image

Blunder met IP-adres nekte trio Nederlandse cybercriminelen

zondag 16 maart 2014, 22:33 door Redactie, 5 reacties

Door een blunder met een IP-adres kon de politie afgelopen dinsdag drie mannen arresteren die vermoedelijk het netwerk van een Alkmaars adviesbureau met malware infecteerden en op zoek waren naar financiële gegevens over de erfenis van Willem Endstra, de in 2004 geliquideerde vastgoedhandelaar.

Dat meldt het Nederlandse onderzoeksbureau Digital Investigation, dat het onderzoek naar de cybercriminelen uitvoerde. Het onderzoeksbureau werd eind 2013 ingeschakeld door een advocatenkantoor, omdat er geprobeerd zou zijn om bij het kantoor in te breken. Het advocatenkantoor bleek niet het doelwit te zijn, maar werd gebruikt als afzender van kwaadaardige e-mails die naar de uiteindelijke slachtoffers werden gestuurd. Deze e-mails waren voorzien van een linkje dat naar een kwaadaardige website wees.

Het advocatenkantoor maakte gebruik van een domeinnaam eindigend op .nl voor de website. De aanvallers hadden de .com-versie van deze domeinnaam geregistreerd en de website tot in het kleinste detail nagebouwd. Op deze nagebouwde website werd vervolgens malware geplaatst en met linkjes in e-mailberichten verder verspreid. Eveneens gebruikten de aanvallers Google Docs om de bestanden onder hun slachtoffers te verspreiden. De malware die de verdachten gebruikten hadden ze gemaakt via een commercieel verkrijgbaar botnetpakket.

Inside knowlegde

Volgens Digital Investigation beschikten de aanvallers over 'inside knowlegde' en konden daardoor e-mailberichten opstellen die bij de ontvangers geen argwaan opwekten. Daarnaast werden verschillende afzenders gebruikt die allemaal bekenden waren voor de ontvangers van de e-mailberichten. Het bestand waarnaar werd gelinkt leek een PDF-bestand te zijn, maar was in werkelijkheid een uitvoerbaar bestand. Een bekende truc onder cybercriminelen. Windows geeft standaard de bestandsextensie niet weer, waardoor een bestand eindigend op .pdf.exe als .pdf wordt weergegeven.

Blunder

De zaak kwam in een stroomversnelling dankzij een blunder van één van de verdachten. Die had in het verleden bij een DDoS-dienst een account aangemaakt. Via deze dienst is het mogelijk om DDoS-aanvallen te bestellen. De man had dit echter vanaf zijn eigen IP-adres gedaan. De DDoS-dienst werd begin vorig jaar gehackt en de gegevens ervan verschenen online. Daardoor konden IP-adressen met specifieke e-mailadressen en gebruikersnamen worden vergeleken. Een belangrijk gegeven voor het onderzoek, waardoor uiteindelijk de locatie van de daders kon worden achterhaald.

Opdrachtgever

Nadat de aanvallers in kaart waren gebracht was de zaak volgens de onderzoekers nog niet opgelost, omdat de aanvallers waarschijnlijk in opdracht van iemand anders opereerden. Daarom werd besloten ook deze opdrachtgever te vinden. Om dit voor elkaar te krijgen werd er een honeypot ingericht. Op deze 'lokcomputer' plaatste Digital Investigation in samenwerking met het advocatenkantoor documenten die mogelijk de interesse van de onbekende opdrachtgever zouden wekken.

Vervolgens werden deze documenten door het onderzoeksbureau voorzien van technische slimmigheden die de identiteit van de dader zouden kunnen onthullen. Het kan bijvoorbeeld gaan om het laden van content of het aanroepen van een specifiek IP-adres, waarbij het IP-adres van degene die het document opent wordt teruggestuurd. Het onderzoeksbureau benadrukt dat hierbij geen enkele sprake is geweest van terughacken.

Eind januari bleek dat één van de aanvallers zich toegang tot de honeypot had verschaft. Uiteindelijk werd één van de geprepareerde documenten door de opdrachtgever van de aanvallers geopend. Met deze informatie kon de opdrachtgever worden geïdentificeerd en werd het Team High Tech Crime ingeschakeld om de zaak verder af te ronden.

Reacties (5)
17-03-2014, 10:06 door Anoniem
Hahaha, gefeliciteerd, zeer mooi nieuws!

Blijf aub deze informatie verschaffen, zodat de maniertjes van deze criminelen inzichtelijk worden gemaakt voor een groot publiek.
17-03-2014, 13:09 door Anoniem
Valt dit niet onder uitlokking?
Ik hoorde dat de cybercriminelen ondertussen al weer vrij rondlopen....
17-03-2014, 13:12 door Briolet
Blijf aub deze informatie verschaffen,

Hoe mooi ik deze info ook altijd vind om te lezen, ik blijf er een dubbel gevoel bij houden. Dit omdat opsporingstechnieken eigenlijk vaag moeten blijven zodat verdachten in het ongewisse blijven of hun maatregelen tegen ontdekking voldoende zijn.
17-03-2014, 16:58 door Anoniem
"Windows geeft standaard de bestandsextensie niet weer, waardoor een bestand eindigend op .pdf.exe als .pdf wordt weergegeven."

...
18-03-2014, 17:28 door Anoniem
Door Anoniem: Valt dit niet onder uitlokking?
Ik hoorde dat de cybercriminelen ondertussen al weer vrij rondlopen....
Door Anoniem: Valt dit niet onder uitlokking?
Ik hoorde dat de cybercriminelen ondertussen al weer vrij rondlopen....

Honeypot valt onder enticement en is denk ik als enig bewijsmateriaal niet voldoende maar kan wel helpen je in de juiste richting te brengen.
Het idee is dat je al van plan was in te breken ipv dat je ook bij de honeypot gaat posten naar de vermoedelijke daders dat ze eens moeten proberen in te breken.
Bij een enticement is het de dader zelf die in de val loopt en de keuze maakt en bij entrapment wordt er ea uitgelokt en was de vermoedelijke dader het niet van plan.
Dit laatste is zelfs strafbaar dacht ik (voor de personen die de uitlokking hebben uitgevoerd)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.