Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 40 reacties

Op verzoek van de Nederlandse overheid zijn domeinnamen offline gehaald die zijn gebruikt voor de verspreiding van de Dorifel-malware. Het virus trof vorige week een groot aantal Nederlandse overheidsinstellingen, waaronder een ministerie.

MalwareZowel binnen als buiten Nederland zijn domeinnamen die zijn gerelateerd aan de Dorifel-malware, offline gehaald. Dat schrijft het Nationaal Cyber Security Centrum, de ict-beveiligingsorganisatie van de Nederlandse overheid.

Onvermeld blijft welke domeinnamen offline zouden zijn gehaald, maar een van de domeinnamen die aan Dorifel gerelateerd is, bank-auth.org, lijkt inderdaad niet meer te werken.

Internetproviders krijgen via diensten als Shadowserver en Spamhaus automatisch nieuwe informatie over eventuele dreigingen. Daarnaast is er een strafrechtelijk onderzoek ingesteld naar het virus, dat vorige week een groot aantal overheidsinstellingen wist te besmetten. Het virus versleutelt onder meer Excel- en Word-documenten, waardoor ze niet meer toegankelijk zijn.

Onder meer het Ministerie van Onderwijs, Cultuur en Wetenschap, evenals twee provincies, in ieder geval twee universiteiten, het RIVM en een groot aantal gemeenten werden getroffen door de malware. Daarnaast zou de malware gegevens van honderden Nederlandse bankklanten hebben buitgemaakt.

De malware lijkt specifiek gericht op Nederlanders, ontdekte beveiligingsonderzoeker Rickey Gevers, omdat veel boodschappen in het Nederlands zouden zijn geschreven. Bovendien zouden er aanwijzingen zijn dat de beheerders van het botnet achter de malware gebruikmaken van Fragus, een framework voor het aansturen van bots. Deze software kan op de zwarte markt worden aangeschaft. Eerder al bleek dat het virus is geschreven in Delphi en is de malware goed leesbaar. Dat is ongebruikelijk; meestal doen auteurs van malware hun best om hun geheimen te verbergen.

Moderatie-faq Wijzig weergave

Reacties (40)

Het klinkt als een job uitgevoerd door Nederlanders of Nederlandstalige mensen. Daar de code goed leesbaar is en alles relatief snel kon worden achterhaald en ontmanteld kunnen we de vraag stellen hoe groot de expertise van onze vrienden is geweest.

Natuurlijk is het onderzoek nog gaande maar ik ben wel benieuwd wie er precies achter zit.
Dus niet uitgevoerd door 'native' NL'ers of BE'ers.
Several warning messages shows the criminals are no native speaking Dutchies:

Om technische redenen, het internet bankieren dienst is tijdelijk niet beschikbaar, gelieve in te loggen in 24 uur
Source: http://rickey-g.blogspot....s-of-dorifel-servers.html

Ps: Typisch Google Translate format ;)

[Reactie gewijzigd door mjcm op 13 augustus 2012 09:07]

Een oplossing voor "veilig.bankieren":
Een apart apparaatje, waarop alleen.gebankiert kan worden en verder geen software kan worden gedraaid/gedownload. Dit apparaat persoonlijk afhalen bij de bank.

Het grootste beveiligingslek is de mens, die gewoon geen mogelijkheid meer geven om iets te doen, behalve betalen.

Onhandig? Mensen moeten er maar aan wennen dat veiligheid iets kost. Inloggen met alleen een paswoord met naam van jongste kind is pasee...
Leuk idee, maar het blijft zo dat mensen uit zullen zoeken hoe dat kastje werkt. Zie skimmers met PIN apparaten. Daarnaast blijft het nog steeds Internet Bankieren, waardoor een man in the middle aanval nog steeds mogelijk blijft. Sowieso zullen de meeste gewone mensen het niet goed accepteren. "Hoezo een apart kastje, ik heb toch al een laptop, PC, tablet, etc."
Leuk idee, maar het blijft zo dat mensen uit zullen zoeken hoe dat kastje werkt. Zie skimmers met PIN apparaten. Daarnaast blijft het nog steeds Internet Bankieren, waardoor een man in the middle aanval nog steeds mogelijk blijft. Sowieso zullen de meeste gewone mensen het niet goed accepteren. "Hoezo een apart kastje, ik heb toch al een laptop, PC, tablet, etc."
Het apparaatje in kwestie gewoon op geen enkele wijze verbinden aan of afhankelijk maken van de externe wereld (internet, telefoon of post) zodat het niet gecompromiteerd kan worden. Je laat het enkel eenmalig te gebruiken codes retourneren op basis van de in te voeren bankpas en pincode. Voor transacties voeg je hier nog het over te maken bedrag en de rekening van begunstigde aan toe.

