- Door
- Edwin Feldmann
- geplaatst op
- 27 oktober 2010 08:06 uur
Het onderzoek naar het Bredolab-botnet heeft de politie veel inzicht gegeven over hoe internetcriminelen botnets opbouwen en gebruiken. ‘Het is heel uitzonderlijk dat je de hele botnet-infrastructuur neerhaalt en ook nog de hoofdverdachte kan arresteren’, zegt Alex de Joode, security officer bij LeaseWeb, in gesprek met ISPam.nl.
Volgens De Joode was het maandag druk bij Leaseweb maar was het een ‘leuke en geslaagde operatie’. De eerste melding over het Bredolab-botnet ontving Leaseweb in augustus van dit jaar. “Toen we op het punt stonden om maatregelen te nemen tegen het geïnfecteerde ip-adres, werden we door het KLPD verzocht om het botnet nog even online te laten omdat de recherche bezig was met een onderzoek. Dit vroegen ze omdat de politie bij Bredolab heel goed zicht had op hoe zo’n botnet van binnenuit wordt georganiseerd. Dat is erg zeldzaam”, aldus De Joode.
Toen het politie-onderzoeek eenmaal was afgerond werden afspraken gemaakt wanneer de take-down zou plaatsvinden. Dat moest zo snel mogelijk want hoe langer het botnet in de lucht zou zijn, hoe meer slachtoffers er gemaakt zouden worden.
Uienschil
De politie heeft het botnet overgenomen zodat de eigenaar daar geen controle meer over heeft. Ook zijn alle servers die ermee in verband stonden offline gehaald, op de kern na. Alleen het command and control-center van waaruit de opdrachten kunnen worden gegeven die de bots moeten uitvoeren, draait nog, vertelt De Joode. Die wordt op dit moment gebruikt door de politie om alle gedupeerden te informeren over de besmetting en ze verder te helpen.
Alle geïnfecteerde computers die verbonden zijn met het command and control-deel krijgen een programmaatje dat ervoor zorgt dat slachtoffers een scherm van het KLPD voor hun neus krijgen.
Over de opbouw van Bredolab zegt De Joode: “je moet het zien als een soort ui. De kern stond bij Leaseweb. De eerste schil daar omheen waren gehuurde servers bij andere isp’s wereldwijd, die fungeerde als proxy.” En daar omheen waren nog eens twee schillen met gehackte servers aangebracht die ook als proxy fungeerde. “Normaal werk je van buiten en hoop je tot de kern van de ui te komen, maar het KLPD zat al heel snel tot het hart van dit botnet. Dus de politie heeft een kijkje gehad in hoe zo’n cybercrime-/e-commercebedrijf werkt”, vertelt De Joode.
De betreffende reseller had 143 servers bij Leaseweb gehuurd. Daarvan was een groot deel in gebruik van het botnet. “We hebben opdracht gehad van de politie om alle 143 servers van die reseller uit te zetten.” Wie de betreffende reseller is, wil De Joode niet zeggen, behalve dat het niet om een Nederlandse partij gaat. “Die reseller ligt nu helemaal down. Wij hebben ze doorverwezen naar de Nederlandse politie en die mag bepalen hoe ze dit verder gaan afhandelen.”
Eerste resultaten
De tip die naar Bredolab leidde, is het eerste concrete resultaat van het onlangs geïntroduceerde Community Outreach Project. Dat is een project waarbij Leaseweb internetbeveiligingsbedrijven gratis hostingdiensten en hardware geeft in ruil voor informatie over beveiligingsproblemen binnen het Leaseweb-netwerk. Eén van de eerste partners van het project ontdekte dit botnet. “Wij hebben hiervan geleerd dat ons Community Outreach Project succesvol is, maar belangrijker nog: het internet is weer een stukje veiliger geworden”, besluit De Joode.