Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 34 reacties

De criminelen achter Zero Access hebben het beheer over dat botnet opgegeven. Ze gaven een bericht uit met als inhoud "white flag". Eerder deze maand spande Microsoft een rechtszaak aan tegen de beheerders, maar naar aanleiding van deze ontwikkeling heeft het die zaak stopgezet.

Het lijkt erop dat het ZeroAccess-botnet niet langer werkzaam is. Twee weken geleden begon Microsoft een civiele rechtszaak tegen de beheerders van het botnet dat ook wel bekend staat onder de naam Sirefef. Nu de beheerders hun nederlaag erkennen heeft Microsoft besloten de zaak niet door te zetten en de autoriteiten hun onderzoek te laten voortzetten.

Microsoft en partijen waarmee het heeft samengewerkt hadden niet de verwachting het ZeroAccess-botnet helemaal buiten werking te zetten, omdat de dreiging zeer complex was. ZeroAcces is namelijk gedecentraliseerd ingericht en maakt gebruik van peer-to-peerverbindingen. Bij minder complexe botnets is er vaak één command-&-controlserver die het botnet aanstuurt.

In eerste instantie richtte Microsoft zich op het schoon en onschadelijk maken van geïnfecteerde computers. In een actie eerder deze maand identificeerde Microsoft en andere partijen 18 ip-adressen en 49 domeinnamen die het botnet zou gebruiken. Nog geen 24 uur na die actie kwamen er al nieuwe instructies bij de zombie-pc's binnen om door te gaan met de fraude.

Omdat het botnet echter in de gaten werd gehouden lukte het een nieuw ip-adres te vinden en kon het Europese Cybercrime Centre actie ondernemen in het betreffende land, in dit geval Duitsland, waar de ip-adressen snel herleid werden. Na die actie gaven de botnetbeheerders nog een bericht uit aan de zombies, namelijk "white flag", waarme ze zich overgaven. Het botnet is nu dan ook niet langer actief.

Het onderzoek werd uitgevoerd ook in samenwerking met het Nederlandse Team High Tech Crime van de Landelijke Politie-eenheid. Drie van de domeinen die eerder werden geïdentificeerd bleken bij Nederlandse hosters te staan.

Moderatie-faq Wijzig weergave

Reacties (34)

Nu zich terug trekken, om straks sterker dan ooit terug te komen.

Onderzoek en vervolging hoort bij de overheid te liggen, niet bij een bedrijf!
Het Europese Cybercrime Centre is ook een (EU-)overheidsorganisatie, geen bedrijf. Is een onderdeel van Europol in Den Haag.

Daarnaast is onderzoek zeker niet alleen een taak van de overheid, er zijn zát commerciele partijen die zich daar ook mee bezighouden. Denk alleen al aan Fox-IT of Kaspersky dat regelmatig in het nieuws is met dit soort zaken bijvoorbeeld
Bedrijven mogen het best wel passief onderzoeken doen en deze gegevens overdragen aan de overheid. De overheid moet ook zijn eigen onderzoek doen, met de bevoegdheden die zij zich op dat moment gegunt hebben.

Maar een bedrijf mag niet actief onderzoeken, dus niet in het botnetwerk inbreken. Omdat je hiermee in de meeste gevallen inbreekt op een computer die eigendom is van een persoon, die weer bepaalde rechten heeft.

Wie is er verantwoordelijk voor de eventuele schade en misschien wel juistheid van de data op die computer, vanaf het moment dat een bedrijf zich met het botnetwerk gaat bemoeien?

Dat bots en andere kwaadaardige entiteiten op internet bestreden moeten worden, is bijna iedereen het over eens. Misschien toch maar een internet vergunning invoeren, zodat mensen een beetje opgevoed worden en de fabrikant van de software verantwoordelijk stellen voor bugs en leks, zodat deze te minste binnen een paalde periode opgelost worden.

Overigens waarom claimt microsoft de overwinning? Hebben ze wat aan hun software aangepast, waardoor dit netwerk bestreden is? Nee, omdat iemand zich zegt over te geven.
In het artikel staat nergens geschreven dat Microsoft heeft ingebroken op systemen. Ze hebben het netwerk in de gaten gehouden. Microsoft MOET hier wel zwaar onderzoek naar doen aangezien het botnet zich op WIndows systemen had gericht. Zeer slechte reclame dus.

