Nieuws
image

"Grum-botnet tijdelijk online na omkoopschandaal"

dinsdag 24 juli 2012, 10:13 door Redactie, 5 reacties

Het Grum-botnet dat vorige week offline werd gehaald kwam dit weekend tot grote verrassing van beveiligingsonderzoekers weer online. Volgens beveiligingsbedrijf FireEye was het te verwachten dat de beheerders zouden proberen om de controle over het botnet terug te krijgen. Het Grum-botnet beschikte echter niet over een back-up mechanisme om dit op technische wijze te realiseren. Toch vonden de botnetbeheerders een ander mechanisme, namelijk geld.

Dat zegt FireEye-onderzoeker Atif Mushtaq. Dit weekend bleek dat de Oekraïense internetprovider SteepHost de null route van de drie Command & Control-servers had opgeheven. Via deze machines, die vorige week nog offline werden gehaald, konden de botnetbeheerders de besmette machines weer aansturen. "We vermoeden dat de botnetbeheerders een groot geldbedrag hebben betaald om toegang tot deze servers te krijgen", laat Mushtaq weten.

Onderhandelingen
Het beveiligingsbedrijf nam contact op met SteepHost en na uren van onderhandelingen werden de C&C-servers weer uitgeschakeld. In de tussentijd werd er weer spam verstuurd, maar dat is inmiddels ook gestopt. SteepHost liet weten dat het niet nog een keer zal gebeuren. Volgens Mushtaq gaf de ISP inbraken en beveiligingsproblemen als excuus.

"Best grappig, niet? Ze beweerden zelfs dat ze dit keer de harde schijven van de C&C-servers hebben gewist", aldus de onderzoeker, die opmerkt dat hierdoor al het bewijs is vernietigd.

Spambestrijder SpamHaus waarschuwde SteepHost dat als het nog een keer gebeurt er een klacht bij de upstream-provider wordt ingediend. Die kan ze vervolgens van het internet afsluiten. Een andere mogelijkheid is dat het hele subnet van SteepHost op een blacklist verschijnt, wat grote impact op de bedrijfsvoering heeft.

Reacties (5)
24-07-2012, 10:29 door WhizzMan
Misschien moeten clubjes als AMSIX en dergelijk dit soort dingen maar eens zelf gaan beslissen. Het is een hele zware maatregel, maar als providers er zo'n zootje van maken of openlijk de boel laten doorgaan, horen ze (tijdelijk) niet op het Internet thuis.
24-07-2012, 11:12 door Bitwiper
Door WhizzMan: Misschien moeten clubjes als AMSIX en dergelijk dit soort dingen maar eens zelf gaan beslissen. Het is een hele zware maatregel, maar als providers er zo'n zootje van maken of openlijk de boel laten doorgaan, horen ze (tijdelijk) niet op het Internet thuis.
Slecht plan vrees ik. Voor ISP's en Internet Exchanges zijn de economische belangen te groot om ze te laten handhaven. Justitie dient (in alle landen) haar verantwoordelijkheid te nemen waar het om handhaving gaat, zij moet de problemen bij de bron aanpakken.
24-07-2012, 13:16 door Anoniem
Een foutje, feitelijke onjuistheid:

In de Ukraine lost men dat soort dingen niet op met geld, maar met g(ew)eld.
24-07-2012, 13:50 door Anoniem
@bitwiper :

"Justitie dient (in alle landen) haar verantwoordelijkheid te nemen waar het om handhaving gaat, zij moet de problemen bij de bron aanpakken."

En wat moet men doen wanneer die aanpak bij de bron niet werkt ? Als het technisch haalbaar is, zou het wegfilteren van verkeer naar bekende C&C servers bij internet exchanges helemaal geen slecht alternatief zijn.
24-07-2012, 16:32 door Anoniem
Anders dan de naam Internet Exchange doet vermoeden, heeft AMSIX niets meer met de IP adressen van langskomend verkeer te maken dan het verkeerslicht op een kruispunt iets te maken heeft met de kentekens van de autos die langskomen.

AMSIX is een ethernet gebaseerd netwerk. De enigen die er iets aan kunnen doen, zijn de aangesloten providers. Bovendien is het in principe een peering network. Verkeer van/naar internet gaat via transit providers en die hebben meestal rechtstreekse verbindingen met hun klanten.

AMSIX dit op laten lossen is als een verkeerslicht autos met bepaalde kentekens alleen rood licht geven. Helpt dat?

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search