Pobelka-botnet ontvreemdde veel gevoelige gegevens

Via het Pobelka-botnet zijn veel gevoelige gegevens buitgemaakt, onder andere bij de overheid. Dat was echter niet het doel van de aanval, zo blijkt uit onderzoek van de overheid. De gestolen gegevens zijn bijvangst; het botnet was bedoeld voor het stelen van geld.

Hacker In een brief aan de Tweede Kamer schrijft minister Ivo Opstelten van het Ministerie van Veiligheid en Justitie dat er veel 'potentieel gevoelige gegevens van verschillende aard' zijn buitgemaakt. Het gaat daarbij onder meer om gegevens van de landelijke overheid, lokale overheden en bedrijven in de vitale sector.

Onder de vitale sector vallen onder meer drinkwater- en energiebedrijven, maar onduidelijk is welke bedrijven precies getroffen zijn. Uit onderzoek van de inlichtingendiensten kwamen geen aanwijzingen dat er een ander land achter de aanval zit of dat de aanval een militair doel had. De gevoelige informatie was bijvangst; het botnet was, net als veel andere botnets, gericht op het ontvreemden van financiële gegevens.

Opstelten schrijft niet welke instellingen precies zijn getroffen, maar het gaat onder meer om honderden overheden en organisaties in de vitale sector. In totaal zijn 140.000 computers besmet. Wil van Gemert, directeur cyber-security bij de Nationaal Coördinator Terrorismebestrijding en Veiligheid, kan tegenover Tweakers niet specifiek aangeven welke organisaties getroffen zijn, maar wil wel kwijt dat er onder andere ministeries zijn getroffen. Volgens hem is het moeilijk aan te geven welke instellingen getroffen zijn, omdat bij veel organisaties ook privéhardware wordt gebruikt. Daardoor lijkt het alsof een instelling is besmet, terwijl er wellicht geen gegevens van die organisatie in het geding zijn geweest.

Hoe gevoelig de gegevens zijn die zijn uitgelekt is niet duidelijk, maar het gaat in ieder geval niet om gegevens die een accuut gevaar vormden. Het gaat onder meer om privacy- en concurrentiegevoelige gegevens. Die werden grotendeels verkregen doordat de tekst die gebruikers invoerden in hun webbrowser, werd onderschept.

Van Gemert wil niet toegeven dat de overheid aanvankelijk meer had kunnen doen om besmette instellingen en bedrijven te waarschuwen, zoals de NOS eerder beweerde. In september, toen de politie over het bestaan van het botnet werd ingelicht, toonde de overheid nauwelijks interesse in de gegevens. Slechts een aantal organisaties zou zijn ingelicht dat ze waren geïnfecteerd.

Nu gaat de overheid meer geïnfecteerden waarschuwen. De honderden overheden en kritieke organisaties worden door het Nationaal Cyber Security Centrum zelf ingelicht; voor het waarschuwen van andere geïnfecteerden, zoals particuliere gebruikers, worden de internet- en hostingproviders ingeschakeld. Volgens Van Gemert kan dit nu wel, doordat het Openbaar Ministerie de gevoelige gegevens nu officieel in beslag heeft genomen en deze heeft overhandigd aan het NCSC.

IT-banen

Reacties (15)

erikloman 3 april 2013 22:44

De zogenaamde "bijvangst" wordt in de conclusie van het rapport veel te sterk afgezwakt

De bijvangst, bestaande uit CMS logins, werd handig door de botnet beheerder toegepast om websites als NU.nl, Telegraaf.nl en Weeronline.nl te infecteren. Het resultaat is dat de Nederlandse internetter in 2012 doorlopend via NL-websites werd aangevallen. De bijvangst is essentieel onderdeel van Citadel!

Het rapport zegt verder:

Gedurende de tijd dat het botnet actief was en de besmette systemen onder controle van de beheerder van het botnet waren, waren deze bruikbaar voor het organiseren van aanvallen of informatievergaring op andere systemen op het interne netwerk van de organisaties.

M.a.w. de beheerder van het botnet had ook prima een worm op 1 besmette computer kunnen loslaten die zich via het aangesloten intranet een weg baant naar ander computers op het netwerk ... ow wacht, dat is al gebeurd > Dorifel.

In het onderzoek van het NFI is opgemerkt dat de drie campagnes niet gericht zijn geweest op specifieke overheden, bedrijven of andere organisaties. Als echter op een juiste manier misbruik wordt gemaakt van de buitgemaakte gegevens dan is de schade potentieel groot. Ook bevatten de door het botnet verzamelde gegevens zeer veel gegevens die direct impact hebben op de privacy van personen.

Merk op dat er staat "wordt gemaakt" en niet "werd gemaakt".

Fox-IT zegt in hun rapport dat de Pobelka Command & Control begin februari nog in Nederland stond. Digital Investigation heeft de Pobelka Command & Control dataset uit Duitsland. Dat betekent dat de boel verhuisd is (lees: gekopieerd). Vraag is, hoe vaak?

Edit: Typo.

[Reactie gewijzigd door erikloman op 24 juli 2024 09:29]

Dreamvoid 3 april 2013 17:16

Volgens hem is het moeilijk aan te geven welke instellingen getroffen zijn, omdat bij veel organisaties ook privéhardware wordt gebruikt.

Ah, de zegeningen van BYOD.

