image

Chinees botnet achter aanval op Google

donderdag 4 maart 2010, 11:49 door Redactie, 0 reacties

Een groep Chinese botnetbeheerders zit achter de aanval op Google, dat beweert beveiligingsbedrijf Damballa. Uit analyse van "Operatie Aurora" blijkt dat het botnet eerst werd ingezet voor het verspreiden van nep-virusscanners. Het ging hier niet om "normale" nep-virusscanner die slachtoffers alleen geld uit de zak proberen te kloppen, maar om botnet agents die besmette machines onderdeel van het botnet maakten. In tegenstelling tot wat eerder werd aangenomen, vonden de aanvallen tegen Google niet halverwege december, maar al vanaf juli 2009 plaats, met China als oorsprong.

Verschillende domeinnamen die de botnetbeheerders als Command & Control gebruikten, dateren zelfs van 2 mei 2009. Daarnaast werden in de genoemde periode verschillende gerichte aanvallen via verschillende botnets parallel uitgevoerd.

Aanvalsvector
"Het lijkt erop dat de aanvalsvector verschillende fasen is doorlopen voordat Google die ontdekte." Het zou dan gaan om de opbouw van het botnet en gebruikte malware. Dat het botnet verschillende soorten malware verspreidde, is mogelijk aanwijzing dat de beheerders een deel van het netwerk hebben verhuurd. "Aurora is gewoon een botnet", zo schrijft Damballa in een nieuw rapport.

Daarin merkt het ook op dat het botnet Dynamic DNS Services (DDNS) gebruikte, iets wat professionele botnetbeheerders al sinds 2007 niet doen. Veel DDNS-aanbieders treden snel op tegen misbruik van hun diensten door cybercriminelen. "De gemiddelde botnetbeheerder die nog steeds DDNS gebruikt is in het algemeen een amateur." Hoewel de aanval op het werk van amateurs lijkt, werden er wel meerdere DDNS-diensten gebruikt. Verder toont het onderzoek aan dat de aanvallers de gestolen gegevens waarschijnlijk via e-mail verstuurden.

Varianten
Een ander opmerkelijk punt is het gebruik van de nep-virusscanners. Het gedrag van één van de twee varianten is bijna gelijk aan Trojan.Hydraq, die bij de aanvallen op Google werd ingezet. De malware verspreidde zich via waarschuwingen en pop-ups op websites. De twee varianten werden uiteindelijk door Hydraq opgevolgd, zonder dat hier enige overlap tussen zat. Het feit dat de malware via hetzelfde netwerk werd verspreid, is volgens Damballa een aanwijzing dat de aanbieders van het botnet de varianten of een deel van het netwerk verhuurden.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.