De cybercriminelen die achter de Dorifel-infecties bij de overheid zaten, hebben zo'n 150.000 Nederlandse computers met malware weten te infecteren. Het gaat hier om een goed georganiseerde campagne die van januari tot en met september liep en waarbij mogelijk verschillende Nederlandse websites zijn gebruikt, zo blijkt uit onderzoek van het beveiligingsbedrijf Digital Investigation.
Dat werd tijdens het onderzoek geholpen door het Nederlandse beveiligingsbedrijf SurfRight, zo blijkt uit een rapport dat Security.nl ontving. Het onderzoek dat beide beveiligingsbedrijven uitvoerden werd gestart naar aanleiding van een aanval op de website van de Telegraaf.
Voor de aanval werden vier campagnes gebruikt, met de codenamen 'Mandarinas', 'Mango', 'Lime' en 'Pepper'. De gehele operatie zelf werd door de criminelen “Pobelka” genoemd, het Russische woord voor witwassen.
Het infecteren van internetgebruikers gebeurde via gehackte websites, waarop exploits voor kwetsbare software werd verstopt. Het bezoeken van deze websites met onveilige versies van programma's zoals Java, Adobe Flash Player en Adobe Reader zorgde ervoor dat de computer besmet werd. Internetgebruikers van wie de software up-to-date was liepen op deze websites geen risico.
De afgelopen maanden werd er via verschillende Nederlandse websites malware verspreid
Door het plaatsen van advertenties met kwaadaardige code is het niet nodig om de websites zelf te hacken, aangezien het via de advertenties mogelijk is om de kwaadaardige code toch op de websites te krijgen.
Datadiefstal
Op de besmette computers werd de Citadel-malware geïnstalleerd. Deze malware kan geld van online bankrekeningen stelen. Op de Command & Control-server van het Citadel-botnet dat Digital Investigation onderzocht, werden gegevens gevonden waaruit blijkt dat de malware is ingezet om geld te stelen van drie Nederlandse banken en hun rekeninghouders, te weten ING, ABN AMRO en ASN Bank.
Toch hadden de cybercriminelen het niet alleen op bankrekeningen voorzien. Uit de configuratiedata op de server blijkt dat Citadel ook het webverkeer met andere buitenlandse banken en populaire websites moest onderscheppen en manipuleren. Het gaat dan om websites zoals Facebook, Amazon, eBay, Fiducia, Barclays en PayPal.
Citadel is ook in staat om cliënt-certificaten buit te maken, inclusief de bijbehorende privésleutels. Op het Pobelka-botnet zijn grote hoeveelheden buitgemaakte certificaten aangetroffen.
In totaal werden er 264.339 besmette computers geteld, waarvan 57% in Nederland staat. Het gaat om computers bij Nederlandse uitgevers, bouwbedrijven, banken, universiteiten, voedselproducenten, ziekenhuizen, zorgverzekeraars, luchtvaartmaatschappijen, nutsbedrijven, chemie-industrie en overheidsinstellingen. Ook Duitsland is met 78.000 infecties zwaar getroffen.
Impact
"Er is dit jaar via het Pobelka botnet niet alleen 8 maanden lang op grote schaal vertrouwelijke data zoals inlognamen en wachtwoorden buitgemaakt. De malware heeft ondanks aanwezige antivirussoftware ook ongemerkt lokale netwerken verkend, waarbij een veelvoud aan nabije apparaten in kaart zijn gebracht, waaronder industriële apparaten die niet direct met het internet zijn verbonden", stellen de onderzoekers van SurfRight
"Er is dus niet alleen informatie over de 264.339 zombiecomputers zelf verzameld, er is ook strategische kennis over een veel groter aantal andere systemen op de interne netwerken gestolen." Volgens de onderzoekers is het niet ondenkbaar dat deze gegevens zijn doorverkocht aan derden, bijvoorbeeld "schurkenstaten", die het tegen de kritieke infrastructuur zouden kunnen inzetten.
Offline
"Tijdens de levensduur van dit botnet, zijn er verschillende pogingen, door onbekende bedrijven geweest, om het botnet uit te schakelen, maar geen was helemaal succesvol, of hadden helemaal geen impact", aldus onderzoeker Rickey Gevers van Digital Investigation.
Gevers merkt op dat de criminelen achter het botnet opeens weg waren en de Command & Control-server door een andere server was vervangen. "Het juiste moment voor ons om in actie te komen." De domeinen die de aanvallers gebruiken lijken nu onbereikbaar te zijn, maar het wordt niet uitgesloten dat er nog andere onbekende configuraties of domeinen actief zijn.
Bedrijven, instellingen en eindgebruikers die willen weten of hun computer besmet is kunnen dit via deze pagina controleren. Ook een scan met HitmanPro kan de malware detecteren: 32-bit en 64-bit versie.
Update 12:50 informatie van SurfRight toegevoegd
Deze posting is gelocked. Reageren is niet meer mogelijk.