Ze hebben een civiele rechtszaak gestart, dat was hun enige harde actie.
Overigens waarom claimt microsoft de overwinning? Hebben ze wat aan hun software aangepast, waardoor dit netwerk bestreden is? Nee, omdat iemand zich zegt over te geven
volgens mij was MS toch wel behoorlijk actief met het bestrijden van dit bot.
In eerste instantie richtte Microsoft zich op het schoon en onschadelijk maken van geïnfecteerde computers. In een actie eerder deze maand identificeerde Microsoft en andere partijen 18 ip-adressen en 49 domeinnamen die het botnet zou gebruiken. Nog geen 24 uur na die actie kwamen er al nieuwe instructies bij de zombie-pc's binnen om door te gaan met de fraude.
daarnaast kan ik in het verhaal niet terug halen dat MS als enige met de overwinning aan de haal gaat.
Ik kan mij zo voorstellen dat er Microsoft mensen gewoon gezellig bij de FBI of bij Europese opsporingsdiensten op kantoor zitten, of andersom, voor de expertise uitwisseling, en omdat Microsoft als bedrijf (als het goed is) bepaalde dingen niet mag die opsporingsdiensten wel mogen.
Dit is een redelijk minimale investering ten opzichte van de image/reputatie schade. Dit zou zo maar eens zoiets kunnen zijn als "als je nu dit intikt dan heb je (FBI meneer) de controle over de PC".
Iedereen kan een civiele zaak aanspannen.

Echter, en dat staat ook in het artikel doet ook justitie een onderzoek. Dat loopt nog gewoon
Tenzij het natuurlijk jouw spullen zijn die misbruikt worden en jij de slechte naam krijgt en het te groot blijkt voor één of aparte overheden. ;)

Dan ga je ook uitzoeken wie dat doet en hoe je het kan stoppen.
En dan laat je verder onderzoek over aan de overheden als je ze gevonden hebt, en die rechtszaak wordt natuurlijk ook gewoon door een rechtbank gedaan.
Vervolging was dus al sowieso door de overheid en niet door een Microsoft Tribunaal. ;)

Goed bezig MS!
En waarom zou een bedrijf niet mee mogen werken? Microsoft blijkt een aanwinst te zijn in dit geval, dan is dat alleen maar goed toch?
@wica

Nu de beheerders hun nederlaag erkennen heeft Microsoft besloten de zaak niet door te zetten en de autoriteiten hun onderzoek te laten voortzetten.
Het onderzoek werd uitgevoerd ook in samenwerking met het Nederlandse Team High Tech Crime van de Landelijke Politie-eenheid. Drie van de domeinen die eerder werden geïdentificeerd bleken bij Nederlandse hosters te staan.
Dat doen ze dus ook.
Maar ik heb ook zo'n idee dat er weinig bedrijven zijn die zoveel kennis hebben over dit soort zaken als Microsoft. Helaas moesten ze wel natuurlijk.
Goh, deze keer geen extra commentaar van Fox-it over hoe slecht Microsoft dit aanpakt? 8-)

(edit: Voor de Tweakers met slecht geheugen: nieuws: Microsoft brengt klikfraude-botnet flinke slag toe )

[Reactie gewijzigd door AHBdV op 20 december 2013 18:02]

Ik snap dat commentaar niet helemaal. Jaren geleden was het een favoriet onderwerp hoe Microsoft laks omging met beveiliging. Nu nemen ze het zeer serieus en nemen ze ook actief stappen tegen zaken als botnets. Een hele goede zaak mijn inziens. Het internet wordt hierdoor veiliger voor iedereen.
Je vraagt jezelf af of de beheerders door die actie inderdaad niet juist in de val gelokt zijn. Prima actie dus!
Dat was dus ook mijn eerste gedachte na het lezen van het bericht.
Het zou allemaal zo slecht zijn wat Microsoft doet omdat ze hun 'onderzoek' belemmeren, maar ondertussen doen ze niets tegen de bron en laten ze zich (flink?) betalen door hun klanten blijvend bloot te laten stellen aan dit soort praktijken.
Haha, nee die fout maken ze denk ik maar 1 keer. Vond het wel komisch, destijds.
Wacht, gaat dit over hetzelfde botnet van 2 weken geleden waarvan onderzoekers zeiden dat Microsoft alleen maar schade heeft aangericht aan hun onderzoek? Zou wel heel ironisch zijn. Zoals toen al gezegd: ik vind dat Microsoft het veel beter aanpakt dan die onderzoekers met hun sink holes.
Wat is er ironisch aan? Is gewoon realiteit. De FBI en de politie zitten elkaar bijvoorbeeld ook weleens in de weg omdat ze van elkaar niet weten dat ze er onderzoek naar doen om maar wat te noemen.

