image

Utrechtse student aangeklaagd voor verkoop macro-malware

vrijdag 21 februari 2020, 09:22 door Redactie, 22 reacties
Laatst bijgewerkt: 21-02-2020, 09:53

Een 21-jarige student informatiekunde uit Utrecht is aangeklaagd voor het ontwikkelen en verkopen van macro-malware en het in bezit hebben van tientallen gestolen creditcardgegevens. Volgens het Openbaar Ministerie ontwikkelde de man de macrobuilders Rubella, Cetan en Dryad.

Een macrobuilder is een toolkit waarmee kwaadaardige macro's aan Microsoft Office-documenten worden toegevoegd. Zodra de ontvanger van het document ervoor kiest om macro's in te schakelen wordt er malware op het systeem geïnstalleerd. De politie kwam de man mede op het spoor dankzij onderzoek van twee bedrijven, waaronder het antivirusbedrijf McAfee.

Rubella werd op verschillende fora aangeboden. In één forumbericht toonde de ontwikkelaar van Rubella een screenshot van een Word-document met een kwaadaardige macro die niet werd gedetecteerd door Windows Defender. John Fokker, een Nederlandse onderzoeker van McAfee, zag dat de ontwikkelaar een Nederlandstalige versie van Microsoft Word gebruikte. Iets wat opmerkelijk is, aangezien Nederlands niet veel voorkomt.

"Met dit in het achterhoofd besloten we verder te kijken", stelde Fokker vorig jaar. Het onderzoek leidde naar een programma dat de verdachte eerder had geschreven om e-mail mee te spoofen. In dit programma was de gebruikersnaam achtergebleven. "Een klassieke fout", merkteFokker op. Aan de hand van de gebruikersnaam die in het programma werd gevonden besloten de onderzoekers naar andere malware te kijken die met dezelfde gebruikersnaam was ontwikkeld. Ze vonden een Office-document dat met Nederlandstalige versie van Word was gemaakt.

Uiteindelijk kwamen de onderzoekers uit bij een domein dat werd gebruikt voor het licentiebeheer van de verschillende macrobuilders die de verdachte ontwikkelde. Het beheerderspaneel van dit domein was in het Nederlands. De informatie die de onderzoekers tijdens hun onderzoek verzamelen deelden ze met de Nederlandse politie.

De student werd vorig jaar door agenten in burger aangehouden in een collegezaal van de Universiteit Utrecht, terwijl hij op zijn laptop bezig was. Zo kreeg de politie toegang tot zijn systemen, aldus het OM. De verdachte heeft ook meegewerkt door onder meer inloggegevens aan de politie te verstrekken. Naast gegevensdragers heeft de politie voor ruim 22.000 euro aan bitcoins van de verdachte in beslag genomen. Hij heeft daarvan afstand gedaan.

Het Openbaar Ministerie heeft een gevangenisstraf van 18 maanden tegen de man geëist, waarvan 6 voorwaardelijk. De rechtbank Rotterdam doet op 19 maart uitspraak.

Reacties (22)
21-02-2020, 09:50 door Anoniem
Het klinkt als een operatie waarbij ze deze jongeman hebben geobserveerd en gewacht hebben tot hij publiekelijk met zijn apparatuur bezig was, om hem vervolgens te overvallen.
21-02-2020, 10:30 door Anoniem
Door Anoniem: Het klinkt als een operatie waarbij ze deze jongeman hebben geobserveerd en gewacht hebben tot hij publiekelijk met zijn apparatuur bezig was, om hem vervolgens te overvallen.
Dat klopt! Ze hebben de laptop uit zijn handen gegrist terwijl hij zat te werken.
Heel slim want als ze zijn deur hadden ingebeukt had hij wellicht de laptop uit staan of snel uitgedaan en hadden ze weer een probleem gehad als de laptop encrypted bleek te zijn en hij het wachtwoord niet wilde geven.

