image

Cybercriminelen kapen 150.000 Nederlandse pc's

vrijdag 21 december 2012, 12:18 door Redactie, 11 reacties

De cybercriminelen die achter de Dorifel-infecties bij de overheid zaten, hebben zo'n 150.000 Nederlandse computers met malware weten te infecteren. Het gaat hier om een goed georganiseerde campagne die van januari tot en met september liep en waarbij mogelijk verschillende Nederlandse websites zijn gebruikt, zo blijkt uit onderzoek van het beveiligingsbedrijf Digital Investigation.

Dat werd tijdens het onderzoek geholpen door het Nederlandse beveiligingsbedrijf SurfRight, zo blijkt uit een rapport dat Security.nl ontving. Het onderzoek dat beide beveiligingsbedrijven uitvoerden werd gestart naar aanleiding van een aanval op de website van de Telegraaf.

Voor de aanval werden vier campagnes gebruikt, met de codenamen 'Mandarinas', 'Mango', 'Lime' en 'Pepper'. De gehele operatie zelf werd door de criminelen “Pobelka” genoemd, het Russische woord voor witwassen.

Het infecteren van internetgebruikers gebeurde via gehackte websites, waarop exploits voor kwetsbare software werd verstopt. Het bezoeken van deze websites met onveilige versies van programma's zoals Java, Adobe Flash Player en Adobe Reader zorgde ervoor dat de computer besmet werd. Internetgebruikers van wie de software up-to-date was liepen op deze websites geen risico.

De afgelopen maanden werd er via verschillende Nederlandse websites malware verspreid

  • 14 maart - NU.nl via CMS
  • 29 maart - Omroepzeeland, via adserver
  • 6 juni - Weeronline.nl via adserver
  • 19 juni - deparade.nl
  • 5 juli - NUjij.nl via adserver
  • 16 augustus - Omroep West
  • 29 augustus - Beslist.nl via adserver
  • 6 september - Telegraaf.nl via adserver

Het valt echter niet met zekerheid vast te stellen dat de aanvallen op deze websites afkomstig zijn van de bende die achter Pobelka zit. Het aanvallen van advertentieservers is namelijk een veelgebruikte tactiek.


Door het plaatsen van advertenties met kwaadaardige code is het niet nodig om de websites zelf te hacken, aangezien het via de advertenties mogelijk is om de kwaadaardige code toch op de websites te krijgen.

Datadiefstal
Op de besmette computers werd de Citadel-malware geïnstalleerd. Deze malware kan geld van online bankrekeningen stelen. Op de Command & Control-server van het Citadel-botnet dat Digital Investigation onderzocht, werden gegevens gevonden waaruit blijkt dat de malware is ingezet om geld te stelen van drie Nederlandse banken en hun rekeninghouders, te weten ING, ABN AMRO en ASN Bank.

Toch hadden de cybercriminelen het niet alleen op bankrekeningen voorzien. Uit de configuratiedata op de server blijkt dat Citadel ook het webverkeer met andere buitenlandse banken en populaire websites moest onderscheppen en manipuleren. Het gaat dan om websites zoals Facebook, Amazon, eBay, Fiducia, Barclays en PayPal.

Citadel is ook in staat om cliënt-certificaten buit te maken, inclusief de bijbehorende privésleutels. Op het Pobelka-botnet zijn grote hoeveelheden buitgemaakte certificaten aangetroffen.

In totaal werden er 264.339 besmette computers geteld, waarvan 57% in Nederland staat. Het gaat om computers bij Nederlandse uitgevers, bouwbedrijven, banken, universiteiten, voedselproducenten, ziekenhuizen, zorgverzekeraars, luchtvaartmaatschappijen, nutsbedrijven, chemie-industrie en overheidsinstellingen. Ook Duitsland is met 78.000 infecties zwaar getroffen.

