image

Russische Bredolab server ontsnapt aan Recherche

woensdag 27 oktober 2010, 09:44 door Redactie, 3 reacties

Beveiligingsonderzoeker hebben één command & control server van het Bredolab botnet ontdekt die nog steeds operationeel is, maar volgens beveiligingsexpert is het netwerk zo goed als dood. De C&C server in kwestie is bij een Russische hostingprovider ondergebracht. "Er is een mogelijkheid dat dit specifieke C&C domein tijdens de operatie over het hoofd is gezien en nu communiceren de zombies via de automatische piloot met deze C&C", zegt Atif Mushtaq van beveiligingsbedrijf FireEye. Hij merkt op dat het onzeker is of de gisteren gearresteerde man, die vermoedelijke het brein achter het botnet was, ook deze server bestuurde.

Als dat zo is, zal de server de laatst ingestelde opdracht uitvoeren. De huidige opdracht bestaat uit het installeren van de berucht TDSS-rootkit op met Bredolab besmette computers. Bredolab werd voornamelijk gebruikt voor het verspreiden van aanvullende malware, waarbij andere cybercriminelen de Bredolab botnetbeheerder per installatie betaalden.

Ondanks deze ene operationele server, denkt Mushtaq dat de operatie tegen Bredolab een succes is. In tegenstelling tot andere botnets, zoals Pushdo, beschikte Bredolab niet over een uitgebreide lijst van back-up servers. "Ik heb dan ook geen twijfel dat een groot gedeelte van dit botnet is ontmanteld en nooit meer zal herstellen." Rik Ferguson van Trend Micro is wat voorzichtiger. "Als er één is, is er potentieel voor meer."

Uitlevering
Wereldwijd is zeer positief op het werk van het Team High Tech Crime (THTC) van de Nationale Recherche gereageerd. Zo krijgt men de felicitaties van Microsoft. Toch is de vraag of de mogelijke verdachte ooit de binnenkant van een Nederlandse rechtszaal zal zien. De Armeense autoriteiten zullen de aangehouden Armeniër niet aan Nederland uitleveren, waar hij indien veroordeeld, een gevangenisstraf van tussen de 4 en 6 jaar te wachten staat.

Reacties (3)
27-10-2010, 10:41 door Anoniem
Tsja het begon ook allemaal op 1 computer dus snel maar uitzetten!
27-10-2010, 15:06 door Anoniem
Zal vast niet 1 server zijn :p
27-10-2010, 18:21 door Necrowizard
Ze hebben ook maar 1 C&C server waar alle bots naar luisteren nodig. Geeft ze nu de mogelijkheid nieuwe C&C servers op te zetten, en de bots te updaten om met de nieuwe servers te verbinden...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.