Je kunt zo'n apparaatje via de behuizing al behoorlijk tamper-proof maken en zelfs als het exacte algoritme echt achterhaald zou worden; een gedeelte van de vereiste invoer ervoor (nl. de pincode) zal nooit en te nimmer op een PC ingevoerd worden en dus nooit uitgelezen kunnen worden.

Het enige probleem treedt op wanneer men het algoritme daadwerkelijk breekt en omkeerbaar maakt (en zo pincodes kan achterhalen).

[Reactie gewijzigd door R4gnax op 13 augustus 2012 23:58]

online bankieren is vandaag reeds veilig en eenvoudig. Waarom zou een aparte PC veiliger zijn? Gaan daar geen fouten in de software zitten? En al eens nagedacht wat een problemen dat geeft als je bij meerdere banken bent? Altijd maar wisselen van PC?

En bij welke bank log jij nog in met enkel en alleen een wachtwoord?

En vergeet niet, je grootste beveiligingslek is net diegene die ook alle software schrijft
ABN AMRO gebruikt voor internet bankieren al een apart "kastje".
Of een Live CD starten om te internetbankieren
Ja, en een livecd, waar komt die vandaan ?

updates ?
Mijn schoonmoeder kan nog niet eens een dvd afspelen op haar pc ( al zou de speler erin zitten )

elke week een andere livecd branden, bezorgen ... kosten ?
Als je een echte tweaker bent, dan maak je zo voor je schoonmoeder een Live CD die automatisch haar Inet opstart en haar presenteert met een inlog pagina voor haar Internet Banking.

Eenmalige uitleg en klaar.

- Kosten
Cd's tegenwoordig kosten haast niets meer. En bezorgen ? Post / Snail Mail ?
Handig zo'n CD die niet aan te passen is. Maar goed, dat hoeft natuurlijk ook niet, je hoeft om veilig te internet bankieren geen security updates te installeren ;)

Mensen moeten eens leren niet overval op te willen klikken, en leren hun nieuwsgierigheid te bedwingen, dat zou een hoop schelen.
Hoezo ?

Ik heb al vaker een CD gemaakt waar de mensen zelf hun nummer en password moesten invoeren gemaakt. Alleen start hij automatisch op en start een internet browser met ofwel de ING, Rabo of ... Bank inlog pagina als Home page.

Hij start dus een Inet browser op met als homepage de Bank Pagina, wat is daar fout aan (geen cookies of herleidbare informatie terug te vinden op de cd)

[Reactie gewijzigd door mjcm op 13 augustus 2012 09:35]

ik dacht dat Spamhaus alleen voor e-mail providers was.
Behalve een blacklist voor je mailserver houdt Spamhaus ook nog een lijst bij met IP-ranges die in handen zijn van criminele organisaties.
Maar zouden dit maar alleen maar 452 Ranges zijn dit lijkt me wel een beetje weinig?? Hoewel die liijst is maar ong 2 dagen geldig.
; Last-Modified: Sun, 12 Aug 2012 16:51:19 GMT
; Expires: Tue, 14 Aug 2012 05:45:51 GMT
http://www.spamhaus.org/drop/drop.txt

[Reactie gewijzigd door mjcm op 13 augustus 2012 10:04]

Die lijst bevat alleen complete netblocks, geen individuele IP-adressen. Als je dat gaat doen wordt die lijst gewoon waardeloos vanwege de omvang, weinig firewalls die in staat zijn om zonder grote vertraging zulke grote hoeveelheden aan data te doorlopen voor elke nieuwe verbinding die binnenkomt of uitgaat.
Verder zijn dit netblocks waar ze bij Spamhaus zeker van zijn. Je gaat niet een halve internetprovider afsluiten omdat er een paar gebruikers zijn die onderdeel zijn van een botnet, daar is die lijst niet voor bedoeld.
Waar denk je dat de infectie is begonnen? Juist ja..
Is er al gebeld met de hoster van de server? Of is dat te voor de hand liggend?
Daar ga ik wel vanuit, maar die hebben ook regelgevingen dat ze niet zomaar meteen een server down kunnen halen zonder juridisch bevel. Maar Oostenrijk zal snel meewerken, landen als Rusland en de Ukraine is wat lastiger vanwege hun wetgeving daar.
Vreemd.. Interpol kan daar ook gewoon servers laten neerhalen..
Op zich allemaal logisch. Maar er wordt geen enkel bewijs geleverd dat deze ook gerelateerd zijn. Sterker nog ze leveren niet eens welke domeinen dat zijn. En hoe erg zo'n virus ook is. Vind ik dat de overheid zich niet als criminelen hoort te gedragen door zonder bewijs en openbaarmaking dergelijke sites uit de lucht moet halen. Zeker niet in het buitenland waar in mijn ogen ze niks over te zeggen hebben.