Heel goed dat dit soort volk keihard wordt aangepakt. Als je ziet wat de maatschappelijke schade van hun werk zo langzaam aan is dan kan dit echt niet zo doorgaan.
21-02-2020, 10:37 door Anoniem
Quote: "Het klinkt als een operatie waarbij ze deze jongeman hebben geobserveerd
en gewacht hebben tot hij publiekelijk met zijn apparatuur bezig was, om hem vervolgens te overvallen".

Maar hij droeg daarbij wel duidelijk een "black hat". Geen meelij mee.
Zoals ze in de States zeggen: "If you cannot do the time, don't do the crime?"
en tegen de opsporingsambtenaren: "Keep your eye on the sparrow".

Van mij mogen ze alle ransomware ondersteunende artiesten oppakken en een tijdje echt op water en brood zetten
zonder toegang tot desk- & laptops of peripherals, want daar doen ze toch alleen maar onwelkome dingen mee.

Goed gezegde van vroeger: "Die zijn k*ntje brandt, moet op de blaren zitten".

Jodocus Oyevaer
21-02-2020, 11:33 door Anoniem
Door Anoniem: Het klinkt als een operatie waarbij ze deze jongeman hebben geobserveerd en gewacht hebben tot hij publiekelijk met zijn apparatuur bezig was, om hem vervolgens te overvallen.

Dat is zeker waar. Maar hoezo is het verkoop van malware illegaal? Jongeman zelf geeft bij verkoop aan dat het een perfecte tool is voor het pentesting. Dus als jij thuis een RAT maakt, ben je ook aanklaagbaar? Hangt natuurlijk van je intenties af, maar je vraagt je toch ook niet af wat de koper doet met een zakmes?
21-02-2020, 11:40 door Anoniem
Door Redactie: De student werd vorig jaar door agenten in burger aangehouden in een collegezaal van de Universiteit Utrecht, terwijl hij op zijn laptop bezig was. Zo kreeg de politie toegang tot zijn systemen, aldus het OM.

Dat is niet zo'n slimme student, want nu heeft hij een aantekening in zijn politie dossier: een VOG valt daarna voor vertrouwelijke ICT functies niet meer te verkrijgen, en een VGB kan hij verder wel vergeten. De gemeente heeft na zijn detentie en resocialisatie nog wel een vacature voor hem open staan, bij de Milieudienst.
21-02-2020, 12:32 door Anoniem
Door Anoniem: Hoezo is het verkoop van malware illegaal? Jongeman zelf geeft bij verkoop aan dat het een perfecte tool is voor het pentesting. Dus als jij thuis een RAT maakt, ben je ook aanklaagbaar?

Juridische vraag: Wanneer is het hebben van een Remote Access Tool en een Keylogger strafbaar?
6 februari 2019, door Arnoud Engelfriet
https://www.security.nl/posting/596796/

Hangt natuurlijk van je intenties af, maar je vraagt je toch ook niet af wat de koper doet met een zakmes?

Er zit een verschil tussen een Zwitsers zakmes en een Italiaanse stiletto: het eerste ding is een legaal en nuttig stuk kampeergereedschap, het tweede voorwerp is in Nederland en veel andere EU landen een verboden wapen.
21-02-2020, 12:54 door Anoniem
{Het onderzoek leidde naar een programma dat de verdachte eerder had geschreven om e-mail mee te spoofen. In dit programma was de gebruikersnaam achtergebleven. "Een klassieke fout"}

Je maakt altijd ergens een fout.

Er is niet zoiets als volledige anonimiteit.

Je zult altijd ergens sporen achterlaten
21-02-2020, 13:25 door Anoniem
Door Anoniem:
Door Anoniem: Het klinkt als een operatie waarbij ze deze jongeman hebben geobserveerd en gewacht hebben tot hij publiekelijk met zijn apparatuur bezig was, om hem vervolgens te overvallen.

