Stuntelige Koobface-bende wist online sporen

Afgelopen maandag publiceerde The New York Times de namen van de bendeleden. Het security-team van Facebook had ontdekte wie er achter de worm zit. Koobface verspreidde zich jarenlang via allerlei sociale netwerken. Slachtoffers van Koobface werden verleid op een link te klikken, waarna ze geïnfecteerd raakten met malware. Bijzonder is dat Koobface zich niet alleen richt op Windows, maar dat ook Mac OS x en Linux doelwit zijn.

Op het security-blog van beveiligingsbedrijf Sophos is te lezen dat de botneteigenaren na de ontmaskering direct actie hebben ondernomen. De Command en Control-servers van het Koobface-botnet reageren niet meer en de beheerders zijn online sporen aan het wissen. Zo haalden ze onder meer hun Facebook- en Twitter-profielen offline.

Foursquare-logins

De botnetbeheerders maakten ook gebruik van Foursquare, LiveJournal en Flickr. Bij al die diensten hebben ze in de uren na de ontmaskering data proberen te verwijderen, zegt Sophos. Ondanks de poging om hun sporen te wissen hebben beveiligingsonderzoekers en politiediensten kopieën van een groot deel van de data in handen. Door de Foursquare-checkins op een kaart te zetten, zoals Sophos heeft gedaan, is bijvoorbeeld precies te zien waar de eigenaren zich bevonden.

De ontmaskering is voor een groot deel te danken aan Facebook's security-team. Ryan McGeehan, die deel uitmaakt dat team, geeft aan ontzettend blij te zijn met de impact van hun actie. "We zijn het meest opgelucht dat het botnet offline is. Onze beslissing om deze data te delen heeft al 24 uur impact. De tijd zal leren of die impact definitief is, maar voor nu was het zeker effectief", zegt McGeehan tegen Reuters.

'Facebook brengt onderzoek in gevaar'

Niet iedereen is het met de onthulling eens. Stefan Tanase, senior security researcher bij Kasperski, plaatst kanttekeningen bij de onthullingen van het Facebook security-team. Volgens hem heeft Facebook er niet verstandig aan gedaan de resultaten naar buiten te brengen, omdat daarmee het onderzoek in gevaar wordt gebracht.

"Als (cyber)criminelen vermoeden dat ze worden onderzocht, zullen ze heel voorzichtig opereren. Als ze zeker weten dat iemand achter ze aanzit worden ze onvoorspelbaar", schrijft Tanase op het blog van Kasperski. "Ze zijn nu online sporen aan het wissen, maar niemand weet wat ze offline doen. Het belangrijkste wat ze nu willen beschermen is hun vrijheid."

Zelfmoordplannen

Koobface was jarenlang één van de beruchtste botnets ter wereld. Het verspreidde zich via verschillende sociale netwerken. De worm dook in 2008 voor het eerst op, toen het gebruikers probeerde te verleiden een filmpje te bekijken. Gebruikers die op de link klikten kregen de melding dat ze hun Flashplayer moesten updaten. Het slachtoffer werd vervolgens geïnfecteerd met de worm. Ook plaatste Koobface berichten op Facebook-profielen waarin de gebruiker aangaf zelfmoordplannen te hebben.

Beheerders maakten fouten

De botnetbeheerders lieten regelmatig steken vallen. Zo bleek er vorig jaar een lek in de worm zelf te zitten. Rivaliserende criminelen kregen daarmee de mogelijkheid bots over te nemen. De Command en Control-servers waren ook slecht beveiligd, blijkt uit een analyse van Sophos. Eén van de servers hield statistieken bij die voor iedereen toegankelijk waren. Op die manier werd duidelijk welke bestanden zich op de server bevonden. Beveiligingsonderzoekers kregen zo ook beter inzicht in het aantal besmette computers.

Hun grootste fout maakten de beheerders in december 2009. Beveiligingsonderzoekers zagen een bestand met de naam latest.tat.bz2 voorbijkomen. Dit bleek een backup te zijn van de beheerssoftware van Koobface, maar er bleek ook een PHP-script in te staan dat dagelijks statistieken naar vijf verschillende telefoonnummers stuurde. Dat bleken de Russische telefoonnummers van de beheerders te zijn.