Als je dit wil oplossen is dat door met de ISP een redirect pagina te maken waarna mensen alsnog door kunnen gaan. Zolang ze dat niet aan geven blijft het geblokeert

Daarnaast heeft het ook totaal geen nut zolang je de mensen niet aanpakt. Dit is dan slechts een (erg) tijdelijke oplossing.
Je mag toch aannemen dat de Nederlandse overheid zich zulke slordigheden niet meer veroorlooft. Ik ga er in ieder geval van uit dat ze ten minste de schijn van betrokkenheid kunnen aantonen. De rest is dan voor het strafrechtelijk onderzoek.
Je mag toch aannemen dat de Nederlandse overheid zich zulke slordigheden niet meer veroorlooft.
Assumption is the mother of all fuck-ups.

Het gaat waarschijnlijk om de domeinnamen die in dit artikel genoemd worden: http://rickey-g.blogspot....fel-servers.html?spref=tw
En waarom kan ik de overheid zomaar vertrouwen?

Omdat ze (net als de rest van Europa overigens) zomaar in stemmen met het weggeven van persoonlijke data aan Amerika?

Omdat ze voor de acta stemde, maar pas toen ze door hadden dat het stemmen ging kosten ze het terug draaide?

Omdat alle ICT projecten altijd feilloos worden uitgevoerd dus je een idee hebt dat ze weten waar ze over praten?

Ze willen veel wat minstens 75% van de burgers niet wil. Dus blind vertrouwen heb ik zeker niet. En niemand die verstandig is heeft dat
Ze willen veel wat minstens 75% van de burgers niet wil. Dus blind vertrouwen heb ik zeker niet. En niemand die verstandig is heeft dat
En toch stemt een meederheid van de bevolking op die partijen....dus de oorzaak zul je toch echt bij de kiezers zelf moeten zoeken (ik vermoed dat je die 75% ook uit de mouw schud)
Als criminelen gedragen? What the fuck man? Dus jij hebt liever dat het virus en botnet gewoon verder kan blijven gaan? Ga je na een aanslag bijv. ook zeggen dat de politie geen recht heeft om de omgeving af te zetten, maar dat ze enkel en alleen de daders mogen aanspreken en oppakken?

En wat wil je met een redirct beginnen? Geen enkel slachtoffer krijgt dat te zien. Het is in dit geval niet de nameserver die gehacked is, het gaat hier om domeinnamen die door de malware gebruikt werd. Iets wat op zich al opmerkelijk is.

En dacht je nu ook echt dat ze niet druk bezig zijn met de mensen op te sporen die verantwoordelijk zijn? Denk je nu echt dat ze op het NCSC nu een feestje aan het vieren zijn omdat er wat domeinnamen uit de lucht zijn gehaald? Dreiging over?

Wake up ...
Wake up ...
Ik zou hetzelfde tegen jouw willen zeggen. Alleen dan precies andersom. Als "we"niet wakker worden lopen we over 10 jaar allemaal met een GPS zender om. Of mogelijk worden onze gedachten gemonitorred en zodra je ook maar iets denkt dat in een land niet mag wordt je lekker uitgeleverd.

Dit is natuurlijk wel het meest erge scenario wat je kan bedenken, maar wel iets minder erg een reeel scenario.

Iedereen altijd en overal bekend wat hij/zij doet.

Pas was al in het nieuws dat iedereen zonder Facebook door sommige bedrijven al als mogelijke terrorist gezien wordt(of minstens verdacht is). Je kan dus stellen dat ik gewoon meer op let en ja, dat kan mogelijk slachtoffers opleveren, maar uiteindelijk moet je je als overheid juist meer aan de wet houden als iemand anders.

Hoe kan je als overheid verwachten van je burgers dat deze zich aan de wet houden als je dat zelf niet doet.
En welke wet is hier dan overtreden? Er word hier niet een misdaad gestopt door de overtreders hun middelen in beslag te nemen. Lijkt me iets dat al sinds jaar en dag gebeurd...

De vraag komt van de overheid omdat de domeinen waarschijnlijk geen .nl zijn en het neerhalen is een formaliteit omdat ze gebruikt werden voor iets dat geen enkele TOS toestaat.