Dat is zeker waar. Maar hoezo is het verkoop van malware illegaal? Jongeman zelf geeft bij verkoop aan dat het een perfecte tool is voor het pentesting. Dus als jij thuis een RAT maakt, ben je ook aanklaagbaar? Hangt natuurlijk van je intenties af, maar je vraagt je toch ook niet af wat de koper doet met een zakmes?
Nou, lees de wetgeving er dan maar eens op na.
https://www.iusmentis.com/beveiliging/hacken/computercriminaliteit/malware/

Het verspreiden of ter beschikking stellen van programma's die bestemd zijn om schade aan te richten in een geautomatiseerd werk is strafbaar met maximaal vier jaar cel (art. 350a lid 3).

En dat de persoon goede intenties zou hebben, kan door een rechtbank snel worden afgestraft. We hoeven maar te denken aan Medeplichtigheid ter kwader trouw.
21-02-2020, 13:56 door Anoniem
Niet alleen een gebruiksnaam is uniek voor een Word document. In oudere versies werd het MAC adres van de netwerkchip van de computer ongehasht opgeslagen in het Word document. Dat geeft duidelijke informatie over waar de macro geschreven is.

Dit geval doet me denken aan Jan de W. uit Sneek. Die had met een generator een "succesvol" macro virus gemaakt en verspreid, Nogal ten onrechte (een paar muisklikken kan een kind doen) werd hij toen afgeschilderd als deskundige en er werd zelfs een baan aangeboden door de burgemeester. Compleet idioot natuurlijk.

In dit geval gaat het over de schrijver van zo'n generator. Ook nu wordt in de pers gedaan alsof het erg moeilijk is een obfuscator te maken met chr() en base64 encoding. Maar dat is het niet. Bijna alle malware macro's die je tegenkomt in emails hebben dat tegenwoordig.

Waar virusschrijvers de mist in gaan is dat juist de obfuscatie een macro verdacht maakt. Een goed antivirus product kan het alleen op basis daarvan al onderscheppen. Nadeel van deze methode is wel dat virusschrijvers het weer kunnen aanpassen totdat een antivirus product het niet meer detecteert. Onder de streep is obfuscatie toch in het nadeel van virusschrijvers.
21-02-2020, 14:19 door Anoniem
Door Anoniem:
Door Redactie: De student werd vorig jaar door agenten in burger aangehouden in een collegezaal van de Universiteit Utrecht, terwijl hij op zijn laptop bezig was. Zo kreeg de politie toegang tot zijn systemen, aldus het OM.

Dat is niet zo'n slimme student, want nu heeft hij een aantekening in zijn politie dossier: een VOG valt daarna voor vertrouwelijke ICT functies niet meer te verkrijgen, en een VGB kan hij verder wel vergeten. De gemeente heeft na zijn detentie en resocialisatie nog wel een vacature voor hem open staan, bij de Milieudienst.

Op enkele uitzonderingen na (zegge zeden en moord) kan je na vier jaar gewoon weer een VOG krijgen. Voor mensen <23 is dat twee jaar.

https://www.justis.nl/producten/vog/beoordeling-besluit-en-bezwaar/terugkijktermijnen.aspx
21-02-2020, 15:29 door Anoniem
Door Anoniem: Op enkele uitzonderingen na (zegge zeden en moord) kan je na vier jaar gewoon weer een VOG krijgen. Voor mensen <23 is dat twee jaar.

De gekozen namen Rubella, Cetan en Dryad, van de verkochte macrobuilders, verraden een oppervlakkige kennis van gevaarlijke infectieziekten, indianenverhalen en Griekse mythologie. Ondertussen liggen wel complete ziekenhuizen plat. Aan die inmiddels ex-student zit vast meer dan alleen een steekje los. Zo'n gast wil je liever niet als collega hebben.
21-02-2020, 21:51 door souplost - Bijgewerkt: 21-02-2020, 22:43
Door Anoniem:
Door Anoniem: Op enkele uitzonderingen na (zegge zeden en moord) kan je na vier jaar gewoon weer een VOG krijgen. Voor mensen <23 is dat twee jaar.

