De hackers die bij Google en dertig andere bedrijven inbraken, hadden voldoende aan een beetje geluk en amateuristische malware, dat zegt Gunter Ollmann van beveiligingsbedrijf Damballa. Volgens hem was het geen bewuste keuze van de aanvallers om heel eenvoudige en gedateerde malware te gebruiken. Toch blijft de vraag bestaan waarom ze geen malware toolkit gebruikten. Op het internet zijn talloze doe-het-zelf toolkits verkrijgbaar die zeer complexe malware genereren.

"De output van commerciële malware toolkit zoals Zeus, Butterfly, SpyEye en Turkojan is veel complexer dan Trojan.Hydraq", zegt Ollmann. Hydraq is de naam van de malware die de Googlehackers voor hun aanval gebruikten. Het gaat hier om "doorsnee" tools. In vergelijking met Conficker is Hydraq net uit de oersoep gestapt, zo merkt de expert op. "En Conficker is al meer dan een jaar oud." Ook is er de vraag waarom de malware niet beschermd was, door bijvoorbeeld packers, cryptors of anti-debuggers. Maatregelen die eenvoudig zijn toe passen en waarvan elke cybercrimineel het bestaan kent.

Doe-het-zelf
Ollmann denkt niet dat de aanvallers bewust de amateuristische malware hebben gebruikt, om zo onderzoekers te laten denken dat het om amateurs gaat. "Wat we wel weten, is dat de botnetbeheerders meerdere botnet campagnes tegelijkertijd ontwikkelden." De campagnes gebruikten verschillende technieken en werden steeds geraffineerder, totdat Google halverwege januari alarm sloeg.

Met een doe-het-zelf toolkit was de aanval mogelijk nog veel langer onopgemerkt gebleven. Volgens de beveiligingsexpert kan het zijn dat de aanvallers dit soort toolkits niet vertrouwden. "Veel van de gratis en illegale kits bevatten een backdoor." Een andere mogelijkheid is dat de meeste kits in het Engels, Portugees of Spaans zijn. "Misschien begrepen de botnetbeheerders ze niet."

Studenten
Sommige analisten denken dat twee Chinese scholen achter de aanval zouden zitten. Ook Ollmann sluit niet uit dat het om studenten gaat, die de aanval als leerervaring beschouwden. "Hoe raar het ook lijkt, dit is een populair experiment voor newbie hackers en informaticastudenten." Een laatste reden waarom de aanvallers het gebruik van toolkits niet overwogen is dat ze een beschermd leven hebben geleid en dachten dat ze beter dan cybercrime professionals waren.

"Dat alles terzijde, de botnetbeheerders deden wat ze deden en waren succesvol genoeg. Ik denk dat ze een beetje mazzel met hun aanvallen hadden en ben een beetje verrast dat ze hun campagnes zolang hebben kunnen voeren", aldus Ollmann. Hij ziet het incident als een waardevolle les voor grote bedrijven. "Als een stel amateurs zoveel schade met gedateerde tools en een beetje geluk kan veroorzaken, hoe makkelijk denk je dat het voor ervaren cybercriminelen is om in te breken?"