Politie blokkeert ip-adressen botnetbeheerders

De Nederlandse politie heeft ip-adressen van cybercriminelen laten blokkeren bij de Europese ip-registry RIPE. Het gaat waarschijnlijk om beheerders van het botnet dat deze week door de FBI werd opgerold. Er zouden miljoenen mee zijn verdiend.

De Nederlandse politie heeft vier ip-blokken laten blokkeren bij RIPE NCC, de regionale ip-registry voor Europa en het Midden-Oosten. Dat heeft de organisatie zelf bekendgemaakt. RIPE geeft geen reden voor het verzoek, maar woordvoerder Wim de Bruin van het Landelijk Parket bevestigt dat er een link is met een operatie van de FBI waarbij een botnet werd opgerold. RIPE is overigens in Amsterdam gevestigd en valt dus onder de Nederlandse wetgeving.

Het ontmantelde botnet leunde op een netwerk van malafide dns-servers; via malware werden dns-requests van slachtoffers naar deze servers doorgeleid. Op die manier konden onder meer advertenties op websites worden gekaapt. Bij de actie van de FBI werden de dns-servers van de verdachten door legitieme servers vervangen, zodat slachtoffers gebruik kunnen blijven maken van het internet.

Waarschijnlijk heeft de Nederlandse politie het verzoek ingediend om zelf de ip-adressen van de botnetbeheerders te kunnen gebruiken. Tot maart volgend jaar mogen de ip-adressen niet worden vrijgegeven; tot die tijd zou de FBI de ip-adressen dus kunnen blijven gebruiken. Of dit scenario klopt, is nog niet bekend; het KLPD kon geen inhoudelijk commentaar geven. Waarschijnlijk is het echter wel; de FBI heeft aangegeven bij de actie hulp van het KLPD te hebben gehad.

De botnetbeheerders zouden met hun activiteiten minstens 14 miljoen dollar hebben verdiend. Zes inwoners van Estland zijn opgepakt. Ze zouden het botnet sinds 2007 in de lucht hebben gehouden en vier miljoen computers hebben besmet.

Door Joost Schellevis

Redacteur

Feedback • 10-11-2011 15:43 28

10-11-2011 • 15:43

28

Lees meer

Politie arresteert Nederlander bij oprollen Tor-webwinkel voor drugs
Politie arresteert Nederlander bij oprollen Tor-webwinkel voor drugs Nieuws van 17 april 2012
FBI verlengt beheer dns-servers voor voormalige botnet-pc's
FBI verlengt beheer dns-servers voor voormalige botnet-pc's Nieuws van 6 maart 2012
'RIPE klaagt KLPD aan om ip-blokkade'
'RIPE klaagt KLPD aan om ip-blokkade' Nieuws van 16 november 2011
Estse botnetbeheerders hadden server in Nederland
Estse botnetbeheerders hadden server in Nederland Nieuws van 12 november 2011
FBI rolt megabotnet op met hulp van KLPD
FBI rolt megabotnet op met hulp van KLPD Nieuws van 9 november 2011
'Hacken botnetslachtoffers door KLPD was in strijd met privacy'
'Hacken botnetslachtoffers door KLPD was in strijd met privacy' Nieuws van 8 november 2011
Microsoft haalt spambotnet offline
Microsoft haalt spambotnet offline Nieuws van 28 september 2011
Microsoft draagt bewijs Rustock-botnetonderzoek over aan FBI
Microsoft draagt bewijs Rustock-botnetonderzoek over aan FBI Nieuws van 23 september 2011
Criminelen benutten botnets om bitcoins te genereren
Criminelen benutten botnets om bitcoins te genereren Nieuws van 6 september 2011
Belgische politie heeft dit jaar 30 botnetservers afgesloten
Belgische politie heeft dit jaar 30 botnetservers afgesloten Nieuws van 25 juli 2011
Meer producten en artikelen
Privacy Politiek en recht Internet Beveiliging Malware

Reacties (28)

-Moderatie-faq
28
28
20
4
0
2
Wijzig sortering

Sorteer op:

Weergave:
Odie 10 november 2011 17:06
Er is helemaal niets geblokkeerd, operationeel is het business as usual. Als je goed kijkt zie je dat RIPE NCC alleen de maintainer van Promnet heeft vervangen door die van RIPE zelf. Ergo, nu kan Promnet geen changes in de database meer maken aan dat blok. Operationeel heeft dat 0.0 effect, de database is administratief only... Hoogstens dat je route-objecten van invloed zijn op automagische filtertjes bij Level3 enzo...
HarmoniousVibe 10 november 2011 19:53
Zelf heb ik meerdere servers uitgerust met de DROP (Don't Route Or Peer) list van SpamHaus (http://www.spamhaus.org/drop/). Deze blacklist bevat ip-ranges die voor 100% gekaapt zijn door spammers/botnets. 85.255.112.0/20 staat daar al sinds mei 2009 in.
RobTweaks 10 november 2011 23:16
Door de bots bijvoorbeeld spam te laten versturen, d.m.v. het vertonen van advertenties op de betreffende PC's, of door het pushen van rogue virusscanners die computers in gijzeling houden totdat iemand heeft betaald. Zomaar enkele manieren om behoorlijk te verdienen aan een groot botnet.
Verwijderd @RobTweaks10 november 2011 23:23
Ok bedankt voor je antwoord.. dat mensen in anno 2011 er nog intrappen, rogue virusscanners.. tja..
erwinb 10 november 2011 15:47
goede actie,
Nu krijgen we straks advertenties met "De Politie is je beste vriend"

Nu maar hopen dat die 14 miljoen dollar weer terug komt bij de rechtmatige eigenaars.

[Reactie gewijzigd door erwinb op 25 juli 2024 15:48]

dasiro @erwinb10 november 2011 17:09
Nu maar hopen dat die 14 miljoen dollar weer terug komt bij de rechtmatige eigenaars.
dat zijn dus advertentiebedrijven wiens ads zijn vervangen door andere ads.
T-men @dasiro10 november 2011 20:06
Nee ! Dat zijn de bedrijven wiens advertenties zijn vervangen door andere advertenties. Zij hebben betaald, (aan de originele site) maar hun advertentie heeft de surfende internetter nooit gehaald.

[Reactie gewijzigd door T-men op 25 juli 2024 15:48]

Verwijderd @erwinb10 november 2011 15:50
Waarschijnlijk niet :P
Als hun de intelligentie hebben om 14 miljoen door zoiets bij elkaar te krijgen, zullen ze ook wel een prima verstopplek hebben.
mr.Millenarian @Verwijderd10 november 2011 15:58
Ze hebben vast auto's, sieraden, huizen e.d. gekocht. Dus gewoon plukken die lui en ook al kun je de rechtmatige eigenaren misschien moeilijk achterhalen, dan nog vind ik dat ze het onrechtmatig verkregen geld moeten inleveren.
En ook 'intelligente' boeven krijg je vroeg of laat wel achter de tralies.

[Reactie gewijzigd door mr.Millenarian op 25 juli 2024 15:48]

Mellow Jack @mr.Millenarian10 november 2011 16:06
Of niet, daar hoor je natuurlijk nooit wat over ;) Je hoort alleen dingen over de criminelen in de spotlight staan en sjah die worden vaak gepakt (ook omdat ze id spotlight staan haha)

Het is helemaal niet zo lastig om geld te wit wassen hoor, je leest enorm vaak dat de Nederlandse politie heel veel moeite heeft met dat soort praktijken

[Reactie gewijzigd door Mellow Jack op 25 juli 2024 15:48]

Verwijderd @Mellow Jack11 november 2011 09:43
Witwassen van zo'n enorm bedrag lijkt mij toch niet zo heel eenvoudig.
Gepetto @Mellow Jack11 november 2011 11:32
Als ik het goed begrijp heeft de politie nu de beschikking over een aantal DNS servers waar miljoenen gebruikers onvrijwillig gebruik van maken. Ik mag toch aannemen dat deze gebruikers die servers niet zelf hebben ingevuld, maar dat deze door een trojan op hun systeem zijn aangepast.

