De dieven die onder meer databases van LexisNexis hebben leeggezogen, zijn ook maandenlang hun gang gegaan op de VPN-server van een cybercrimebestrijder. Dat meldt security-onderzoeker Brian Krebs, die onderzoek heeft verricht naar hoe een ondergronds forum allerlei privégegevens verzamelt.

Opsporingsdatabase gekraakt

Een van de doelwitten van de datadieven blijkt de National White Collar Crime Center (NWC3) te zijn. Deze organisatie ondersteunt onder meer de FBI in de bestrijding van cybercrime en beheert onder meer een portal waar mensen internetcriminaliteit kunnen melden (de IC3). Een VPN-server van deze organisatie communiceerde van eind mei tot halverwege augustus dit jaar met de C&C.

Het exacte doel van deze kraak voor deze gespecialiseerde cyberbende is vooralsnog niet helemaal duidelijk. Wel heeft Krebs achterhaald dat meer dan 2.659.000.000 records van het meldpunt zijn meegenomen en data die teruggaat tot aan de oprichting van de IC3 in 2000.

Die database is volgens de security-expert niet zo interessant - behalve voor phisingdoeleinden - maar de cybercriminelen hadden ook toegang tot lopende onderzoeken en databases die worden gebruikt voor criminaliteitsbestrijding. Zo had de bende toegang tot een LexisNexis-tool die opsporingsdiensten gebruiken om verdachten en hun contacten in kaart te brengen om gericht onderzoek te kunnen doen naar bijvoorbeeld fraude.

Ongepatchte configuratie

De malware op de VPN-server maakt gebruik van een exploit die gericht is op een gat in Adobe ColdFusion. In januari is een patch verschenen om deze kwetsbaarheid te dichten. Een andere exploit die wordt gebruikt, is zelfs gemaakt voor een bug die al in 2010 is gepatcht. Desondanks konden cybercriminelen deze zomer binnenkomen op het systeem.

Voor elke versie van ColdFusion is een Lockdown Guide beschikbaar, waarmee systeembeheerders de security van de webapplicatieserver kunnen aanscherpen. Maar ook dit wordt in de praktijk weinig gedaan, zegt ColdFusion-expert Rob Brooks-Bilson. Daarom zijn ColdFusion-servers in de praktijk relatief eenvoudige doelwitten voor hackers.

Datadieven bestelen databrokers

De zaak kwam in het voorjaar aan het rollen toen een Russische site kredietgegevens van prominente Amerikanen publiceerde, waaronder persoonsgegevens van First Lady Michelle Obama. De site bleek de informatie te hebben verkregen door een ondergronds forum die privégegevens verkoopt te kraken. Dat maakte security-onderzoekers nieuwsgierig naar hoe dat forum aan deze data komt.

Het forum blijkt gebruik te maken van een gericht botnet bij diverse databrokers, ontdekte Krebs vorige week. De getroffen datadealers verzamelen gegevens voor klanten, onder meer voor antecedentenonderzoek van werknemers. De datadieven hebben ingeprikt op deze databases vol met persoonsgegevens, medische data en andere gevoelige informatie.