image

Groot botnet blundert met gebruik Tor-netwerk

donderdag 12 september 2013, 13:42 door Redactie, 0 reacties
Laatst bijgewerkt: 12-09-2013, 14:35

De beheerders van een groot botnet die dachten het Tor-netwerk te kunnen gebruiken om niet op te vallen hebben een grote inschattingsfout gemaakt. Op 19 augustus was er opeens een explosieve stijging van het aantal Tor-gebruikers. In eerste instantie was onduidelijk waar de groei vandaan kwam.

Uiteindelijk bleek het Mevade-botnet achter de aanwas van nieuwe Tor-gebruikers te zitten. Dit botnet was een aantal maanden geleden al ontdekt door beveiligingsbedrijf Damballa, dat het botnet de willekeurige naam LazyAlienBikers gaf.

In eerste instantie werd geschat dat het botnet uit minimaal 1,4 miljoen en mogelijk meer dan 5 miljoen computers zou bestaan. De omvang was vanwege verschillende redenen lastig vast te stellen, maar na de overstap naar Tor, dat het aantal gebruikers opeens met 2,5 miljoen zag groeien, is duidelijk dat het om een groot botnet gaat.

Defect

De Mevade-bot werd op 80% van de bedrijfsnetwerken aangetroffen die Damballa monitort. Het gedrag verschilde echter per omgeving. Bij 20% van de besmette bedrijven lukte de malware het niet om verbinding met de Command & Control-server te maken. Bij 44% van de besmette bedrijven ontving de malware alleen maar updates en bleef de rest van de tijd in een soort slaapstand.

Bij 22% van de bedrijven was de malware actief en werden er kleine hoeveelheden gegevens gestolen. De resterende 14% van de bedrijven had echter met grootschalige datadiefstal te maken. Volgens Damballa gaat het hier om een substantieel botnet dat vrij lang werd genegeerd en alle kenmerken van een succesvolle aanvaller had.

Blunder

"Wat veranderde er? Waarom was een botnet dat lange tijd door niemand werd opgemerkt opeens voorpaginanieuws? Het komt erop neer dat ze te goed waren", zegt onderzoeker Mark Gilbert. De beslissing om via het Tor-netwerk onzichtbaar te blijven bleek uiteindelijk een verkeerde keuze. "Zoals de beheerders van Mevade hebben geleerd moet je elke beslissing afwegen."

In dit geval was ongewenste aandacht de prijs van de overstap naar Tor. Gilbert verwacht dat de botnetbeheerders nu waarschijnlijk gedwongen zijn om nieuwe maatregelen te nemen om het botnet weer onzichtbaar te maken. "In de security-wapenwedloop maken soms ook de criminelen blunders. Maar je kunt ervan uitgaan dat ze hun lessen van deze fout hebben geleerd en nieuwe manieren zullen vinden om onopvallend hun gang te gaan."

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.