Vriendin werd Bredolab-botnet fataal
De vriendin van de Armeense Bredolab-botnetbeheerder werd zijn operatie fataal, dat vertelde Peter Zinn van het National High Tech Crime Unit tijdens het Govcert symposium in Rotterdam. Zinn begon zijn presentatie met de bewering dat cybercrime exponentieel groeit. Dat geldt ook voor de bestrijding ervan, maar omdat de cybercriminelen zover voorlopen, wordt het gat alleen maar groter.
Ook in de New Yorkse metro groeide criminaliteit in de jaren tachtig exponentieel. De "broken window" theorie werd toegepast. Deze theorie gaat ervan uit dat als je niets aan een kapot raam doet, de buurt verder verloedert. In New York werd de graffiti van de treinen gehaald, kleine misdrijven bestraft, waardoor er weer een signaal werd afgegeven dat er toezicht aanwezig was. "Zodra je iets doet, gebeuren er mooie dingen", merkte Zinn op.
Het internet is volgens hem het ideale model voor de broken window theorie. "Het internet is gebaseerd op anarchie." De belangrijkste maatregel om het internet schoon te houden is het aanpakken van het Zwitserse zakmes voor cybercriminelen, namelijk botnets. Een deel van de botnets die NHTCU monitort laat ze operationeel voor onderzoek. "Als je een botnet hebt dat nog niet is uitgeschakeld, dan weet je dat je gemonitord wordt."
De aanpak van Bredolab werd uiteindelijk via het Tolling project geregeld, wat een spin-off van het Taurus project is en voor het uitschakelen van het botnet zorgde. Het begon toen Roman Huessy van Zeus-tracker (en inmiddels ook SpyEye Tracker) een 'abuse melding' naar hostingprovider Leaseweb stuurde. Leaseweb stelde een onderzoek in en ontdekte dat het botnet vrij groot was. Project Tolling nam tien weken in beslag om alle data uit te zoeken en de botnetbeheerder te achterhalen.
Webshop
Bij Leaseweb had deze Georgy A. 143 servers via een reseller gehuurd, waar hij 20.000 euro per maand voor betaalde. Veel beveiligingsexperts hebben zich afgevraagd waarom de Armeniër zoveel servers bij Leaseweb had ondergebracht. Het is mogelijk dat hij dit niet wist, omdat hij de machines via een tussenpartij regelde. Daarnaast werden de 143 servers niet alleen voor het besturen van het botnet gebruikt. Hij zette de machines ook in als proxy, voor het verspreiden van andere software en het beheer van zijn webshop, waar zijn criminele klanten delen van het botnet konden huren.
Het achterhalen en opsporen van Georgy A. was een probleem, aangezien hij al zijn gegevens versleutelde. "De zwakke plek van een cybercrimineel is zijn vriendin of vrouw", aldus Zinn. Die hebben sociale netwerksites, waar ze hun echte naam gebruiken. Zodoende werden allerlei details over de Armeniër bekend. De recherche had vernomen dat Georgy A. als dj bij een dansevenement in Amsterdam zou optreden. De Armeniër besloot uiteindelijk toch niet te komen en werd na een opsporingsbevel van Interpol op het internationale vliegveld van Jerevan aangehouden.
Daarvoor had hij nog geprobeerd om Leaseweb aan te vallen, aangezien hij dacht dat een andere bende zijn botnet-imperium probeerde over te nemen. Georgy A. gebruikte hiervoor zo'n 220.000 machines die via een Franse provider werden aangestuurd. De politie daar schakelde in tien minuten dit botnet uit. Van de 143 servers bij Leaseweb werden er 8 online gelaten om slachtoffers te waarschuwen.
Pop-up
De bots maken verbinding met één van deze acht servers, waar een pop-up klaarstaat, die naar de website met aanvullende informatie linkt. In totaal deden 88 mensen aangifte. "De mensen die besmet zijn klikken toch op alles", grapte Zinn over het feit dat niet iedereen dol op het zien van pop-ups is. Justitie zag echter geen andere manier om de eigenaren van de besmette machines te informeren. "We hebben de verplichting als politie om slachtoffers te waarschuwen", aldus Zinn. Hij beseft dat er straks best mogelijk malware kan verschijnen die zich als KLPD pop-up voordoet. "Ik hoor graag betere opties om slachtoffers te waarschuwen", zo liet hij de zaal weten. Het botnet beschikte ook nog over een "erase" commando, maar daar wilde men niet mee experimenteren. De kans zou bestaan dat men de drie miljoen machines onbruikbaar zou maken.
De arrestatie van Georgy A. was groot nieuws op ondergrondse fora. "Ik denk dat sommigen nu naar een andere buurt gaan", ging Zinn verder. Het oprollen van Bredolab zou pas een eerste stap zijn. "Het repareren van één raam lost nog geen misdrijf op."
ALL YOUR INFECTED MACHINES BELONG NOW US !
ALL YOUR INFECTED MACHINES BELONG NOW US !
Faal spelling.
Faal spelling.
*facepalm*
leuke titel. Komt alleen nergens in terug.
.
Het internet heeft eerder last van 'Broken Windows' ;)
Faal spelling.
Het is FAIL, als je het op die manier wilt brengen.
leuke titel. Komt alleen nergens in terug.
.
Beter lezen misschien ? Of even langs Hans Anders voor een bril ?
Het achterhalen en opsporen van Georgy A. was een probleem, aangezien hij al zijn gegevens versleutelde. "De zwakke plek van een cybercrimineel is zijn vriendin of vrouw", aldus Zinn. Die hebben sociale netwerksites, waar ze hun echte naam gebruiken. Zodoende werden allerlei details over de Armeniër bekend.
Dus een echte (cyber) crimineel heeft geen vriendin of vriend.
Zo, die kan ook weer in het criminelen handboek.
Dus een echte (cyber) crimineel heeft geen vriendin of vriend.
Zo, die kan ook weer in het criminelen handboek.
Criminelenhandboek hoofdstuk 42: Cybtercriminaliteit. Regel 1: Vertel je vriendin nooit van je botnet.
Nergens in het artikel staat dat de vriendin iets wist van het botnet. Wat er staat is dat men via haar profielen zijn identiteit wist te achterhalen. Dat staat verder los van de vraag wat zij al dan niet wist over zijn activiteiten en op zij hier wel/niet iets over los laat of heeft gelaten.
"leuke titel. Komt alleen nergens in terug."
Beter lezen - "Het achterhalen en opsporen van Georgy A. was een probleem, aangezien hij al zijn gegevens versleutelde. "De zwakke plek van een cybercrimineel is zijn vriendin of vrouw", aldus Zinn. Die hebben sociale netwerksites, waar ze hun echte naam gebruiken. Zodoende werden allerlei details over de Armeniër bekend."
"Faal dat je deze klassieker niet kent: http://en.wikipedia.org/wiki/All_your_base_are_belong_to_us"
Mwa. Die klassieker ken ik wel, maar moeten we daarom blij zijn met dit soort nutteloze bijdragen in hoofdletters, terwijl dat aan de discussie helemaal niets toevoegt ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