De gekozen namen Rubella, Cetan en Dryad, van de verkochte macrobuilders, verraden een oppervlakkige kennis van gevaarlijke infectieziekten, indianenverhalen en Griekse mythologie. Ondertussen liggen wel complete ziekenhuizen plat. Aan die inmiddels ex-student zit vast meer dan alleen een steekje los. Zo'n gast wil je liever niet als collega hebben.
Dat ziekenhuizen plat liggen komt door de grote gelegenheidsverschaffer van ondeugdelijke apparatuur.
Waarom heeft hij afstand gedaan van zijn Bitcoins? Zijn deze tegenwoordig illegaal?
Het maken en verkopen van malware is ook al strafbaar?
Dan moet het niet uitvoeren van software patches ook strafbaar zijn? en het niet leveren van patches ook? of wordt het product dan ook in beslag genomen?
Dan moet ik ook strafbaar zijn als ik op een link klik en hierdoor malware verspreid of als ik een gevonden virus opstuur naar een expert of de politie en er gebeurd iets kwaadaardigs onderweg mee.

IK zie trouwens dat het klikken op een link die schade veroorzaakt ook strafbaar is volgens artikel Artikel 350b :
Hij aan wiens schuld te wijten is dat gegevens die door middel van een geautomatiseerd werk of door middel van telecommunicatie zijn opgeslagen, worden verwerkt of overgedragen, wederrechtelijk worden veranderd, gewist, onbruikbaar of ontoegankelijk gemaakt, dan wel dat andere gegevens daaraan worden toegevoegd, wordt, indien daardoor ernstige schade met betrekking tot die gegevens wordt veroorzaakt, gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie.
21-02-2020, 23:53 door Anoniem
Ik wil toevoegen dat de betreffende student in een collegezaal zat toen hij werd opgepakt. Hij was dus inderdaad publiekelijk bezig. De politie was vermomd en hadden halverwege het college de laptop weggegrist en hem meegenomen
22-02-2020, 03:21 door Anoniem
Door Anoniem:
Door Anoniem: Op enkele uitzonderingen na (zegge zeden en moord) kan je na vier jaar gewoon weer een VOG krijgen. Voor mensen <23 is dat twee jaar.

De gekozen namen Rubella, Cetan en Dryad, van de verkochte macrobuilders, verraden een oppervlakkige kennis van gevaarlijke infectieziekten, indianenverhalen en Griekse mythologie. Ondertussen liggen wel complete ziekenhuizen plat. Aan die inmiddels ex-student zit vast meer dan alleen een steekje los. Zo'n gast wil je liever niet als collega hebben.

Berechting en een eventuele diagnose laten we het beste aan de betreffende experts. Willekeurige internetpersonen zijn daar doorgaans niet voor gekwalificeerd. Een interessant gegeven is daarbij wel dat je hersenen tot je 25ste nog in ontwikkeling zijn en dat juist het reguleren van impulsen, emoties, het inschatten van risico's en gevolgen en het maken van langetermijnplannen zich in de laatste fase vormen.

The preponderance of young men engaging in these deadly, evil, and stupid acts of violence may be a result of brains that have yet to fully developed," Howard Forman, an assistant professor of psychiatry at Albert Einstein College of Medicine, told Business Insider.

So, does that mean young criminals — say, 19- to 25-year-olds — should be receive the same punishment as a 35-year-old who commits the same crime? Both criminals would still be guilty, but each might not necessarily deserve the same punishment, as Laurence Steinberg, a professor of psychology at Temple University, told Newsweek.

https://bigthink.com/mind-brain/adult-brain
22-02-2020, 13:57 door Anoniem
Hij deed dit toch niet in een opwelling, lieve wereldvreemde psycholgie professor. Neem zulke luizenstruiken toch niet in bescherming.
luntrus
23-02-2020, 09:50 door The FOSS - Bijgewerkt: 23-02-2020, 09:51
Door Anoniem: Niet alleen een gebruiksnaam is uniek voor een Word document. In oudere versies werd het MAC adres van de netwerkchip van de computer ongehasht opgeslagen in het Word document. Dat geeft duidelijke informatie over waar de macro geschreven is.

