Cybercriminelen kapen 150.000 Nederlandse pc's
De cybercriminelen die achter de Dorifel-infecties bij de overheid zaten, hebben zo'n 150.000 Nederlandse computers met malware weten te infecteren. Het gaat hier om een goed georganiseerde campagne die van januari tot en met september liep en waarbij mogelijk verschillende Nederlandse websites zijn gebruikt, zo blijkt uit onderzoek van het beveiligingsbedrijf Digital Investigation.
Dat werd tijdens het onderzoek geholpen door het Nederlandse beveiligingsbedrijf SurfRight, zo blijkt uit een rapport dat Security.nl ontving. Het onderzoek dat beide beveiligingsbedrijven uitvoerden werd gestart naar aanleiding van een aanval op de website van de Telegraaf.
Voor de aanval werden vier campagnes gebruikt, met de codenamen 'Mandarinas', 'Mango', 'Lime' en 'Pepper'. De gehele operatie zelf werd door de criminelen “Pobelka” genoemd, het Russische woord voor witwassen.
Het infecteren van internetgebruikers gebeurde via gehackte websites, waarop exploits voor kwetsbare software werd verstopt. Het bezoeken van deze websites met onveilige versies van programma's zoals Java, Adobe Flash Player en Adobe Reader zorgde ervoor dat de computer besmet werd. Internetgebruikers van wie de software up-to-date was liepen op deze websites geen risico.
De afgelopen maanden werd er via verschillende Nederlandse websites malware verspreid
- 14 maart - NU.nl via CMS
- 29 maart - Omroepzeeland, via adserver
- 6 juni - Weeronline.nl via adserver
- 19 juni - deparade.nl
- 5 juli - NUjij.nl via adserver
- 16 augustus - Omroep West
- 29 augustus - Beslist.nl via adserver
- 6 september - Telegraaf.nl via adserver
Het valt echter niet met zekerheid vast te stellen dat de aanvallen op deze websites afkomstig zijn van de bende die achter Pobelka zit. Het aanvallen van advertentieservers is namelijk een veelgebruikte tactiek.
Door het plaatsen van advertenties met kwaadaardige code is het niet nodig om de websites zelf te hacken, aangezien het via de advertenties mogelijk is om de kwaadaardige code toch op de websites te krijgen.
Datadiefstal
Op de besmette computers werd de Citadel-malware geïnstalleerd. Deze malware kan geld van online bankrekeningen stelen. Op de Command & Control-server van het Citadel-botnet dat Digital Investigation onderzocht, werden gegevens gevonden waaruit blijkt dat de malware is ingezet om geld te stelen van drie Nederlandse banken en hun rekeninghouders, te weten ING, ABN AMRO en ASN Bank.
Toch hadden de cybercriminelen het niet alleen op bankrekeningen voorzien. Uit de configuratiedata op de server blijkt dat Citadel ook het webverkeer met andere buitenlandse banken en populaire websites moest onderscheppen en manipuleren. Het gaat dan om websites zoals Facebook, Amazon, eBay, Fiducia, Barclays en PayPal.
Citadel is ook in staat om cliënt-certificaten buit te maken, inclusief de bijbehorende privésleutels. Op het Pobelka-botnet zijn grote hoeveelheden buitgemaakte certificaten aangetroffen.
In totaal werden er 264.339 besmette computers geteld, waarvan 57% in Nederland staat. Het gaat om computers bij Nederlandse uitgevers, bouwbedrijven, banken, universiteiten, voedselproducenten, ziekenhuizen, zorgverzekeraars, luchtvaartmaatschappijen, nutsbedrijven, chemie-industrie en overheidsinstellingen. Ook Duitsland is met 78.000 infecties zwaar getroffen.
Impact
"Er is dit jaar via het Pobelka botnet niet alleen 8 maanden lang op grote schaal vertrouwelijke data zoals inlognamen en wachtwoorden buitgemaakt. De malware heeft ondanks aanwezige antivirussoftware ook ongemerkt lokale netwerken verkend, waarbij een veelvoud aan nabije apparaten in kaart zijn gebracht, waaronder industriële apparaten die niet direct met het internet zijn verbonden", stellen de onderzoekers van SurfRight
"Er is dus niet alleen informatie over de 264.339 zombiecomputers zelf verzameld, er is ook strategische kennis over een veel groter aantal andere systemen op de interne netwerken gestolen." Volgens de onderzoekers is het niet ondenkbaar dat deze gegevens zijn doorverkocht aan derden, bijvoorbeeld "schurkenstaten", die het tegen de kritieke infrastructuur zouden kunnen inzetten.