Er is voor miljoenen euros schade berokkend, tienduizenden verloren manuren zowel bij overheid als in de private sector .. en men zou geen actie mogen ondernemen? Waarom? Omdat er eerlijk geld is betaald voor die domeinnamen? Of zullen we misschien het voorarrest ook afschaffen. Criminelen zijn toch onschuldig tot het tegendeel bewezen is, dus tot die uitspraak in beroep er is moeten ze vrij kunnen rondlopen ...

[Reactie gewijzigd door Blokker_1999 op 13 augustus 2012 10:50]

Puur het feit dat je dergelijke sites offline haalt zonder dat duidelijk openbaar te maken is in mijn ogen verkeerd.

Want "hangende aan het onderzoek" is natuurlijk nutteloos degene die deze gebruiken zijn al gevlogen of opgepakt. Of weten wel hoe het zit.

daarnaast lijkt de schade mee te vallen (echter mag je daarmee een dergelijke actie niet goed praten)

nieuws: ING: impact Dorifel-virus bleef beperkt tot tientallen klanten - update
ik vind het verontrustender dat ze in de c&c servers ingebroken hebben...
ohwnee een domeinnaam offline....
boeit niet want afgezien van bot wil er niemand naar het domein toe en als je het hier niet had gelezen had je het waarschijnlijk niet eens gemerkt -_-

laten we de daders beschermen zo hoort het in dit land... toch...?
je bent er zo eentje die de ziekenbroeders niet blurred en de criminelen wel ?
misschien een schadevergoeding dan maar voor deze malware verspreiders ?

dit is absoluut niet lekker en vloeiend gegaan maar dit soort daders bescherm je niet.


wie wil er wedden voor een pakje sigaretten dat straks nadat alle commotie over is alle politici vinden dat er harder opgetreden moet worden tegen dit soort dingen, er nieuwe wetten moeten komen en er meer samenwerking met de usa enzo moet komen...
totdat ze een legitiem domein misbruiken om triggers door te geven. Zo werden er in het verleden al vaak updates en commands naar botnets gestuurd.

Zo kan jouw tekst "wedden voor een pakje sigaretten" een commando zijn om naar een ip 192.168.14.23 te connecteren om daar een version update binnen te halen.

*BAF* T.net plat omdat de site onderdeel uitmaakt van de commandostructuur van een Pakistaans botnet.
Als je met dat ip adres gaat verbinden om een versie update binnen te halen zit je probleem sowieso binnen je eigen netwerk en moet je je huisgenoot/familielid/collega/whatever toch eens even goed aan gaan kijken. :)

Meesten zullen het hier denk ik wel weten, maar 192.x ip adressen zijn 'lokale' ip adressen, en niet geldig op het 'grote' internet. Zelfde geldt trouwens voor 10.x en 172.x (grofweg).
Het is nooit goed. Als de overheid niet ingrijpt wordt ze dat verweten, doen ze dat wel, dan is het ineens een schending van de rechten.
Als ik naar deze drop list van Spamhaus kijk (http://www.spamhaus.org/drop/drop.txt) dan is die lijst niet echt lang, Maar 452 Rules.

Edit : // Spelling

[Reactie gewijzigd door mjcm op 13 augustus 2012 08:57]

In Webwereld word Kaspersky aangehaald, alsof het vreemd is dat dit AV er toe doet.
Maar bij Kaspersky is men groot in ADS (Alternate Data Streams) als labeling van files zodat deze zeer snel te scannen zijn.
Want Dorifel heeft via metadata en vooral Alternate Data Streams zich slecht traceerbaar gemaakt.
In een artikel van de telegraaf worden ook ip-adressen genoemd:
http://www.telegraaf.nl/d...ook_bankrekeningen__.html
De malware lijkt specifiek gericht op Nederlanders, ontdekte beveiligingsonderzoeker Rickey Gevers, omdat veel boodschappen in het Nederlands ...

en Belgie!!!!
Wie is er in BelgiŽ getroffen? Tot op heden zijn er enkel maar aanwijzingen dat de malware zich bij nederelandse (en enkele deense geloof ik) overheidsinstanties en bedrijven heeft gemanifesteerd.
BelgiŽ is tweetalig.. correct zou het Vlaanderen moeten zijn, maar ik heb nergens gelezen dat er Vlamingen of Vlaamse Overheidsdiensten aangevallen/besmet zijn met dit virus.

Verder vind ik dit een prachtig staaltje van hoe het wel hoort, heel kort op de bal spelen en onmiddellijk de schade beperken door de domeinen offline te halen!

Ik ben stom verbaasd!

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True