'Cyberbende kaapt Wikileaks.org en AnonOps'
Gepubliceerd: Zondag 19 december 2010
Auteur: Andreas Udo de Haes
Wikileaks.org verwijst naar een valse mirror van een Russische cybercrimebende. Die bende host ook een AnopOps irc-server en voert DDoS-aanvallen uit met een groot botnet. De FBI onderzoekt.
Securityexperts slaan alarm over een schimmige en mogelijk criminele groep die zich afficheert met Wikileaks door middel van een valse mirror én eigenhandig DDoS-aanvallen uitvoert door het aansturen van LOIC-clients van Anonymous sympathisanten, maar vooral met duizenden geïnfecteerde zombie-pc's.
Wikileaks.org gekaapt
De Wikileaks-organisatie is de controle over zijn belangrijkste domein, wikileaks.org, kwijt. Dit bevestigen bronnen rondom de klokkenluidersite aan Webwereld. Maar zorgelijker is dat de schimmige Russisch-Duitse cybercrime hoster Heihachi het domein feitelijk heeft gekaapt. Al bijna een week verwijst de url door naar mirror.wikileaks.info, maar die site is nep.
Mirror.wikileaks.info staat ook niet op de 'officiële' lijst met inmiddels ruim 2000 mirrors en is ook anders qua opzet en inhoud. De site is eigenlijk een kopie van de oude versie van Wikileaks, in elkaar gezet met MediaWiki, maar zonder de documenten die vóór mei 2010 die op Wikileaks stonden. Het is een lege huls, die de bezoeker in verwarring brengt.
Cybercrime hoster
Spamhaus, een wereldwijde organisatie van spam- en cybercrimebestrijders, waarschuwde eerder deze week voor de valse Russische mirror. Volgens Spamhaus is Heihachi een een cybercrimehoster pur sang. Op hetzelfde IP-adres als wikileaks.info draaien ook tientallen malafide sites die namaakproducten, pillen en warez slijten, gestolen creditcardnummers aanbieden en phishingoperaties uitvoeren. Ook Trend Micro kwam met een waarschuwing.
De waarschuwing van Spamhaus bleef niet onbeantwoord. Wikileaks.info kwam met een verklaring dat ze niks met cybercrime of malware van doen hadden, maar vervolgens werd zaterdag een massale DDoS-aanval op Spamhaus uitgevoerd, aangestuurd vanaf hetzelfde netwerk.
Crimineel botnet
"Het is duidelijk dat de personen achter wikileaks.info en anonops.net dezelfde zijn. Behalve de verspreiding van de LOIC en *OIC tools aan onnozele scriptkiddies om de vijanden van Anon te DDoS'en, gebruikt AnonOps nu speciale criminele botnets van illegaal gekaapte pc's voor DDoS-aanvallen. En in plaats van cyberaancallen op de 'vijanden van Wikileaks', zijn nu de 'vijanden van onze criminele baas' doelwit geworden", aldus Steve Linford, oprichter en directeur van Spamhaus.
De site van de spambestrijder lag korte tijd plat, maar wist snel daarna de DDoS-aanval af te slaan, meldt Linford per e-mail.
Na nadere analyse concludeert Spamhaus overigens dat de DDoS-aanval alleen vanaf een crimineel botnet kwam. Linford erkent ook dat er sprake is van meerdere irc servers en zelfs meerdere Anonymous groepen die helemaal niets tegen Spamhaus ondernemen.
Maar hij uit zijn zorgen over de acties van de personen die bij Heihachi hosten. De criminele associatie straalt negatief af op Wikileaks zelf en op andere, onschuldiger Anonymous-groepen.
FBI doet onderzoek
De FBI en andere opsporingsinstanties doen inmiddels apart onderzoek naar de Russisch-Duitse cybercrime connectie, bevestigt de Spamhaus-directeur.
Ook Linford constateert dat Wikileaks de controle over het .org domein kwijt is. "Het is de laatste dagen allemaal erg onduidelijk. Niemand heeft contact kunnen leggen met personen van Wikileaks om te vragen wat er aan de hand is. Het lijkt erop alsof Wikileaks de afgelopen week op de automatische piloot doorging. We weten wel dat ze het .org domein kwijt zijn, maar we weten niet wie het nu echt in handen heeft."
