- Door
- Veenman
- geplaatst op
- 25 januari 2010 08:03 uur
Vanuit het netwerk van het Nederlandse LeaseWeb en vier Amerikaanse providers werd het Pusdo-botnet aangestuurd. Atif Mushtaq van FireEye Malware Intelligence Lab wist het botnet te infiltreren. Een maand lang heeft Mushtaq bestudeert hoe het botnet onder de motorkap werkt. Daarbij ontdekte hij dat de Command & Control servers bij vijf verschillende providers waren ondergebracht.
Mushtaq kreeg op zijn verzoek van één van de vijf providers (SoftLayer), de mogelijkheid om gedurende korte tijd – voor dat alle C&C-servers uit de lucht werden gehaald – toegang tot zo’n server. In het artikel dat Mushtaq op zijn blog schreef over de kwestie, meldt hij dat door alle vier de Amerikaanse providers de C&C-servers op 18 januari uit de lucht waren gehaald. Alleen twee IP-adressen binnen het LeaseWeb netwerk waren op 22 januari nog niet uit de lucht. Kort na publicatie gebeurde dat alsnog.
Op Security.nl reageren verschillende bezoekers weinig verbaasd op het feit dat LeaseWeb als laatste de C&C-servers offline haalt. Een anonieme reageerder stelt: “Leaseweb is al veel vaker geattendeerd op het feit dat er ook menig Zeus server gehost werd. Na diverse meldingen werd er contact opgenomen en vervolgens werd er niets met de aangeleverde informatie gedaan. Een ‘dankjewel’ was teveel moeite.”. LeaseWeb security officer Alex de Joode laat in een reactie op Security.nl weten dat verschillende melders klagen over het feit dat er geen terugkoppeling wordt gegeven op klachten. Daar wordt volgens hem aan gewerkt.