Impact
"Er is dit jaar via het Pobelka botnet niet alleen 8 maanden lang op grote schaal vertrouwelijke data zoals inlognamen en wachtwoorden buitgemaakt. De malware heeft ondanks aanwezige antivirussoftware ook ongemerkt lokale netwerken verkend, waarbij een veelvoud aan nabije apparaten in kaart zijn gebracht, waaronder industriële apparaten die niet direct met het internet zijn verbonden", stellen de onderzoekers van SurfRight

"Er is dus niet alleen informatie over de 264.339 zombiecomputers zelf verzameld, er is ook strategische kennis over een veel groter aantal andere systemen op de interne netwerken gestolen." Volgens de onderzoekers is het niet ondenkbaar dat deze gegevens zijn doorverkocht aan derden, bijvoorbeeld "schurkenstaten", die het tegen de kritieke infrastructuur zouden kunnen inzetten.

Offline
"Tijdens de levensduur van dit botnet, zijn er verschillende pogingen, door onbekende bedrijven geweest, om het botnet uit te schakelen, maar geen was helemaal succesvol, of hadden helemaal geen impact", aldus onderzoeker Rickey Gevers van Digital Investigation.

Gevers merkt op dat de criminelen achter het botnet opeens weg waren en de Command & Control-server door een andere server was vervangen. "Het juiste moment voor ons om in actie te komen." De domeinen die de aanvallers gebruiken lijken nu onbereikbaar te zijn, maar het wordt niet uitgesloten dat er nog andere onbekende configuraties of domeinen actief zijn.

Bedrijven, instellingen en eindgebruikers die willen weten of hun computer besmet is kunnen dit via deze pagina controleren. Ook een scan met HitmanPro kan de malware detecteren: 32-bit en 64-bit versie.

Update 12:50 informatie van SurfRight toegevoegd

Reacties (11)
21-12-2012, 12:23 door [Account Verwijderd]
[Verwijderd]
21-12-2012, 14:17 door AdVratPatat
Voor de duidelijkheid:
Die website checkt alléén of het gebruikte IP voorkomt in de (gehackte) database van de Dorofiel-C&C server die is gevonden. Dit zegt dus (zoals de disclaimer ook al vermeld) verder helemaal niets, al helemaal niet over Citadel.

Voor de eindgebruikers die met 99.9% zekerheid willen bepalen of zij geïnfecteerd zijn door malware met (polymorfe) ring0-eigenschappen, is er maar één oplossing en dat is Kaspersky Rescue CD.
http://support.kaspersky.com/viruses/rescuedisk


Wel goed dat hier steeds meer aandacht voor is en (particulier) onderzoek naar komt!
En inderdaad Peter, verouderde software blijft voorlopig de grootste bron van infecties, naast het zelf klikken door de gebruiker natuurlijk...

EDIT: Merci Erik.
21-12-2012, 14:34 door Anoniem
Door AdVratPatat: Voor de duidelijkheid:
Die website checkt alléén of het gebruikte IP voorkomt in de (gehackte) database van de Dorofiel-C&C server die is gevonden.
Dit zegt dus (zoals de disclaimer ook al vermeld) verder helemaal niets, al helemaal niet over Citadel.
Het gaat hier om een Citadel C&C server die ook dienst heeft gedaan als C&C tijdens de Dorifel campagne.
21-12-2012, 15:43 door Erik Loman
Door AdVratPatat: Voor de eindgebruikers die met 99.9% zekerheid willen bepalen of zij geïnfecteerd zijn door een rootkit met (polymorfe) ring0-eigenschappen, is er maar één oplossing en dat is Kaspersky Rescue CD.
http://support.kaspersky.com/viruses/rescuedisk
We hebben maanden lang onderzoek gedaan naar de Citadel malware en hebben een unieke manier gevonden om elke variant van Citadel / ZeuS gebaseerde malware zonder signatuur te herkennen. Deze specifieke detectie hebben we recentelijk toegevoegd aan HitmanPro: http://www.surfright.nl/hitmanpro/whatsnew. Deze wordt ook op de check-site van Digital Investigation aangeboden: http://check.botnet.nu/Fix.html.

