Nederlandse overheid gaat detectie van malware uitbreiden.

[Maxstar]

Om in Nederland adequater op malware-infecties, cyberaanvallen en andere incidenten te kunnen anticiperen wordt dit jaar nog de detectiecapaciteit bij de Nederlandse Rijksoverheid en bijbehorende organisaties uit de vitale sectoren versterkt. Naar aanleiding van een nieuw onderzoek van een nieuw onderzoek naar het Pobelka-botnet heeft het Nationaal Cyber Security Center (NCSC) dit vandaag bekend gemaakt.

De malware die werd gebruikt voor het Pobelka-botnet heeft in totaal 750Gb aan gegevens van Nederlandse internetgebruikers en organisaties weten buit te maken. Eind 2012 heeft IT-journalist en researcher Brenno de Winter al een onderzoek gedaan naar het Pobelka-botnet.

Uit de eerdere analyse van gestolen gegevens is gebleken dat de aanvallers met buitgemaakte inloggegevens op webpagina's van onder andere uitgevers konden inloggen om zo kwaadaardige code die naar malware verwees te kunnen plaatsen.

Er werden onder andere logingegevens aangetroffen voor systemen van De Telegraaf. Ook via de sites van Weeronline.nl en RTV West werd de afgelopen maanden malware verspreid. Verder werd op de command-and-control-server configuratiedata aangetroffen om geld te stelen bij drie Nederlandse banken: ING, ABN Amro en ASN Bank.

Volgens Surfright en Digital Investigation had het Pobelka-botnet niet alleen koppelingen met de Dorifel-malware, een virus dat onder andere bij de overheid voor problemen zorgde, maar de criminelen zouden het botnet ook gebruikt hebben om interne netwerken en alle aangesloten apparatuur in kaart te brengen. Deze informatie zou doorverkocht kunnen zijn aan derden, bijvoorbeeld schurkenstaten, zo stellen de schrijvers van het onderzoek. Concreet bewijs wordt daarvoor echter niet aangedragen.

Vervolgonderzoek

Het betreffende Pobelka-botnet bestond zeker uit zo'n 150.000 computers. Volgens beveiligingsbedrijf Fox-IT dat naast Digital Investigation en SurfRight de malware ook analyseerde, zijn er veel grotere botnets in Nederland actief.

In 2011 werd al beschreven middels cijfers dat er tussen de 450.000 en 900.000 Nederlandse computers onderdeel van een botnet zijn. De onderzoekers stelden echter wel vast dat het daadwerkelijke aantal infecties waarschijnlijk veel hoger ligt dan de geschetste cijfers die in kaart zijn gebracht.

Malware-detectie

Het Nationaal Cyber Security Center (NCSC) waarschuwt dat incidenten in het digitale domein nu en in de toekomst niet volledig te voorkomen zijn. Daarom is het ook van essentieel belang om deze adequaat te detecteren en van response te voorzien, laat het Nationaal Cyber Security Center (NCSC) weten. "Dit jaar nog wordt ingezet op het versterken van de detectiecapaciteit bij de Rijksoverheid en de organisaties uit de vitale sectoren."

Hierdoor hoopt het Nationaal Cyber Security Center (NCSC) incidenten sneller te detecteren. "Verder wordt er in 2013 gewerkt aan het helder maken, omschrijven van de taken en bevoegdheden van het Nationaal Cyber Security Center (NCSC). Juridisch wordt er nog gekeken hoe er op een zorgvuldige wijze kan worden omgaan met de beschikbare informatie die vanuit de ICT-community wordt aangereikt."

Vernietiging van gegevens

De 750 GB aan gegevens die door Digital Investigation buit is gemaakt betreffende het Pobelka-botnet, wordt op 1 maart aanstaande vernietigd. Een reservekopie van alle gegevens is echter nog wel beschikbaar bij het Team High Tech Cybercrime van de politie Nederland, wat bevestigd is door Rickey Gevers die werkzaam is voor Digital Investigation.

Het gaat tot nu toe om bijna 50 organisaties die -volgens Gevers- "behoorlijk schrikken" als zij zien welke data vanuit hun bedrijf of instelling terecht is gekomen op de Command & Control-server van de beheerders van het Pobelka botnet. In totaal zou er informatie zijn van duizenden organisaties, waaronder NU.nl, de NOS, maar ook waterleiding- en energiebedrijven. Gevers zegt "na de piek aan informatie-aanvragen" over te willen gaan tot vernietiging van alle data. Hij wil niet wachten tot alle organisaties zich hebben gemeld. "De deadline voor nog geïnteresseerde organisaties is 28 februari", zegt Gevers. "Op 1 maart vernietigen we de data."

