politie is, dit de deur voor social engineers natuurlijk wagenwijd openzet

Anoniem: 399679 @robvanwijk • 10 november 2011 00:18

Als ze dat doen krijg je denk ik privacy issues - omdat de ISP eigenlijk niet mogen zien wat hun klanten doen.

chime @Anoniem: 399679 • 10 november 2011 00:45

Ehm => ISP's sluiten je pc soms al af als er virussen opzitten. Ze moeten wettelijk gezien je surfgedrag bijhouden. Ze houden data over je bij ...

Komt erbij dat het niet echt privacy issues zijn hé.
FBI weet niet wie achter elk ip adres zit, alleen de specifieke ISP weet dat, maar dat is informatie die ze sowieso al weten.

Dennahz @chime • 10 november 2011 08:40

Een ISP zal je verbinding alleen afsluiten als er overlast veroorzaakt wordt vanaf jouw verbinding. Een virus dat continu spam/virus mails verstuurd = overlast.

Dat heeft niks te maken met het bijhouden van data.

bbob

Internet
Privacy
Politiek en recht

@Anoniem: 399679 • 10 november 2011 09:35

Heeft niets met je isp te maken.

De malware zet andere dns instellingen op je pc. Deze verwijzen naar een dns server van de malware verspreiders.

Wat men idd kan doen is deze dns server alleen laten verwijzen naar software die er voor zorgt dat de malware verwijdert wordt van je pc. Tegelijk krijg je ook de mededeling dat er malware op je pc zit.

Probleem kan zijn dat dit dan weer op scareware kan lijken en dat scareware makers dit kopieren en zo eigen scareware pagina opzetten.

Mont2uk

@robvanwijk • 10 november 2011 00:46

Precies

Ik heb er gedeeltelijk over heen gelezen.. waarschijnlijk werd alle verkeer (via de localhost file) doorgestuurd naar de malafide DNS server van deze lui.. scheelt ook weer een localhost file van honderden MBs

Het is technisch gezien niet zo moeilijk om inderdaad alle requests door te sturen naar een waarschuwings pagina met wat informatie om te des betreffende malware van de besmette computer af te krijgen.. Zo voorkom je natuurlijk dat je op de besmette computers dingen gaat veranderen. Of het juridisch gezien haken en ogen heeft deze malafide DNS servers hiervoor in te zetten... (Arnoud waar ben je?!)

GateKeaper @Mont2uk • 10 november 2011 10:16

Als ik gewoon even simpel nadenk, zie ik niet in hoe dat illegaal kan zijn.

Ze passen de illegale dns server aan, en plaatsen daarop code die altijd een waarschuwingspagina zal weergeven. Die pagina toont dan gewoon een bericht als: "Indien u deze site niet zelf heeft bezocht door het invoeren van een url, dan maakte u onderdeel uit van het botnet dat onlangs door de FBI is neergehaald. Klik hier voor meer info en hoe de malware te verwijderen is".

De FBI hoeft hiervoor niks op jouw pc te wijzigen, dit is immers al gebeurd door de criminelen. Ze kunnen er ook voor kiezen om die dns server plat te gooien, maar dan maak je helemaal geen verbinding meer met internet toch?

humbug @robvanwijk • 10 november 2011 02:14

Nog nooit een hotspot gebruikt ? Daar toont men ook een welkomsscherm waarna je na inloggen alsnog naar de site kan die je wilde bezoeken. Het is dus zonder problemen mogelijk om aan het begin van een sessie een waarschuwing te tonen. Of het wenselijk is en legaal issue een tweede.

Xirt @Mont2uk • 10 november 2011 00:01

Het lijkt mij dat er toch nog wel een connectie was met een van de servers van het botnet. Kan via een dergelijke connectie geen waarschuwing gegeven worden dan? Of is dat dan weer illegaal (ook al is het goed bedoeld)?

DCK @NjitsSs • 10 november 2011 01:21

De KLPD heeft dat wel eens eerder gedaan, maar dat wordt niet zo gewaardeerd. Ziet eruit als een scam en politiediensten vinden het niet zo leuk als zij in bijvoorbeeld Duitsland ineens FBI- of KLPD-banners voorbij zien komen.

kimborntobewild @DCK • 10 november 2011 05:38

... politiediensten vinden het niet zo leuk als zij in bijvoorbeeld Duitsland ineens FBI- of KLPD-banners voorbij zien komen.

