Van ZeuS naar Citadel

ZeuS is een van de meest beruchte botnet-trojans ooit. Varianten van Zeus bestaan al jaren en zorgen voor veel schade, vooral door het plunderen van bankrekeningen door het manipuleren van de internetbankierdiensten van banken, de zogenaamde banking trojan. Maar er zijn ook variaties die slachtoffers afpersen, de ransomware.

Maar niet alle cybercriminelen die botnets inzetten waren tevreden met ZeuS en zij maakten een fork, een soort 'open source' platform genaamd Citadel, gebaseerd op de broncode van Zeus. Na goedkeuring en betaling van een paar duizend dollar kunnen hackers hier in een sociale community verder schaven aan verschillende features en modules.

Met dat platform zijn sinds eind 2011 een onbekend aantal, maar in elk geval tientallen, verschillende trojans gelanceerd, die elk bovendien hun eigen (of met elkaar overlappend) botnet van geïnfecteerde zombie pc's creëerde.

In februari meldde Seculert reeds 20 verschillende botnets in het wild, afkomstig van vijf verschillende versies van Citadel. Elke versie heeft nieuwe modules die de andere niet hebben. Sommige van die modules zijn door de kopers zelf ontwikkeld, andere door de community.

Hoeveel trojans zijn er momenteel in omloop, gebouwd met Citadel, die nog niet worden gedetecteerd door de meeste virusscanners? Niemand weet het. Cybercriminelen doen hun uiterste best om de verschillende versies zo lang mogelijk onder de radar te houden.

Citadel-brand smeult al maanden

Dorifel is nu als een zichtbare paddenstoel uit de grond geschoten, maar het netwerk van onderliggende schimmeldraden groeit al weken of maanden onder de grond, zich ongezien binnenwurmend op duizenden pc's van overheidsorganisaties, bedrijven en particulieren.

De reikwijdte van Dorifel zelf lijkt beperkt, en het Nationaal Cyber Security Centrum (NCSC) verklaarde vrijdagmiddag de 'brand meester', maar het smeulde dus al veel langer. Zoals Fox-IT schrijft: “Waar u zich echt zorgen over moet maken is dat er blijkbaar een trojan (ZeuS/Citadel) op uw netwerk is die actief communiceert met C&C servers en die al dagen, weken, wellicht al maanden allerlei soorten informatie uit uw organisatie lekt."

Infectie van een pc is naar, onklaar gemaakte bestanden zijn vervelend en frustreren de dienstverlening, maar exfiltratie van vertrouwelijke of zelfs kritieke gegevens is pas echt gevaarlijk. De gevolgen daarvan zijn letterlijk en figuurlijk niet te overzien.

Het aantal mutanten naast het nu geopenbaarde Dorifel is schier oneindig. Het lijkt erop dat Dorifel voortborduurt op een banking trojan die zich richt op vooral Nederlandse bankklanten, maar Kaspersky ontdekte verschillende andere componenten en modules op de C&C servers, die worden bediend vanuit meerdere control panels, waarschijnlijk met gebruik van de Fragus Exploit Kit.

De Dorifel paradox

Dorifel is een enigma, omdat het de ongeschreven 'malwareregels' met de voeten treedt. 'Normale' malware steelt informatie of plundert bankrekeningen, terwijl het zo lang mogelijk onder de radar blijft. Het enige dat Dorifel (tot nog toe) doet is zichzelf verspreiden en Word-, Excel- en EXE-bestanden onklaar maken door ze te versleutelen. Daarmee is het effect meteen zichtbaar voor het slachtoffer, die alarm slaat.

Het gedrag is vergelijkbaar met ransomware, die pc's in gijzeling neemt en pas weer vrijgeeft na betaling van de criminelen. Het enige maar cruciale verschil: Dorifel eist geen losgeld. Wat is een gijzeling zonder losgeld? Vandalisme? Terreur?