Dit betekent dus ook dat ze nu zonder tussenkomst van ISP's elke site die door deze gebruikers wordt aangeroepen kunnen monitoren, sterker nog, ook eventueel om kunnen leiden naar een ander ip-adres.

Ik vraag me vervolgens sterk af of dit wel helemaal in lijn is met de privacy wetgeving.
42dpi @erwinb10 november 2011 15:54
Die 14 miljoen is grotendeels verdiend met advertenties kapen dus verwisselen, 't is niet gestolen meer op een zeer oneerlijke manier verkregen dus de gene die heeft betaald heeft waar voor z'n geld gehad.
T-men @42dpi10 november 2011 17:46
"Gestolen" moet je in dit geval lezen als "gederfde inkomsten van de adverteerders op de originele stie". Zij hebben betaald voor advertenties die de bezoeker nooit gezien heeft en dus ook niet op heeft kunnen reageren.
Shark.Bait @erwinb10 november 2011 15:57
Die 14 miljoen is het geld dat de advertenties opleverde aan de kapers-dwz dat de adverteerders betaalden aan de kapers. Het is dus niet het bedrag aan inkomsten dat verloren is door de adverteerders die gekaapt werden, dat bedrag is vooralsnog onbekend...
rsbroer @erwinb10 november 2011 15:55
Ja, die advertenties verschijnen direct op je pc }>
killer2 10 november 2011 15:51
Knap werk, wel bijzonder dat het dus bijna 5 jaar duurt voordat het ontmanteld is...
killercow 10 november 2011 15:52
Tjah,

Nu hebben dus allemaal mensen een dns server van de politie als server ingesteld gekregen. Aangezien de vorige actie van de politie wat betreft privacy ook al niet door de beugel kon denk ik dat het bverstandiger is de dns servers gewoon offline te laten en mensen hun pc te laten nakijken, de mallware (met mogelijke exploits) is tenslotte ook nog steeds aanwezig op al die computers.

Met vervangende politie severs komen we nergens, behalve dat de politie isp speelt tot in eide van dagen, zich vast niet aan de wetgeving met betrekking tot opslag houdt, en de pc's in kwestie gewoon besmet blijven.
xmenno 10 november 2011 15:55
Ik snap het nut niet echt, RIPE is alleen maar administratie.
De betreffende adres reeksen worden op dit moment allemaal als losse /24s geadverteerd vanuit AS 36445, en dat is niet de plisie.
wica 10 november 2011 16:02
Bij de RIPE NCC kunnen dus geen aanpassingen gemaakt worden aan deze 4 IP blokken.
Om hoeveel IP adressen zou het gaan? En welke blokken zijn het?
tot die tijd zou de FBI de ip-adressen dus kunnen blijven gebruiken
Of je hier blij van zult worden? Ik had liever dan deze deze blokken gewoon offline gehaalt hadden.

/edit
https://apps.db.ripe.net/...112.0-85.255.127.255.html
85.255.112.0 - 85.255.127.255 mooi blokje

[Reactie gewijzigd door wica op 25 juli 2024 15:48]

Mellow Jack 10 november 2011 16:05
Is het kapen van IP adressen niet illegaal? Laat dit niet zien dat de politie alleen iets kan doen wanneer ze zelf ook malafide zaken gaan doen? Even voor de duidelijkheid, ik vind het sowieso goed dat ze die adressen hebben gekaapt om actie te kunnen ondernemen
Peter F 10 november 2011 18:24
Ben ik nu gek ?
ik kan die gegevens bewerken, of snap ik nu even niet hoe het werkt ?

https://apps.db.ripe.net/webupdates/edit-field.html


Onee, het lijkt erop je kunt alleen niet saven.

Het valt me wel op dat ik volgens mij uit die range ip adressen de laaste tijd wat hack pogingen kreeg.

[Reactie gewijzigd door Peter F op 25 juli 2024 15:48]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq