'Here you have'-worm is jihad-propaganda
Gepubliceerd: Maandag 13 september 2010
Auteur: Robert McMillan
Een hacker die beweert achter de wijd verspreide e-mailworm te zitten die vorige week bedrijfsnetwerken lamlegde, zegt dat de worm onder andere is gemaakt als propaganda.
De hacker, die zich bekend maakt als 'Iraq Resistance', heeft geantwoord op een mail die de IDG Nieuwsdienst heeft gestuurd naar een e-mailadres dat is verbonden aan de 'Here you have' worm. Die worm was donderdag korte tijd verantwoordelijk voor 10 procent van alle spam op het internet. Hij (of zij) liet niets los over zijn identiteit, maar zei: "Het maken van dit is alleen een middel om mijn stem te bereiken mensen misschien... of misschien andere dingen."
Kritiek op de VS
Hij gaf aan dat hij niet had verwacht dat de worm zo'n groot succes zou worden, en hij merkte op dat hij veel meer schade had kunnen aanrichten. "Ik had alle geïnfecteerden kapot kunnen maken, maar ik wilde niet", zei de hacker. "Ik hoop dat alle mensen begrijpen dat ik ben geen negatief persoon!" In andere delen van de boodschap had hij kritiek op de oorlog van de Verenigde Staten in Irak.
Zondag heeft Iraq Resistance een video op internet gezet met dezelfde strekking. Daarin zei hij in een computerstem dat zijn daden niet zo slecht zijn als die van Terry Jones. Jones is de dominee in Florida die onlangs dreigde om korans te verbranden.
Offline
Beveiligingsexperts zijn het er inderdaad over eens dat de worm veel meer schade had kunnen aanrichten. De malware had wel degelijk een paar heel kwaadaardige componenten aan boord, zoals password logging software en een achterdeur waardoor de maker de besmette machines over had kunnen nemen. Maar omdat de software niet heel erg geavanceerd in elkaar zat, is de worm vorige week al vrij snel uitgeschakeld. Dat is gebeurd door de webservers offline te halen die werden gebruikt om computers te infecteren en aan te sturen.
Opvolger
'Here you have' verspreidde zich als slachtoffers op een weblink klikten en daarna de uitvoer toestonden van het kwaadaardige script. In feite is het de succesvollere opvolger van een worm uit augustus. Ook die malware kan gelinkt worden aan het e-mailadres dat Iraq Resistance heeft gebruikt om met de IDG Nieuwsdienst te communiceren.
Volgens netwerkleverancier Cisco was de worm donderdag een paar uur verantwoordelijk voor 6 tot 14 procent van de wereldwijde spam. Het is de eerste worm in jaren die zo veel succes had, waarmee de dagen van de Anna Kournikova-worm herleefden. Tegenwoordig trekken schrijvers van malware liever geen aandacht meer, omdat ze hun software over het algemeen zo lang mogelijk willen verbergen voor hun slachtoffers.
Cyber-jihad
Onderzoeker bij beveiligingsbedrijf SecureWorks Joe Stewart denkt dat Iraq Defense een Libische hacker is, die probeert aanhangers te werven voor een cyber-jihad hackgroep, die 'Brigades of Tariq ibn Ziyad' wordt genoemd. Tariq ibn Ziyad was een aanvoerder uit de achtste eeuw die grote delen van Spanje veroverde. De video van Iraq Resistance heeft eveneens een Spaans thema. Het laat een kaart zien van Andalusië, en Iraq Resistance geeft in zijn YouTube-profile aan dat hij in Spanje zit.
In zijn e-mails heeft Iraq Resistance geen antwoord gegeven op vragen over zijn identiteit. Hij zei dat hij bezorgd was over zijn veiligheid. "Ik denk deze informatie is genoeg voor u, en meer lijkt op een onderzoek", zei hij. "Ik zie mezelf niet zo crimineel."
