OM: server DNS-bende stond in Nederland
Gepubliceerd: Zaterdag 12 november 2011
Auteur: Bas Bareman
Eén van de servers die is gebruikt door de DNS-bende stond in Nederland. Het Openbaar Ministerie maakte hiervan een image voor de Amerikaanse FBI.
De server in Nederland werd door de bende gebruikt om verkeer om te leiden naar malafide websites, dat vertelt het Openbaar Ministerie tegenover Webwereld.
Amerikaans verzoek
De criminelen besmetten over een periode van vijf jaar in totaal 4 miljoen pc's met de malware 'DNSChanger'. Door een wijziging in DNS-instellingen van de pc's werden ze op Internet omgeleid naar malafide advertentiepagina's. De criminelen haalden daarmee 10 miljoen euro aan advertentie-inkomsten binnen.
Wim de Bruin van het Openbaar Ministerie: "De FBI verzocht ons om een image van die server te maken. Deze informatie hadden ze nodig voor hun opsporingsverzoek. Omdat de server fysiek in Nederland stond, richtten zij hun verzoek aan ons." Tegen de hostingsprovider van de server worden geen stappen ondernomen, vertelt De Bruin tegenover Webwereld. Om welke hostingsprovider het gaat kan hij niet zeggen.
Strafbare feiten gepleegd
Het Korps Landelijke Politiediensten (KLPD) speelde een andere rol in het FBI-onderzoek. De KLPD verzocht de Europese beheerder van ip-adressen, RIPE, om 4 blokken ip-adressen te bevriezen. Dit houdt in dat de eigenaar van de ip-adressen geen wijzigingen kan doorvoeren in de registratiegegevens bij RIPE.
Jos Klaren, woordvoerder KLPD, vertelt Webwereld dat de Amerikaanse autoriteiten dit de KLPD hebben verzocht. "Uit Amerika kwam een verzoek om rechtshulp. Met de ip-adressen zijn strafbare feiten gepleegd. Vandaar dat ze zijn geblokkeerd voor onderzoek."
Diensten in Nederland
Netwerkexpert Paul van Brouwershaven, cto van Networking4all, lokaliseerde de eigenaren van de vier blokken die de overheid bij RIPE 'bevroor'. Twee van de blokken behoren toe aan Promnet Ltd. uit de Oekraïne. Een ander blok behoorde toe aan ProLite Ltd, gevestigd in Rusland.
Het laatste blok ip-adressen is van het bedrijf Front Communications Inc, gevestigd in Amerika. Van Brouwershaven meldt nog dat Front Communications ook eigenaar is van een reeks ip-adressen in Nederland en hier diensten aanbiedt. Deze ip-adressen vallen echter niet in de geblokkeerde ip-reeks van Front Communications.
Werkwijze
Gedupeerden raakten volgens de FBI besmet met de malware door het bezoeken van malafide websites en het downloaden van software om online video's te bekijken. Eenmaal besmet, veranderde de malware de DNS-instellingen van de computers, zodat zij verwezen naar de DNS-servers van de criminelen. Deze verwijzing zorgde ervoor dat de gedupeerden tijdens het surfen op internet omgeleid werden naar malafide advertentiepagina's.
Lokale autoriteiten in Estland arresteerden naar aanleiding van het FBI-onderzoek 6 Esten en een Rus. Als Estland de verdachten uitlevert aan Amerika en zij veroordeeld worden, hangt hen maximaal 85 jaar gevangenisstraf boven het hoofd. Voor de besmette computers heeft de FBI een tool uitgebracht waarmee de malware verwijderd kan worden.