Verwijderd @Dreamvoid • 3 april 2013 20:19

Die zijn er ja. Maar je kunt het ook vanuit de gebruikerskant zien, de (veel) te starre houding van de systeembeheerders/ICT managers.
Ik weet natuurlijk de redenen, maar ik weet ze ook van beide kanten. Ik heb destijds om toegang tot mijn usb poorten gevraagd, omdat ik veel met grote bestanden moet smijten tussen computers die niet op hetzelfde (interne) netwerk zitten. Tevens natuurlijk een stick aangevraagd.
Het resultaat? Poorten geopend, en een stick van 512 MB gekregen. Dan kan ik een (legale, maar niet op het systeem legale) ARJ gebruiken om de bestanden in hapjes van 512 MB te hakken, maar dat werkt niet echt.
Dus wat doe je? Je propt een usb stick in je zak, die in allerlei systemen heeft gezeten, en gebruikt die. AV gescand, dat wel, maar ben je dan zeker? Nee.

Khaine 3 april 2013 17:22

Toch vlijft het bizar om te zien hoe slecht de overheid hier advieseert. 140.000 computers raken niet zomaar in een dag besmet. Dan heb je in september gegevens in handen en vanaf dat moment hadden alle alarmbellen al moeten gaan rinkelen. Ik zou als bedrijf liever 9 fake meldingen krijgen van besmetting, dan 1 dergelijke botnetmelding niet (of te laat).

Met een griepepidemie staat half nederland ondersteboven en worden uit alle hoeken en gaten vaccins getoverd, maar als het om digitale besmetting gaat (met notabene privehardware in een bedrijf) dan heeft het allemaal maar weinig prio.

Het is leuk dat zo'n botnet het financiele stuk als doelwit heeft gehad, maar je gaat mij niet vertellen dat de binnengeharkte (bij-)informatie niet ook gewoon goed verkocht kan worden op de zwarte markt.

Ik zou graag zien dat de overheid ECHT eens wat meer z'n best gaat doen om dit soort dingen tegen te houden.

Verwijderd @Khaine • 3 april 2013 19:04

Ik ben het helemaal eens met jouw opmerking. ICT en de overheid gaat op een of andere manier niet zo goed samen. Waar ligt dat toch aan? Zien ze ICT als een noodzakelijk kwaad? Ik weiger te geloven dat ze incompetent zijn. Dus waar ligt het aan?

== Edit: domme vraag natuurlijk. Ik schuif alle ICT problematiek op 1 hoop en dat is onzin. ==

[Reactie gewijzigd door Verwijderd op 24 juli 2024 09:29]

mloman 3 april 2013 17:32

Van systeembeheerders van veel getroffen bedrijven en instellingen heb ik vorige week op een bijeenkomst nog gehoord dat de buitgemaakte login-gegevens actief worden misbruikt, ook nu nog. Dus om te stellen dat het botnet bedoeld was voor het stelen van geld is echt bullshit.

audiomuts 3 april 2013 18:05

Hier hadden gelijk bij die ontdekking alle alarmbellen moeten gaan rinkelen.

Batiatus 3 april 2013 18:25

Rare berichtgeving. Opstelten doet het voorkomen alsof het helemaal niet erg is dat er gevoelige gegevens zijn gestolen, door te stellen dat het botnet is gemaakt om financiele gegevens te verkrijgen.

Een botnet neemt echt geen gevoelige informatie van een computer af als het er niet naar zoekt. Er mag wel eens wat beter gekeken worden naar de BYOD van de overheid. Is dat eigenlijk wel slim? Gebruiksvriendelijkheid moet imo wat minder naar gekeken worden als het om gevoelige informatie gaat en wat meer naar informatiebeveiliging.

duizel 4 april 2013 08:36

In een brief aan de Tweede Kamer schrijft minister Ivo Opstelten van het Ministerie van Veiligheid en Justitie dat er veel 'potentieel gevoelige gegevens van verschillende aard' zijn buitgemaakt.

Ict en overheid gaan niet samen omdat mensen van veiligheid en justitie en meneer fred teeven over ict zaken gaan die helemaal niks over ict weten. Ik bel ook niet de hema op omdat mijn netwerk in de soep is gelopen.

Randfiguur 4 april 2013 09:09

Artikel: Het gaat daarbij onder meer om gegevens van de landelijke overheid, lokale overheden en bedrijven in de vitale sector.

Weet iemand wat met de "vitale sector" bedoeld wordt? Het is geen gangbare term. Nutsbedrijven misschien?

Toettoetdaan 3 april 2013 17:35

De gestolen gegevens zijn bijvangst; het botnet was bedoeld voor het stelen van geld.

Botnet: "Heb je nog wat geld voor me?"
Overheid PC: "Nee sorry man! Ik heb nog wel privacy-gegevens heb je daar wat aan anders?"
Botnet: "Ach ja het is beter dan niets he!"

Tekstuele weergave van hoe ik me dit voorstel...

Salsario 3 april 2013 17:45

Juist,, een botnet maken met het doel geld te stelen die toevallig gegevens van vitale bedrijven en ministeries doorstuurt... Maar dat is slechts bijvangst... Ja hoor. Denk dat Ivo Opstelten als ie een tand verliest hem onder het kussen legt, zodat de tandenfee hem een eurootje ervoor geeft.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (15)

Sorteer op:

Weergave: