Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

KLPD: aftappen Bredolab-botnet leverde 3 TB aan data op

  • Door
  • Edwin Feldmann
  • geplaatst op
  • 14 april 2011 08:08 uur

Je hoeft geen techie meer te zijn om een cybercrimineel te worden. Dat zei Peter Zinn van het Korps Landelijke Politiediensten (KLPD) woensdag tijdens het Cyber Operations symposium in Amsterdam. De middelen die criminelen hanteren zijn eenvoudig verkrijgbaar en te gebruiken op internet.

Zinn vertelde tijdens het symposium over nationale veiligheid en cybercriminaliteit, hoe het Bredolab-botnet in oktober is opgerold. “We zijn met zijn allen (publiek-private samenwerking tussen politie, opsporingsdiensten en diverse bedrijven, red.) ongeveer tien weken beziggeweest met Bredolab.”

“Bij het aftappen van het Bredolab-systeem bij LeaseWeb hebben we 3 TB aan data getapt met de bedoeling om het botnet in kaart te brengen. We hebben het botnet dus door laten draaien. Officieel was het toen al in beslaggenomen – en was LeaseWeb gevrijwaard.”

Op bestelling
Bredolab bestond uit 143 servers waarvan er acht werden gebruikt om het botnet te besturen. Bredolab bleek de ‘the mother of all botnets’ te zijn, zo vertelt Zinn. “Bredolab infecteerde alleen maar. Criminelen konden letterlijk op bestelling een x-aantal besmette pc’s uit het botnet gebruiken om malware te verspreiden”, aldus Zinn.

“Die pc’s werden besmet door ftp-inloggegevens van geïnfecteerde pc’s te stelen. Die werden gebruikt om malware op websites te plaatsen zodat andere pc’s ook weer besmet konden worden. Daarnaast werden phishingmailtjes verstuurd en wist de maker van Bredolab het advertentienetwerk Openx te infecteren.” Een groot aantal websites die de advertenties hebben getoond, hebben daardoor ook pc’s besmet.

“Op het moment dat Openx doorkreeg dat de software kon worden uitgebuit en er een update werd aangeboden, werd het bedrijf aangevallen met een DDoS door Bredolab.”

Identiteit
De politie heeft het botnet in kaart gebracht en de controle over het botnet overgenomen. Het doel was echter om achter de identiteit van de maker van het botnet te komen.

“We zijn de maker op het spoor gekomen doordat zijn vriendin vanaf zijn computer op Facebook echte namen en foto’s gebruikte”,  vertelt Zinn. “De verdachte is dj en zou naar Nederland komen. Er was een arrestatieteam op Schiphol op hem op te wachten, maar op het laatste moment bleek hij zijn trip te hebben geannuleerd.”

Frans botnet
Toen hij merkte dat zijn botnet was overgenomen, heeft hij nog een aantal keren geprobeerd om zijn botnet weer terug te veroveren, aldus het KLPD. “Dat gaf hij na een uurtje op. Maar hij had nog een botnet, in Frankrijk, zo bleek toen.”

“Hij gebruikte dat Franse netwerk om zijn eigen Bredolab-botnet te DDoS’en. De Fransen hebben er toen vrij snel de stekker uit getrokken en LeaseWeb en de AMS-IX zijn allebei stevig genoeg om zo’n DDoS van circa 200.000 computers te kunnen weerstaan”, stelt hij.

De maker, Georgy A. uit Armenië, is vervolgens na een opsporingsbericht dat via Interpol was verspreid, op de luchthaven in Armenië gearresteerd.

Les
Volgens het KLPD is de les van het Bredolab geweest dat die publiek-private samenwerking tussen verschillende partijen en tussen opsporingsdiensten in diverse landen noodzakelijk is om de stukjes kennis samen te voegen en te gebruiken. Of zoals Zinn het verwoordde: “het geheel is meer dan de som der delen.”

Nog geen reacties

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.