Die banners verschijnen alleen als je de malware op je PC hebt. Dus waarom zou dat een probleem zijn?

Sissors @kimborntobewild • 10 november 2011 11:04

Omdat mensen over alles weten te zeiken. De KLPD heeft het inderdaad bij een eerder gedismantled botnet gedaan (ook omdat bij dat botnet het niet zeker was hoe snel beheerders weer controle erover konden krijgen iirc). En uiteraard zoals goede tweakers betaamde was een flink gedeelte aan het zeiken dat het privacy schending was om mensen erop te wijzen dat ze onderdeel van een botnet waren.

En ik zou echt willen dat ik hier aan het overdrijven was, maar kijk naar de gerelateerde content van dit artikel, bovenste is over de afhandeling van dat gevalletje: nieuws: 'Hacken botnetslachtoffers door KLPD was in strijd met privacy'

Komt er simpel gezegd op neer dat de KLPD de botnet servers heeft gebruikt om die mensen een bericht te tonen dat ze geinfecteerd zijn door een botnet. En niet alleen een studente die dan zegt dat het niet mag en om één of andere reden daarmee in het nieuws komt, maar ook heel veel reacties eronder van mensen die het niet vinden kunnen dat je gewaarschuwd wordt dat er een botnet op je computer staat, want het is veel beter voor je privacy zolang je niet weet dat criminelen alles kunnen zien wat je op je computer doet.

Gomez12 10 november 2011 00:22

Hoe kunnen die gasten nou ooit zoveel geld verdienen?

4 miljoen pc's injecteren met ads en dan 14 miljoen binnenhalen, dan moet je toch heel lang bezig zijn?

Ik vraag me toch altijd af waar al die gebruikers vandaan komen? Geregeld zie ik berichten dat er zoveel computers zijn betrokken en dat er zoveel geld verdiend is, dat ik me altijd afvraag : Als die gebruikers een half jaar geïnfecteerd zijn (extreem groffe eigen schatting nav het geld) wie is er dan niet geïnfecteerd als ik volgende week weer zo'n bericht lees en de week daarna weer.
Het zal toch niet enkel maar om 1 gebruikersgroep gaan die 100 soorten malware tegelijk heeft draaien?

Taghorn @Gomez12 • 10 november 2011 09:23

Amerikaans berekeningen moet je vaak met een korreltje zout nemen, maar volgens mij komt deze best wel aardig in de buurt.

Even narekenen met een hoop schattingen:
Laten we aannemen dat over die 4 jaar gemiddeld de helft van de PC's besmet was =
2 miljoen PC's * 4 jaar
Laten we zeggen dat elke PC 10 websites met elk 3 advertisements bezoekt per dag = 30 advertisements
Per advertisement tonen verdient het bedrijf 0.01 cent (heb ooit getallen gezien, orde van grote klopt ongeveer)

Dan hebben ze verdiend:
PC*dagen*advertenties*inkomsten_per_advertentie = 4*10^6*4*365*30*0.01=17 miljoen

Ik geef toe, een hoop aannames. Dus correct me where I'm wrong
4*10^9 --> 4*10^6 aangepast

[Reactie gewijzigd door Taghorn op 23 juli 2024 15:59]

Floor @Taghorn • 10 november 2011 09:38

Moet het niet 4 * 10^6 zijn?

Burner NL @Gomez12 • 10 november 2011 00:31

De FBI is 2 jaar bezig geweest met het onderzoek ( Operation Ghost Click ).
Het is duidelijk dat het om meerdere jaren gaat.

kimborntobewild 10 november 2011 05:47

De integriteit van je website ligt ook aan diggelen zodra je reclamebanners toestaat die vanaf een andere server komen dan die van je eigen website. Je hebt er simpelweg geen enkele controle over.

Dus, om maar een voorbeeldje te noemen: de inhoud van banners op tweakers.net zouden ook alleen fysiek van de tweakers.net webserver mogen komen. Helemaal als het om (flash)ads gaat die geen vaste banner-afmetingen hebben. Zoiets van externe servers toestaan op je site is vragen om problemen.

