Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Leaseweb: ‘Politie heeft veel geleerd van Bredolab-botnet’

  • Door
  • Edwin Feldmann
  • geplaatst op
  • 27 oktober 2010 08:06 uur

Het onderzoek naar het Bredolab-botnet heeft de politie veel inzicht gegeven over hoe internetcriminelen botnets opbouwen en gebruiken. ‘Het is heel uitzonderlijk dat je de hele botnet-infrastructuur neerhaalt en ook nog de hoofdverdachte kan arresteren’, zegt Alex de Joode, security officer bij LeaseWeb, in gesprek met ISPam.nl.

Volgens De Joode was het maandag druk bij Leaseweb maar was het een ‘leuke en geslaagde operatie’. De eerste melding over het Bredolab-botnet ontving Leaseweb in augustus van dit jaar. “Toen we op het punt stonden om maatregelen te nemen tegen het geïnfecteerde ip-adres, werden we door het KLPD verzocht om het botnet nog even online te laten omdat de recherche bezig was met een onderzoek. Dit vroegen ze omdat de politie bij Bredolab heel goed zicht had op hoe zo’n botnet van binnenuit wordt georganiseerd. Dat is erg zeldzaam”, aldus De Joode.

Toen het politie-onderzoeek eenmaal was afgerond werden afspraken gemaakt wanneer de take-down zou plaatsvinden. Dat moest zo snel mogelijk want hoe langer het botnet in de lucht zou zijn, hoe meer slachtoffers er gemaakt zouden worden.

Uienschil
De politie heeft het botnet overgenomen zodat de eigenaar daar geen controle meer over heeft. Ook zijn alle servers die ermee in verband stonden offline gehaald, op de kern na. Alleen het command and control-center van waaruit de opdrachten kunnen worden gegeven die de bots moeten uitvoeren, draait nog, vertelt De Joode. Die wordt op dit moment gebruikt door de politie om alle gedupeerden te informeren over de besmetting en ze verder te helpen.

Alle geïnfecteerde computers die verbonden zijn met het command and control-deel krijgen een programmaatje dat ervoor zorgt dat slachtoffers een scherm van het KLPD voor hun neus krijgen.

Over de opbouw van Bredolab zegt De Joode: “je moet het zien als een soort ui. De kern stond bij Leaseweb. De eerste schil daar omheen waren gehuurde servers bij andere isp’s wereldwijd, die fungeerde als proxy.” En daar omheen waren nog eens twee schillen met gehackte servers aangebracht die ook als proxy fungeerde. “Normaal werk je van buiten en hoop je tot de kern van de ui te komen, maar het KLPD zat al heel snel tot het hart van dit botnet. Dus de politie heeft een kijkje gehad in hoe zo’n cybercrime-/e-commercebedrijf werkt”, vertelt De Joode.

De betreffende reseller had 143 servers bij Leaseweb gehuurd. Daarvan was een groot deel in gebruik van het botnet. “We hebben opdracht gehad van de politie om alle 143 servers van die reseller uit te zetten.” Wie de betreffende reseller is, wil De Joode niet zeggen, behalve dat het niet om een Nederlandse partij gaat. “Die reseller ligt nu helemaal down. Wij hebben ze doorverwezen naar de Nederlandse politie en die mag bepalen hoe ze dit verder gaan afhandelen.”

Eerste resultaten
De tip die naar Bredolab leidde, is het eerste concrete resultaat van het onlangs geïntroduceerde Community Outreach Project. Dat is een project waarbij Leaseweb internetbeveiligingsbedrijven gratis hostingdiensten en hardware geeft in ruil voor informatie over beveiligingsproblemen binnen het Leaseweb-netwerk. Eén van de eerste partners van het project ontdekte dit botnet. “Wij hebben hiervan geleerd dat ons Community Outreach Project succesvol is, maar belangrijker nog: het internet is weer een stukje veiliger geworden”, besluit De Joode.

Tudududud, 27 oktober 2010 9:31 am

Hardstikke mooi dat dit ze gelukt is en dat het ook eindelijk eens een keer gelukt is om de eindverantwoordelijke te pakken.

Alleen:

"Alle geïnfecteerde computers die verbonden zijn met het command and control-deel krijgen een programmaatje dat ervoor zorgt dat slachtoffers een scherm van het KLPD voor hun neus krijgen."

Opzich een goed idee maar... Ik zie alle volgende viruspopups al 'Dit is een bericht van de KLPD, u heeft een virus, klik hier om het op te lossen', om vervolgens een trojan of wat dan ook binnen te halen...

Max, 27 oktober 2010 9:40 am

wat nationaal gedacht weer.. alsof iemand weet (en er om geeft) in weet ik wat welk land wat de KLPD is..!
Gewoon de bot geruisloos van de infected pc verwijderen..

Tudududud, 27 oktober 2010 10:04 am

Max:

Dat is het punt niet, doe een simpele RIPE query of traceroute naar het IP en je kan met vrij goede zekerheid vast stellen dat een IP in Nederland gebruikt word.

Ivo, 27 oktober 2010 11:49 am

@Tudududud ja want dat snapt iedere willekeurige gebruiker wel? ;)

Tudududud, 27 oktober 2010 1:13 pm

Ivo: M'n punt was dat je dan met redelijk accuratie alleen NL klanten kan bereiken......

Andere Max, 27 oktober 2010 7:36 pm

Goed dat het eens gelukt is een botnet te ontmantelen.


[quote]De betreffende reseller had 143 servers bij Leaseweb gehuurd. Daarvan was een groot deel in gebruik van het botnet. “We hebben opdracht gehad van de politie om alle 143 servers van die reseller uit te zetten.” [/quote]

Dus als die reseller ter goeder trouw 100 servers aan de botnetmaster had doorverhuurt, maar ook 43 legitieme servers had, ligt nu zijn broodwinning plat?
(getallen zijn fictief, ken de situatie niet)

Guilt by association?

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.