image

LeaseWeb speelt rol bij groot Russisch botnet

dinsdag 9 maart 2010, 13:58 door Redactie, 12 reacties

Onderzoekers hebben een groot botnet van meer dan 200.000 besmette machines ontdekt, en één van de Command & Control (C&C) servers is ondergebracht bij de Nederlandse hostingprovider LeaseWeb. Het Oficla botnet is actief in 48 verschillende landen, maar heeft voornamelijk in Rusland (116.119) en Oekraïne (53.746) machines weten te infecteren. Het botnet wordt bestuurd via een commerciële crimeware toolkit, die in drie varianten beschikbaar is. De niet-resistente versie van myLoader kost 335 euro, terwijl de lite versie voor 405 euro te koop is. Voor de volledige versie moeten cybercriminelen 520 euro neerleggen. Deze versie beschikt over een uitgebreid informatiesysteem en statistieken van elk onderdeel, zoals het aantal actieve en inactieve bots, aantal infecties per dag, geolocatie van de bots en nog wat andere zaken.

Onderzoeker Jorge Mieres van Malware Intelligence ontdekte drie C&C servers, in Rusland, Maleisië en Nederland. De bij LeaseWeb ondergebrachte server wordt gebruikt voor phishing, spam, malware en het besturen van het botnet. De overige twee servers hebben alleen een "malware" functie. Het is niet de eerste keer dat LeaseWeb in verband met botnets wordt gebracht. Ook het Pushdo-botnet gebruikte de hostingprovider als schuilplaats.

Falen
Volgens Mieres laat de malware het falen van beveiligingssoftware zien om dit soort dreigingen tegen te gaan. "Niet alleen als het gaat om het voorkomen van infecties, maar ook detectie." Inmiddels groeit het botnet met 120 computers per uur. Net als veel andere bots, zoals Zeus, beschikt ook dit botnet over een "kill commando" om Windows op geïnfecteerde computers te beschadigen. "Wat vaak als een onbeduidende infectie wordt gezien, is in feit onderdeel van een serie criminele activiteiten op wereldwijde schaal."

Reacties (12)
09-03-2010, 14:48 door adejoode
LeaseWeb heeft 22.000 servers in gebruik. Momenteel genereren we een piek van 649,5 Gbps aan internet verkeer. Als infrastructuur leverancier leveren wij de hardware, de plek in het datacenter en de internet verbinding, wij doen in principe geen systeem- of applicatiebeheer voor onze klanten. Omdat de klant zelf het beheer doet hebben wij geen toegang tot de server, we kunnen dus niet 'even inloggen op 22.000 machines om te kijken of er ....'.

Je zou LeaseWeb kunnen zien als een grote stad met 2 miljoen inwoners (= websites), zoals in elke stad vinden er binnen het LeaseWeb netwerk ook activiteiten plaats die het dag licht minder kunnen verdragen. LeaseWeb heeft om deze activiteiten te bestrijden een abuse/security afdeling die meldingen verwerkt mbt. deze activiteiten.Gezien de volumes is deze afdeling wel afhankelijk van meldingen, geen melding is vooralsnog geen aktie. We volgen verschillende antimalware feeds, maar het doen van een directe melding is de beste manier om deze activiteiten binnen het LeaseWeb netwerk te stoppen. Het is dus jammer dat Security.NL en MalwareInt.com geen melding van het ip# en de activiteiten hebben gemaakt, LeaseWeb zou dan eerder in staat zijn geweest deze server offline te halen.

Toevallig stond het ip ook op Zeus.tracker, dat is een van de feeds die we dagelijks volgen en die we gebruiken om C&C's af te sluiten. Het betreffende ip adres was dan ook al genulled op het moment van publicatie.

* http://noc.leaseweb.com/
* http://www.malwareint.com/docs.html
* http://zeustracker.abuse.ch

Alex de Joode
Security Officer
LeaseWeb BV
http://www.leaseweb.com
09-03-2010, 19:41 door Anoniem
Met zo veel hosts in je netwerk en zoveel verkeer, is het wellicht een idee om eens pro-actief aan het werk te gaan ipv te rekenen op meldingen van mensen die daar graag tijd in stoppen. Maar dat zal niet echt in jullie business-model passen gok ik.

Het zou een trieste wereld zijn als de politie ook lekker achterover gaat zitten tot er eens een melding binnenkomt.
09-03-2010, 22:08 door mathijsk
Tja Alex, als ze dat hadden gedaan, was er geen nieuwsitem gekomen natuurlijk en dat is nu juist waar het hier om draait.

Daarbij staan de beste stuurlui aan wal en is het oh zo makkelijk om op iets of iemand af te geven.