Nederlandse Politie ontkent bezit data

De data zou nu (1 maart) aanstaande vernietigd kunnen worden omdat volgens Rickey Gevers het Team High Tech Cybercrime van de nationale politie inmiddels beschikt over een exacte kopie van de 750 GB aan gegevens. Overigens ontkent het Team High Tech Cybercrime dat zij in het bezit zijn van alle gegevens. "We hebben in eerste instantie een deel van de informatie aangeboden gekregen, maar die data bleek corrupt en dus onleesbaar", aldus Franki Klarenbeek, woordvoerder namens het Team High Tech Cybercrime. Na enkele gesprekken met Rickey Gevers zou volgens Franki Klarenbeek gebleken zijn dat er geen liaison kon worden gemaakt met bestaande strafrechtelijke onderzoeken en dus zag de politie van verdere actie af.

Rickey Gevers wil die lezing van het team het "Team High Tech Cybercrime" nuanceren aldus de laatste berichten van Webwereld.

"We hebben inderdaad gesprekken gehad en ja, er kon geen link worden gemaakt met bestaande onderzoeken. Maar tijdens die gesprekken werd niets gezegd over corrupte data. Dat werd ons pas afgelopen week duidelijk. Verder was de politie volledig op de hoogte van al onze acties."

Rickey Gevers wil tevens benadrukken dat het "Team High Tech Cybercrime" "zijn uiterste best heeft gedaan" het onderzoek naar deze Command & Control-server binnen bestaande onderzoeken toe te passen. "Dit bleek echter simpelweg niet mogelijk. Maar er ligt inmiddels een volledige kopie van de data bij de politie."

Data van Command & Control-server opgeslagen in Duits datacentrum

De 750 GB aan gegevens die bij Digital Investigation nog steeds in bezit zijn, komt vanaf een Command & Control-server die toebehoorde aan de beheerders van het botnet Pobelka, die duizenden computers in Nederland had besmet. Die server stond namelijk in Duitsland, in een datacenter wat notabene een eigendom is van een Nederlands hostingbedrijf. Vanwege de fysieke ligging van de web-server kon de cyberpolitie eventueel zelf pas ingrijpen nadat al het papierwerk met de Duitse collega's was afgehandeld.

Digital Investigation heeft de betreffende server eigenlijk in de schoot geworpen gekregen. "De eigenaar van het datacenter reageerde op het eerste bericht van "Digital Investigation" dat er wat met die server aan de hand was met veel ongeloof. De dag erna was hij klaarblijkelijk erg geschrokken en heeft hij de controle over de server overgedragen aan "Digital Investigation".

Van de betreffende server heeft Rickey Gevers de 750 GB aan gegevens in handen gekregen. "In eerste instantie wilde niemand het hebben vertelt Rickey Gevers, ook het Nationaal Cyber Security Center (NCSC) niet. Pas in een later stadium kreeg men belangstelling voor de IP-adressen die tot die data c.q. gegevens behoorden en die datablokken hebben we ze gegeven."

750 GB aan gegevens door beperkte groep mensen toegankelijk geweest

Ook de bedrijven die zich nu pas melden krijgen alleen de datablokken toegestuurd die informatie bevatten die gerelateerd zij aan die betreffende organisatie. "En dan met name als die organisaties bekend zijn bij Nationaal Cyber Security Center (NCSC) en of Surfcert."

Verder is (een deel van) de 750 GB aan gegevens ingezien door twee medewerkers van de NOS, waaronder de onderzoeksjournalist Brenno de Winter en in eerste instantie twee functionarissen van het Team High Tech Cybercrime en die hebben allemaal een Non-Disclosure Agreement (NDA) moeten ondertekenen, waarbij werd beloofd verder geen namen van de betreffende organisaties bekend te maken en of te verspreiden. Verder moest het inzien van gegevens "journalistiek relevant" zijn. De organisaties die vorige week in de uitzending van het NOS Journaal werden genoemd, hadden daarmee ingestemd, verklaard Rickey Gevers.

Onderstaand kunt u de betreffende uitzending van het NOS Journaal terug kijken in de YouTube video.

19 februari 2013 aangepast door Maxstar

[Sarah]

Heb je opmerkingen of vragen over deze "Waarschuwing", post deze dan in de passende forumonderdelen.