Offline
"Tijdens de levensduur van dit botnet, zijn er verschillende pogingen, door onbekende bedrijven geweest, om het botnet uit te schakelen, maar geen was helemaal succesvol, of hadden helemaal geen impact", aldus onderzoeker Rickey Gevers van Digital Investigation.
Gevers merkt op dat de criminelen achter het botnet opeens weg waren en de Command & Control-server door een andere server was vervangen. "Het juiste moment voor ons om in actie te komen." De domeinen die de aanvallers gebruiken lijken nu onbereikbaar te zijn, maar het wordt niet uitgesloten dat er nog andere onbekende configuraties of domeinen actief zijn.
Bedrijven, instellingen en eindgebruikers die willen weten of hun computer besmet is kunnen dit via deze pagina controleren. Ook een scan met HitmanPro kan de malware detecteren: 32-bit en 64-bit versie.
Update 12:50 informatie van SurfRight toegevoegd
Die website checkt alléén of het gebruikte IP voorkomt in de (gehackte) database van de Dorofiel-C&C server die is gevonden. Dit zegt dus (zoals de disclaimer ook al vermeld) verder helemaal niets, al helemaal niet over Citadel.
Voor de eindgebruikers die met 99.9% zekerheid willen bepalen of zij geïnfecteerd zijn door malware met (polymorfe) ring0-eigenschappen, is er maar één oplossing en dat is Kaspersky Rescue CD.
http://support.kaspersky.com/viruses/rescuedisk
Wel goed dat hier steeds meer aandacht voor is en (particulier) onderzoek naar komt!
En inderdaad Peter, verouderde software blijft voorlopig de grootste bron van infecties, naast het zelf klikken door de gebruiker natuurlijk...
EDIT: Merci Erik.
Die website checkt alléén of het gebruikte IP voorkomt in de (gehackte) database van de Dorofiel-C&C server die is gevonden.
Dit zegt dus (zoals de disclaimer ook al vermeld) verder helemaal niets, al helemaal niet over Citadel.
http://support.kaspersky.com/viruses/rescuedisk
Deze Citadel server bleek telkens spil in verschillende aanvallen van afgelopen jaar. Dat verschillende nieuwssites op ogenschijnlijke onverklaarbare wijze malware verspreidden zette bij velen vraagtekens. Door het blootleggen van deze op voornamelijk Nederland gerichte operatie en het beslag leggen op de Citadel server (door Digital Investigation, in samenspraak met HTCU), worden zowel de omvang als ook hoe de websites telkens besmet raakten, duidelijk.
web site: check.botnet.nu/
status: Site infected with malware
web trust: Not Blacklisted
web site: check.botnet.nu/
status: Site infected with malware
web trust: Not Blacklisted
Ja ik wou net zeggen... een site bezoeken van Rickey Gevers om te checken op malware??? Daggut nie he!
Verified Clean
Sucuri
web site: check.botnet.nu/
status: Site infected with malware
web trust: Not Blacklisted
Known javascript malware.
Details: http://sucuri.net/malware/malware-entry-mwjsanon7
<script type='text/javascript'>var enkripsi="'1Aqapkrv'02v{rg'1F'05vgzv-hctcqapkrv'05'1G'2F'2C'2;--'1A'03'7@AFCVC'7@'2F'2C'2;'02'02'02'02hSwgp{'0:'05,re]lmvkd{'05'0;,nktg'0:'05ankai'05'0A'02dwlavkml'02'0:'0;'02'5@'2F'2C'2;'02'02'02'02'02'02'02'02hSwgp{'0:vjkq'0;,qnkfgWr'0:'05dcqv'05'0A'02dwlavkml'02'0:'0;'02'5@'02hSwgp{'0:vjkq'0;,pgomtg'0:'0;'1@'02'5F'0;'1@'2F'2C'2;'02'02'02'02'5F'0;'1@'2F'2C'2;--'7F'7F'1G'02'02'2F'2C'2;'1A-qapkrv'1G"; teks=""; teksasli="";var panjang;panjang=enkripsi.length;for (i=0;i<panjang;i++){ teks+=String.fromCharCode(enkripsi.charCodeAt(i)^2) }teksasli=unescape(teks);document.write(teksasli);</script><div id="bind___chart1"><span id="bind_span_label___chart1"></span><span id="bind_span_data___chart1"></span></div><div id="__chart1" class="plot jqplot-target" style="width:600px;height:400px;"></div>
Wat moet ik hiervan denken? De script ziet er behoorlijk obfuscated uit en maakt een malafide indruk. Wie is Rickey Gevers en wat heeft hij met Sucuri te maken?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
