Estse botnetbeheerders hadden server in Nederland

De Estse beheerders van een groot botnet dat afgelopen week werd opgerold, maakten bij hun activiteiten onder andere gebruik van een server die bij een Nederlands bedrijf werd gehost, zo heeft het Openbaar Ministerie bekendgemaakt.

De server op Nederlandse bodem werd gebruikt om 'internetverkeer om te leiden naar malafide websites', zo vertelde het Openbaar Ministerie aan Webwereld. Het OM maakte op verzoek van de FBI een image van de server. "Deze informatie hadden ze nodig voor hun opsporingsverzoek", zei Wim de Bruin van het Landelijk Parket. Hij maakte niet bekend bij welk hostingbedrijf de server stond.

Woensdag maakte de FBI bekend samen met onder meer de High Tech Crime Unit van de Nederlandse politie een botnet van vier miljoen pc's te hebben ontmanteld. Twee bedrijven uit Estland, waaronder een scarewareleverancier, zouden het beheer in handen hebben gehad en ze zouden hebben kunnen beschikken over meer dan 100 servers wereldwijd.

De malware die via het botnet werd verspreid, veranderde de dns-instellingen van slachtoffers om te verwijzen naar een malafide dns-server die door de botnetbeheerders was opgezet. De beheerders zouden miljoenen verdiend hebben met het kapen van de sites die de besmette systemen bezochten, bijvoorbeeld om eigen advertenties op een website te injecteren.

In verband met de zaak heeft de KLPD vier ip-blokken laten blokkeren bij RIPE NCC, de regionale ip-registry voor Europa en het Midden-Oosten. De adressen uit die blokken blijven tot maart volgend jaar onder beheer van de FBI en worden tot die tijd niet vrijgegeven.