Dat jij je vaak aangesproken mag voelen door dit soort berichten op blogs en fora zoals wht komt een beetje met de functie vrees ik.

Toch zou ik blijven reageren, want anders gaan dergelijk berichten helemaal een eigen leven lijden.

Van mij hebben jullie wel eens een abusebericht ontvangen en daar is toen ook adequaat op gereageerd.
09-03-2010, 23:17 door Anoniem
zou ik ook zeggen Alex, je bent zelf een boef.
10-03-2010, 15:58 door Anoniem
Het is wel makkelijk om je elke keer maar te verbergen en excusses te verzinnen waarom niet pro actief reageren, sorry zeggen en zorgen dat dit niet meer voorkomt...
10-03-2010, 16:42 door Anoniem
Sorry hoor, maar hij geeft zelf toch aan dat ze wel degelijk proactief reageren en het betreffende ip al 'genulled' was?

Wat hebben jullie toch tegen Leaseweb, het is gewoon een erg grote speler en dan heb je statistisch gezien ook meer kans op dit soort zaken.
Daarnaast kan dit iedere colo leverancier overkomen, als er een klant gehacked wordt en die server hiervoor misbruikt wordt, is er niet eens een kwade partij in het spel op die locatie.
Of iemand neemt bij een klant van Leaseweb een VPS af die hiervoor gebruikt wordt, hoe wil je dat gaan vinden zonder eerst een klacht te ontvangen? Zowel Leaseweb als de klant mogen niet zomaar op een dergelijk vps rondstruinen omdat dan privacy en andermans gegevens nogal in het geding komen. Hetzelfde wat betreft alle netwerk verkeer aan deep packet inspection onderwerpen. Ten eerste heb je daarvoor nogal veel capaciteit nodig waardoor het ondoenlijk is, ten tweede is iedereen daar op tegen als de een of andere politieke nono het in zijn hoofd haalt zoiets voor te stellen.

Aan de ene kant spreekt iedereen schande over landen als china en irak maar aan de andere kant verwachten ze wel zoiets van Leaseweb?
10-03-2010, 21:28 door Anoniem
Wellicht zijn er hier security experts die eens uit kunnen leggen hoe zo'n groot netwerk als dat van leaseweb "proaktief" schoon gemaakt kan worden?

Een linux servertje met 700 gigabit NIC's waar tcpdump op draait? (en dan maar hopen dat de C&C niet encrypted praat met de bots?)
11-03-2010, 01:37 door Anoniem
Hahahahaha, Leaseweb. Dan zeg je ook wat! Toen wij daar melding deden van andere obscure (voornamelijk oost europese) activiteiten, werd ons de deur gewezen en gezegd dat we maar ergens bij de "klpd" moesten gaan klagen.

Het is een grote teringzooi daar, en ze doen er waarschijnlijk wel degelijk bewust aan mee. Het gaat om heel veel geld. Je kan dan als website eigenaar ook beter kijken naar de wat kleinere hosts, dan weet je ook een beetje wat er om je heen staat!

Natuurlijk is het heel moeilijk om de controle op je netwerk zo streng te houden, maar je kan toch tenminste aan je klanten vragen WAT ze dan online willen hosten. Al is het alleen al zodat jij een betere oplossing kan bieden voor ze. En nogmaals, een tip Leaseweb, die instabiele abuse desk, doe er wat aan!
11-03-2010, 08:12 door Anoniem
rbn=leaseweb
11-03-2010, 22:42 door Anoniem
Geen adviezen van de experts zo te zien.

Kwestie van stuurlui aan wal dus.
15-03-2010, 05:25 door Anoniem
Beter lezen dan. Genoeg advies van experts gezien. Maar dat zal jij als leek ook niet begrijpen. Leaseweb is een grote criminelenbende.
15-03-2010, 18:08 door Anoniem
In mijn ervaring reageert Leaseweb altijd snel op abusemeldingen, zelfs op die van
spamcop (iets waar veel andere clubs nog wat van kunnen leren).

Het probleem waar Leaseweb tegenaan loopt is dat een 'coloboer' nu eenmaal geen controle
heeft over de systemen die in haar kasten staan. En hoe meer je er hebt, hoe groter de kans
dat een ervan slechte intenties heeft. Kwestie van statestiek dus.

Innuendo van wannabee scriptkiddies dat Leaseweb 'een grote criminelenbende' is, is of
laster, of de poster heeft het maar te staven. Aangezien de lafaards die dit zeggen het
niet durven te zeggen onder hun eigen naam zou ik ze dringend willen adviseren om pas uit
ma's kelder te komen als ze hun eigen broek op kunnen houden.

=paulv
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.