Ook hier heb je verschillende methodes van aanpak die kunnen conflicteren.
Ook hier heb je verschillende methodes van aanpak die kunnen conflicteren.
Her ironische is dat die onderzoekers zeiden dat Microsoft het probleem alleen maar erger maakte door sink holes te vernielen. Daarbij hebben de onderzoekers alleen een passieve aanpak, onderzoeken is ook alles wat ze doen. Ze zeiden dat Microsoft hiermee niks zou bereiken, en plots is het hele botnet onderuit, dat is ironisch.
Inderdaad, het gaat over dat bewuste botnet.
Begrijp ik het nou goed dat de beheerders zelf aan alle zombies een selfdestruct commando hebben gegeven ?
Zou dat misschien zijn om sporen te wissen ?
Ben verbaasd dat dergelijke bots uberhaupt een soort kill-switch hebben, dat de ontwikkelaar(s) voorbereid waren op het botnet stoppen.
kill switch niet noodzakelijk. Als je stopt met nieuwe commandos te sturen valt het botnet ook gewoon stil.
Na die actie gaven de botnetbeheerders nog een bericht uit aan de zombies, namelijk "white flag", waarme ze zich overgaven.

Lijkt me een soort kill switch command.
Waarom ben je daar verbaasd over? Als er dreiging is dat je identiteit bekend wordt wil je best wel een commando kunnen sturen dat het/meeste bewijs vernietigd.
Naja aangezien ZeroAccess peer to peer was leek me dat de bots weinig tot geen bruikbare informatie over de beheerders hebben.
Ja echt geniaal... Snel stoppen voordat de complete werking van het botnet wordt uitgevogeld :)
Kan niet geloven dat een dergelijk lucratief botnet gewoon simpel opgegeven werd.
Misschien dat er ondertussen al een nieuw botnet klaar staat om in gebruik genomen te worden en dat op deze manier een beetje wind weggenomen werd van de beheerders?
Het lijkt me dat je af en toe beter eieren voor je geld kan kiezen, als ze je namelijk vinden en vervolgen ben je nog verder van huis. Daarom zullen ze de botnet wel hebben opgegeven, werd ze waarschijnlijk te heet onder de voeten
Ik kan er maar één ding over zeggen: Goed bezig!! d:)b Op naar de volgende(n), die zullen er ongetwijfeld zijn.
Als dit zo is en het botnet niet simpel weg verhuurd / gekocht werd en dus nog op de een of andere manier actief is en ontwikkeld wordt is dit een zeer goede zaak.
Als ik in de gevonden virus lijsten keek van honeypots kwamen er regelmatig zeer recentie versies van zaccess en sirefef uit (soms wel een paar versies per uur). En het staat ook nog is bekend als lastig te detecteren malware.

Kudo's aan microsoft als het ze echt gelukt is.

Update : Een van mijn bronnen (Ik zou graag een link posten als dit binnen de ToS van tweakers valt (Je kunt hier malware samples downloaden) heeft zeroaccess voor het laatst gespot op 3 december. Het zou dus goed kunnen dat de malware inderdaad niet meer wordt ontwikkeld.

[Reactie gewijzigd door henk717 op 20 december 2013 16:45]

ben benieuwd of ZeroAccess nu de source-code vrij gaat geven.. als ze inderdaad zouden hebben op gegeven..
Hoe kunnen de beheerders van een botnet worden gevonden door MS dan?
mooi komen we weer beetje meer van die malware af _/-\o_

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True