Russische crimineel faalt in opzet botnet via Nu.nl

door

Botnet

door

Nieuws - Russische criminelen zitten achter de aanval op bezoekers van Nu.nl. Dat blijkt uit een onderzoek van Fox IT. De bedoeling was de creatie van een botnet. Dat mislukte faliekant.

Volgens het post mortem rapport van Fox IT, dat een mooie beschrijving geeft van alle gebeurtenissen vanuit het Security Operations Center van het bedrijf en de analyse van de aanval, werd snel duidelijk dat de aanval werd uitgevoerd vanaf Nederlandse servers en niet vanuit India, zoals eerder werd gedacht.

Daarnaast bleek dat er speciaal voor deze aanval een aparte C&C-server was opgezet om alle traffic vanaf Nu.n af te handelen. Fox IT schat in dat 12 procent van alle bezoekers tijdens lunchtijd afgelopen woensdag besmet is geraakt.

Het betreffende javascript dat via het CMS van NU.nl verstopt was in de site, was rond half twee 's middags overschreven door de automatiseringsafdeling van Sanoma, waarna de infecties stopten. Fox IT vond vervolgens de handtekening van de bekende Russische cybercrimineel piupiupo in de gebruikte Trojan SmokeLoader. Die was al eens eerder ontdekt, in 2010, toen hij vanuit Moskou actief was.

Master Boot Record aangepast

De SmokeLoader C&C verspreidde de Sinowal rootkit naar de geinfecteerde machines, malware die al sinds 2007 in Nederland actief is. Sinowal verandert het Master Boot Record, en een dergelijke aanpassing is volgens Fox IT slechts door een beperkt aantal securitytools te herkennen. Ook is het vrij moeilijk om de machine vervolgens weer schoon te maken.

Fox IT heeft vervolgens enkele honderden geinfecteerde machines geinspecteerd, maar kwam tot de verrassende conclusie dat de malware niet goed functioneerde. Van alle geinfecteerde machines kwam er maar eentje echt tot contact met de C&C-server. Daardoor faalde de C&C-server in het vormen van een botnet. Fox IT zegt (nog) niet te weten wat daar de oorzaak van is. “Dat zal de tijd leren", zo sluit Michael Sandee, principal security expert bij Fox IT zijn rapport af.

Lees meer over:

nu.nl, botnet, sinowal, fox-it, bankingtrojan

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

promotionele afbeeldingen promotionele afbeeldingen

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.