Door AdVratPatat: Wel goed dat hier steeds meer aandacht voor is en (particulier) onderzoek naar komt!
SurfRight en Digital Investigation zijn beide bedrijven met zowel ontwikkelaars als (forensische) onderzoekers in dienst.
Deze Citadel server bleek telkens spil in verschillende aanvallen van afgelopen jaar. Dat verschillende nieuwssites op ogenschijnlijke onverklaarbare wijze malware verspreidden zette bij velen vraagtekens. Door het blootleggen van deze op voornamelijk Nederland gerichte operatie en het beslag leggen op de Citadel server (door Digital Investigation, in samenspraak met HTCU), worden zowel de omvang als ook hoe de websites telkens besmet raakten, duidelijk.
21-12-2012, 17:16 door Anoniem
Dit is wat Sucuri Sitecheck te zeggen heeft:

web site: check.botnet.nu/
status: Site infected with malware
web trust: Not Blacklisted
21-12-2012, 18:00 door Anoniem
Door Anoniem: Dit is wat Sucuri Sitecheck te zeggen heeft:

web site: check.botnet.nu/
status: Site infected with malware
web trust: Not Blacklisted

Ja ik wou net zeggen... een site bezoeken van Rickey Gevers om te checken op malware??? Daggut nie he!
21-12-2012, 21:40 door Anoniem
beslag leggen op de Citadel server? Hoe hebben jullie dat precies gedaan SurfRight? Vast en zeker niet legaal!
22-12-2012, 09:52 door Erik Loman
Door het plaatsen van advertenties met kwaadaardige code is het niet nodig om de websites zelf te hacken, aangezien het via de advertenties mogelijk is om de kwaadaardige code toch op de websites te krijgen.
Wachtwoorden van verschillende websites staan gewoon in de Citadel server. Deze wachtwoorden zijn door de Citadel malware verzameld van geïnfecteerde computers.
22-12-2012, 10:21 door Anoniem
Vanmorgen (22 dec 10:17) nog steeds:

Sucuri
web site: check.botnet.nu/
status: Site infected with malware
web trust: Not Blacklisted

Known javascript malware.
Details: http://sucuri.net/malware/malware-entry-mwjsanon7
<script type='text/javascript'>var enkripsi="'1Aqapkrv'02v{rg'1F'05vgzv-hctcqapkrv'05'1G'2F'2C'2;--'1A'03'7@AFCVC'7@'2F'2C'2;'02'02'02'02hSwgp{'0:'05,re]lmvkd{'05'0;,nktg'0:'05ankai'05'0A'02dwlavkml'02'0:'0;'02'5@'2F'2C'2;'02'02'02'02'02'02'02'02hSwgp{'0:vjkq'0;,qnkfgWr'0:'05dcqv'05'0A'02dwlavkml'02'0:'0;'02'5@'02hSwgp{'0:vjkq'0;,pgomtg'0:'0;'1@'02'5F'0;'1@'2F'2C'2;'02'02'02'02'5F'0;'1@'2F'2C'2;--'7F'7F'1G'02'02'2F'2C'2;'1A-qapkrv'1G"; teks=""; teksasli="";var panjang;panjang=enkripsi.length;for (i=0;i<panjang;i++){ teks+=String.fromCharCode(enkripsi.charCodeAt(i)^2) }teksasli=unescape(teks);document.write(teksasli);</script><div id="bind___chart1"><span id="bind_span_label___chart1"></span><span id="bind_span_data___chart1"></span></div><div id="__chart1" class="plot jqplot-target" style="width:600px;height:400px;"></div>

Wat moet ik hiervan denken? De script ziet er behoorlijk obfuscated uit en maakt een malafide indruk. Wie is Rickey Gevers en wat heeft hij met Sucuri te maken?
22-12-2012, 10:25 door Anoniem
Mijn vorige bijdrage ging over Sucuri die check.botnet.nu als malware bestempelde op 22 dec 10:17. Daarna deed ik "rescan" bij Sucuri en toen gaf die "clean". (22 dec. 10:24).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.