Fox-IT: pr-stunt Microsoft saboteert Zeus-aanpak

door

Zeus Griekse God

door

Nieuws - Microsoft heeft met het offline halen van een Zeus-botnet ook legitieme sites neergehaald én cybercriminelen geholpen. Fox-IT beschuldigt Microsoft van grove fouten en zelfs onwaarheden.

Het platleggen van enkele command&control-servers die de beruchte Zeus-malware aansturen, hindert de cybercriminelen erachter namelijk niet, stelt Fox-IT. Bovendien is er met de twee in beslag genomen servers slechts malwarecode in handen gekregen die al openlijk verkrijgbaar en bekend is. De zogeheten Operatie b71 van Microsoft lijkt vooral een pr-actie te zijn. Het biedt geen daadwerkelijke bescherming aan computergebruikers, blogt het Nederlandse securitybedrijf.

Wegwerpservers

Microsoft claimt dat het neerhalen en in beslag nemen van de servers “hopelijk niet één maar meerdere botnetten verstoort en dat het hiermee inzicht krijgt in de criminele organisatie die de Zeus-malwarefamilie gebruikt en ontwikkelt". Fox-IT spreekt dat tegen: dergelijke c&c-servers zijn wegwerpinstallaties voor de cybercriminelen. Zij weten dat die machines vroeg of laat offline worden gehaald, dus laten er zo min mogelijk sporen op achter.

Het door Microsoft gehoopte “inzicht" is niet te verwachten, aldus Fox-IT. Bovendien was één van de botnetten binnen 24 uur na de takedown-actie van Microsoft weer volledig in actie, via een gloednieuwe c&c-server. Het kon dus gewoon doorgaan met zijn malafide werk, merkt Fox-IT op.

Legitieme sites plat

Niet alleen is Microsofts Zeus-operatie redelijk zinloos, het blijkt ook veel te breed en zelfs onjuist uitgevoerd. Onder de neergehaalde (PDF) servers en domeinen bevonden zich namelijk ook oude, geparkeerde, ongebruikte, verlopen en zelfs legitieme sites. Daaronder ook enkele Nederlandse websites, zoals Bijlesnederland.nl, die inderdaad offline zijn.

Deze brede aanpak bewijst volgens Fox-IT dat noch Microsoft noch de gerechtelijke macht en de opsporingsinstanties ook maar enige controle hebben uitgevoerd op de informatie over de 'criminele' servers en domeinen. De Nederlandse 'slachtoffers' van de Zeus-takedown omvatten ook legitieme sites. Mogelijk dat sommige daarvan in het verleden zijn misbruikt door de malwarebende, erkent Fox-IT.

De Nederlandse sites die zijn meegesleurd in de grove Zeus-takedown door Microsoft:

'Botnetbestrijding gesaboteerd'

De kritiek van Fox-IT gaat nog veel verder: Microsoft heeft zelfs het onderzoek naar het Zeus-netwerk in de wielen gereden. Dat betreft niet alleen het offline halen van botnetservers die Fox-IT en andere securitybedrijven aan het monitoren waren of zelfs zelf runden om het malwareverkeer af te tappen.

De softwareproducent heeft ook informatie 'gekaapt' van de malware-onderzoekers om dit als feiten te presenteren aan de rechter die permissie heeft gegeven voor de takedown-operatie. Zo heeft Microsoft bijvoorbeeld een lijst met adressen van vermeende Zeus-botnetherders overhandigd. Die lijst met anonieme figuren (John Doe's) is voor 100 procent identiek aan een lijst die Fox-IT heeft aangeleverd voor een besloten mailinglist voor security-onderzoek.

Zonder toestemming

“Deze mailinglist heeft de restrictie dat data die wordt gedeeld alleen gebruikt mag worden met toestemming van de persoon die de bewuste informatie aanlevert." De door Microsoft gebruikte adressenlijst heeft exact dezelfde volgorde en bevat precies dezelfde hoeveelheid informatie over de John Doe's die is vergaard door Fox-IT en een bevriend, niet genoemd securitybedrijf.

“De acties door Microsoft zijn zeker verstorend, maar niet zozeer voor de criminelen aangezien zij hun botnetten makkelijk weer kunnen opzetten", concludeert Fox-IT. De kosten voor het opzetten van een nieuw botnet zijn volgens het Nederlandse securitybedrijf erg laag: ongeveer 10.000 dollar voor een botnet met 100.000 systemen, wat genoeg is om die investering weer terug te verdienen.

Vertrouwen geschaad

“Het verstorende effect op de it-securityindustrie en de publiek-private samenwerking is echter enorm." Fox-IT stelt dat het vertrouwen is geschaad, terwijl dat juist cruciaal is om effectief security-informatie te kunnen verzamelen en te delen. . Malwarebestrijders Trend Micro, The Honeynet Project en security-onderzoeker Andre DiMino van DeepEnd Research hekelen Microsoft ook om de vertrouwensschade.

Zij hebben dit overigens eind maart al gedaan. Fox-IT komt nu pas met de gedetailleerde kritiek naar buiten omdat het heeft gewacht op een rectificatie van Microsoft. Webwereld heeft het gehekelde bedrijf om een reactie gevraagd op deze kritiek. Woordvoerster Julie de Widt-Bakker laat weten dat die niet vanuit Nederland kan komen en dat ze contact opneemt met het Londense kantoor van Microsoft.

Microsoft showt in deze video hoe het de Zeus-botnetten bestrijdt, “in samenwerking met de financiële industrie":

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

IT Innovation Day 2014
 
dagen
:
 
uren
:
 
min.
:
 
sec.

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.