Ook is nog niet geheel duidelijk hoe Dorifel zich verspreidt. Er is sprake van dat de nieuwe malware zich via een reeds langer bestaand Citadel-botnet verspreidt. Maar dat is niet de enige methode, er treden ook verse infecties op via malafide bijlages in e-mails die worden rondgestuurd, bericht Kaspersky. Daarnaast infecteert Dorifel andere pc's in een netwerk door besmetting van gedeelde bestanden op netwerkshares.

Al met al lijkt het erop dat Dorifel of een knullige ransomware is waarbij de losgeldeis is vergeten, of een poging tot cybervandalisme, of een demonstratieve geurvlag van een hacker die zijn territorium in cybercrimeland afbakent. Of is Dorifel een final fuck you van de botnetherder nadat die zijn eerdere werk al heeft gedaan? Of misschien toch een afleidingsmanoeuvre voor aanvallen die nu nog gaan komen...

Nog een mysterie: waarom is vooral Nederland getroffen? Liftte Dorifel mee op een banking trojan die zich eerder richtte op klanten van een Nederlandse bank? Is het een gerichte aanval op Nederlandse overheden en bedrijven?

Nieuwe vonken

Kortom, Dorifel is een kortstondige, tot nog toe onverklaarde eruptie. En terwijl de securitybedrijven hun forensische labs induiken en de media nog even doormalen, zijn de cybercriminelen alweer een stap of twee verder. Met nieuwe, minder zichtbare malware die meer schade berokkent.

Zoals gezegd trof Kaspersky verschillende andere modules aan op de C&C servers. Die moeten nog worden onderzocht. En Fox-IT constateerde dat de botnetbeheerders op een honderdtal pc's besmet met Dorifel alweer een nieuwe, nog totaal onbekende trojan uploaden: Hermes. Nog géén van de veertig bekende virusscanners herkent Hermes.

Met Hermes of andere varianten is het vervolgens mogelijk om een nieuw botnet op te bouwen. Want je kunt pc's ontsmetten van Dorifel en brand meester roepen, je kunt zelfs de C&C servers van Dorifel neerhalen, maar het moederschip, het Citadel-platform, blijft nieuwe varianten produceren.

Terughacken?

Dus, in de tegenaanval en eigenhandig de infrastructuur van Citadel hacken om de schimmel met wortel en al uit te roeien? Absoluut doen, zegt Ronald Prins. "Fox-IT staat te popelen, maar we kunnen het niet doen zonder toestemming van de politiek. Dit zou het moment kunnen zijn om die hele soevereiniteitsdiscussie op dit vlak eens te voeren", aldus Prins tegen NOS. Bovendien, de Amerikanen doen het ook al.

Maar dat gaat zomaar niet, reageert Erik Remmelzwaal, directeur van Medusoft. De kans op collateral damage is groot en het is een juridisch wespennest.

“Het 'neerhalen' van dit systeem kan consequenties hebben voor een nietsvermoedende organisatie die ook niet te kwader trouw is. Sterker: die organisatie is net zo goed of nog wel meer slachtoffer van de malware als wij. Door het terughacken is er dus een redelijke kans dat we ons op glad ijs begeven, want welk recht beschermt ons als de partij in kwestie de schade die het loopt, komt verhalen? En als er geen recht is dat ons beschermt, wie betaalt dan de rekening? Dat de VS dit al doet, wil niet zeggen dat het een heel goed idee is", schrijft Remmelzwaal.

Laten we daarbij de omstreden actie van Microsoft niet vergeten, die met veel misbaar 'eigenhandig' enkele C&C servers van een ZeuS-variant neerhaalde. De felste kritiek op deze actie kwam van, juist ja, Fox-IT, die stelde dat Microsoft hiermee ook legitieme sites had neergehaald én cybercriminelen vooral een handje geholpen.

Terughacken klinkt misschien aantrekkelijk, maar het risico is levensgroot dat je dan helemaal de doos van Pandora opent.

Diplomatieke druk op de handhaafschuwe staten waar de cybercriminelen opereren klinkt suf, maar we kunnen niet als cybercowboys de soevereiniteit en het internationaal recht aan de kant zetten. Dat betekent wel dat vooralsnog een veenbrand zoals Citadel praktisch niet te blussen is.