[Reactie gewijzigd door kimborntobewild op 23 juli 2024 15:59]

Innsewerants @kimborntobewild • 10 november 2011 07:10

Dan ligt elke site hen integriteit aan diggelen sinds banners bestaan want banners komen van affiliate programma's.
De banners worden dus altijd(?) aangevraagd en geladen vanaf de server bij diegene waarvan de site affiliate is als je een site laadt.

Rechtsklik voor de gein eens op een banner en check de afbeelding-url of bekijk de broncode van een willekeurige site die banners toont inc. de "grote" namen.

Views leveren namelijk ook wat op en als niet op z'n minst de banner graphic met je affiliate id wordt geladen vanaf de server van het bedrijf waar je affiliate van bent weten zij niet hoeveel views de banner krijgt en wat je verdient hebt.

"Externe servers toestaan op je site" is overigens onzin uitkramen.
Hoe kun je een server op een site hebben/toestaan..?
Je kunt linken naar een of er spullen van embedden in je site (zoals banners)

Waarom zou iedereen alle graphics en code moeten kopiëren van bv google's adsense en lokaal hosten als daarvoor al lang embed voor uitgevonden is.

Ga eens zoeken naar affiliate programma's alsof je zelf een webbeheerder of designer bent en lees je eens in over hoe het functioneert.

maw je zegt het is vragen om problemen maar al jaar en dag werkt het zo.
Overigens zou je suggestie helemaal niet helpen bij het geval uit het artikel.
Het artikel heeft niks te maken met het laden van banners van affiliates.
Ze passen je host file aan zodat als jij bv tweakers.net in je browser intikt je niet werkelijk bij tweakers.net aankomt maar op een site met hun banners, hier heeft tweakers.net helemaal geen invloed op.

[Reactie gewijzigd door Innsewerants op 23 juli 2024 15:59]

Ramon @Innsewerants • 10 november 2011 08:06

Jammer dat je zo uit de hoogte doet en het dan nog steeds fout hebt. Er wordt namelijk in dit artikel niet gesproken over het aanpassen van je host-file maar over het aanpassen van je DNS server naar eentje die in beheer is van de malware-maker.

Dus je komt nog steeds op de site die je wou zien, maar alleen de reclame is anders dan wat de site-eigenaar voor ogen had omdat de url's naar de advertenties 'gekaapt' zijn en verwijzen naar reclame waar de malware-maker dan geld aan verdient.

kimborntobewild heeft zeker een punt. Het embedden van third-party dingen op je site heeft een zeker risico. Niet alleen in dit geval, maar ook in het geval wanneer de third-party gehackt wordt.

[Reactie gewijzigd door Ramon op 23 juli 2024 15:59]

DeTeraarist 10 november 2011 01:07

De vervalste dns-servers van de cybercriminelen zijn vervangen door legitieme dns-servers, waardoor geïnfecteerde pc's weer normaal verbinding met internet kunnen maken.

Haha, heeft de FBI goed gedaan. Die hadden gewoon zelf een botnet nodig. Echt een knudde oplossing, daar leert dus geen mens wat van. Gewoon neerhalen die dingen. Van geen internet leren ze een stuk meer.

Kecin

10 november 2011 09:41

Laatste tijd hoor je steeds vaker dat grote partijen samenwerken.
In dit geval FBI, Trend Micro en KLPD, dat vind ik erg knap, hier gaat namelijk zoveel organisatiewerk inzitten. Aanpakken die handel, manier van de mallware is trouwens wel "leuk" gedaan, normale pagina's serveren met alleen andere ads (mag ik hopen).

Anoniem: 279448 10 november 2011 08:03

Stond de KLPD te controleren op snelheid zeker...

jip_86 10 november 2011 09:24

Goed nieuws, niet de eerste keer dat de tech politie het nieuws haalt met zo'n soort zaak.

Op dit item kan niet meer gereageerd worden.

FBI rolt megabotnet op met hulp van KLPD

Lees meer

IT-banen

Reacties (44)

Sorteer op:

Weergave: