BoF achterhaalt broncode KLPD botnet-boodschap
Burgerrechtenbeweging Bits of Freedom is erin geslaagd de broncode te achterhalen van de programma's die het KLPD gebruikte om slachtoffers van de Bredolab- en ShadowBot-botnets te waarschuwen. In 2010 haalde het KLPD het Bredolab-botnet uit de lucht. De politiedienst gebruikte vervolgens het botnet om slachtoffers te waarschuwen dat ze besmet waren. Hiervoor werd een eigen programma gebruikt.
"Wat [de verdachte] dus zelf deed is kwaadaardige software verspreiden. Daar heeft hij een infrastructuur voor gebouwd. In die infrastructuur hebben we nu ingebroken en we gebruiken dat om onze eigen kwaadaardige software te verspreiden. Wat eigenlijk niet zo kwaadaardig is, wat alleen maar aan de gebruiker vertelt dat zijn computer onderdeel was van dit botnet", zo liet Ronald Prins, directeur van beveiligingsbedrijf Fox-IT, destijds in Nieuwsuur weten.
Wim de Bruin van het Landelijk Parket ontkende dit en stelde dat de politie geen eigen software had geüpload. Via een Wob-verzoek heeft Bits of Freedom de broncode nu toch in handen gekregen.
Rejo Zenger van de burgerrechtenbeweging merkt op dat het niet meer is dan een klein stukje code in de programmeertaal Delphi 6. Naast Bredolab waarschuwde het KLPD ook de slachtoffers van ShadowBot-netwerk, waarvan de broncode ook openbaar is.
"Het resultaat van onze aanhoudende Wob-verzoeken laat zien dat de beide programma's gelukkig niet meer doen dan slechts het openen van een pagina op de website van het KLPD. Maar dat neemt niet weg dat alleen al dit beetje code ook door criminelen gemakkelijk misbruikt kan worden", aldus Zenger.
hoort daar niet nog lucht achter?
verder weer goede actie van bof.
en verder weet ik nou nooit zo goed wat ik nou moet vinden van ronald prins...?
[...]
verder weer goede actie van bof.
[...]
Wat is hier goed aan dan?!? Het KLPD of High Tech Crime team probeert de eigenaren van besmette pc's te waarschuwen dat ze een serieus probleem hebben en worden nu op hun vingers getikt door BoF. Het alternatief is niets doen - je botnet oprollen en wachten tot een volgend stel boefjes dezelfde pc's dus weer opnieuw besmet in inzet voor clickfraude en spam?
't Lastige hier is uiteraard dat de overheid & wetshandhavers zich aan de wet moeten houden, en de boefjes (per definitie) niet. Bij elke stap waar de politie over de schreeft gaat - hoe klein dan ook - is er een mogelijkheid dat de boefjes hierdoor vrij komen. En omdat de wetgevende macht nogal achter de feiten aan loopt zou dat dus kunnen betekenen dat er tot de tijd dat er goede wetten zijn niets gebeurt...
Robert M + truecrypt? Waarschijnlijk na een jaar weer vrij wegens *echt* bewijs. Mensen die hun iPhone 'terugstelen' door gebruik van tracking software -> illegaal! En da's dus erg jammer...
De taal is (Object) Pascal lieve schat. De IDE die je ervoor gebruikt is misschien Delphi 6, maar je kunt er ook 7, of 8 of 9 voor gebruiken. Object staat tussen haakjes, omdat de getoonde code niet per definitie erop duidt dat er objecten gebruikt worden. Wat hier getoond is kan ook met gewoon Pascal, als je de windows libraries importeert.
bedoel meer dat ze dat naar buiten brengen. dat ze mensen willen waarschuwen is alleen maar goed natuurlijk.
@anoniem 12:54
dat gevoel kreeg ik al een beetje van hem toen ik zijn blog aan het lezen was over ontsleutel plicht...
Pff. Hoe hard kan je de plank mis slaan. Afgezien van dat dit soort code overal op het web te vinden is en kompleet niet interessant is.
C#
System.Diagnostics.Process.Start("http://www.website.com")
VBA
Set Sh = WScript.CreateObject("WScript.Shell")
Sh.Run "http://www.website.com", 3
en ga zo maar verder.
Het kan zijn dat er bij de WOB nog meer informatie is vrij gegeven over HOE deze code naar het botnet gestuurd is. Dat kan wel tricky zijn, maar die informatie heb ik in elk geval niet gezien.
[...]
verder weer goede actie van bof.
[...]
Iets wat van jou is, mag je gewoon terughalen, is niet stelen, en ook niet illegaal. Waar men over valt is inderdaad te tracking software, want dat maakt inbreuk op iemand privacy. Beetje krom, en vind ik ook niet eerlijk. Maar zo is het nu eenmaal.
Voordelen zijn er natuurlijk ook, de directe communicatie, waardoor tussenkomst van providers niet nodig is. Als providers het niet voor elkaar kregen, dan kan ik me de frustratie indenken.
Als degene, die het product nu heeft, dat gekocht heeft via een kanaal en tegen een prijs waarbij hij niet kon aannemen dat het gestolen waar was, dan ben je het kwijt. Terughalen bij die persoon is stelen en dus illegaal.
Peter
Dat lijkt me interessanter dan de sourcecode van het programma.
Er wordt nog steeds veel ontwikkeld in pascal.
Dat is het dus NIET, https://www.bof.nl/2012/11/23/de-broncode-van-het-klpd-bredolab-programma/ zegt:
Deze pagina van Bits of Freedom is verwijderd door het Ministerie van Waarheid, departement Informatie en Transparantie.
De informatie op deze pagina bevatte te veel feitelijke juistheden en was politiek te relevant.
Deze pagina is bij Koninklijk Besluit aangewezen als 404-pagina. Hierdoor is de staatsveiligheid gewaarborgd.
Ja je leest het goed, de pagina bevatte TE VEEL FEITELIJKE JUISTHEDEN en was TE RELEVANT. Echt waar...
Vooral dat laatste vind ik mooi, "Hierdoor is de staatsveiligheid gewaarborgd."
Heerlijk, die nostalgische onderbuik-gevoelens zonder enig besef van realiteit als in eind jaren '70, toen de overheid ons wel even ging beschermen tegen de beer uit het Oosten... *zucht*
Overigens vind ik de "broncode" die in het artikel hierboven vermeld wordt wel erg optimistisch als broncode bestempeld.
Het is niet meer dan een aanpassing van de startpagina die geopend wordt wanneer de default-browser van de botnet-client gestart wordt. Er is dus geen software geschreven of verspreid, enkel een kleine (lees "minuscule") aanpassing.
Dat het in Delphi 6 zou moeten zijn, (ga ik verder niet op in) is echt niet de keus van het KLPD, zij hebben namelijk niet de broncode van de malware geschreven. Overigens omvatte Oficla (Bredolab) om en nabij de 30.000.000 clients en installeerde het ook veel malware van derden, van fake-av tot Koobface, vandaar de beslissing destijds om de clients eerst te informeren voor het botnet plat werd gelegd.
Grappig detail: Daar werd de beheerder zo boos door, dat hij het laatste restant van Oficla dat hij nog onder controle had heeft gebruikt om een DDoS van >200.000 IP's te lanceren om de C&C servers (op Leaseweb) aan te vallen.
De man is uiteindelijk veroordeeld tot 4 jaar cel in een Armeense gevangenis.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