WOW! WTF! Is dit de Windows telemetrie waar iedereen het over heeft? Niemand die dit als een zware inbreuk op de privacy ziet? Wat wordt er nog meer - onder water - opgeslagen in Word documenten?
23-02-2020, 13:37 door Anoniem
Door Anoniem: Berechting en een eventuele diagnose laten we het beste aan de betreffende experts. Willekeurige internetpersonen zijn daar doorgaans niet voor gekwalificeerd.

Mij gaat het mij niet om veroordeling of diagnose. Dat moet je aan de forensische psychiatrie en de strafrechtbank overlaten. Het gaat om de HRM beoordeling of een persoon met zo'n verleden wel geschikt is om aan te nemen voor vertrouwelijke functies in de ICT sector. Ik meen van niet. Dat klinkt hardvochtig, maar de rechter zit niet op mijn stoel.
23-02-2020, 14:14 door Anoniem
Door souplost: Waarom heeft hij afstand gedaan van zijn Bitcoins? Zijn deze tegenwoordig illegaal?

Waarschijnlijk heeft de rechter-commissaris hem voor de keuze gesteld. Onder dreiging van de Plukze-wetgeving en door hem in de tang te zetten met de kans op eventuele strafvermindering, bij het tonen van een goede medewerking aan het politie onderzoek. Dan koos de jongeheer eieren voor zijn geld. Dan kan hij misschien zijn studie ooit nog afmaken.

Het gebruik van cryptomunten is bij mijn weten (nog) niet illegaal verklaard binnen de EU, noch in de Angelsaksische wereld, maar mij zal het niet verbazen dat anoniem verlopende transacties daarmee binnen afzienbare tijd aan banden zullen worden gelegd. Want die libertarische hobby is inmiddels uitgelopen op de zevende hemel voor de zware criminaliteit.
23-02-2020, 18:57 door Anoniem
Zeker een licentie die via school is aangeschaft, en daar ga je vervolgens ook nog je werk op verrichten. Slim ben je dan ook.
24-02-2020, 08:28 door Anoniem
Ik denk eerlijk gezegd dat die alleen maar dichter bij zijn klantenkring terecht is gekomen. En als die 22.000 aan bitcoins had dan deed die deie studie voor de vorm en had die een hele andere beroepskeuze voor ogen dan wat die met zijn studie kon bereiken.


Maar goed van leraar maatschappijleer tot MP schijnt ook mogelijk te zijn.
24-02-2020, 09:12 door Anoniem
Door The FOSS:
Door Anoniem: Niet alleen een gebruiksnaam is uniek voor een Word document. In oudere versies werd het MAC adres van de netwerkchip van de computer ongehasht opgeslagen in het Word document. Dat geeft duidelijke informatie over waar de macro geschreven is.

WOW! WTF! Is dit de Windows telemetrie waar iedereen het over heeft? Niemand die dit als een zware inbreuk op de privacy ziet? Wat wordt er nog meer - onder water - opgeslagen in Word documenten?

Eeuuhhh is dit een verrassing voor je ... google dan vooral niet op "onzichtbare puntjes patronen"die je printer toevoegd aan een document en meer dan dat soort zaken om maar vooral terug te kunnen vinden wie wat gedaan heeft

M.b.t die windows documenten .. dat is gewoon metadata en kan je ook in word zelf opvragen en zichtbaar maken. Kan je zelf ook instellen wat je daar ingevult wilt hebben etc etc. Er zijn veel meer programma's die dat met hun databestanden doen.
25-02-2020, 15:03 door Anoniem
Door The FOSS:
Door Anoniem: Niet alleen een gebruiksnaam is uniek voor een Word document. In oudere versies werd het MAC adres van de netwerkchip van de computer ongehasht opgeslagen in het Word document. Dat geeft duidelijke informatie over waar de macro geschreven is.

WOW! WTF! Is dit de Windows telemetrie waar iedereen het over heeft? Niemand die dit als een zware inbreuk op de privacy ziet?
Zat in het oude .doc formaat

Wat wordt er nog meer - onder water - opgeslagen in Word documenten?
Het is gewoon een standaard, dus vastgelegd in standaarden. Dus ipv schreeuw, bekijk ze eens.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.