Het Citadelbotnet dat naar nu blijkt duizenden computers bij gemeenten, provincies en de Universiteit van Amsterdam heeft gekaapt, is nog steeds actief nadat de overheden en andere instellingen vandaag druk waren met de bestrijding van een virus dat duizenden Word- en Exceldocumenten heeft besmet. Die virusuitbraak is nu bij de meeste gemeenten onder controle, maar het grootste gevaar is daardoor nog niet geweken.

Het Citadelbotnet is immers nog niet aangepakt. Sterker nog, gemeenten weten niet waar ze de besmetting moeten zoeken en hoe die dan moet worden aangepakt. “We hebben uit voorzorg elke lijn met de buitenwereld nog afgesloten", zegt hoofd informatievoorziening Leo Schoor van de gemeente Borsele. “We hebben de afgelopen nacht en dag water gehoosd, nu moeten we het lek boven zien te krijgen en dichten."

Tools binnenhalen voor botnetbestrijding

Schoor zegt direct al deze morgen de IP-adressen die door Fox-IT en het Nationaal Cyber Security Center zijn aangemerkt als de ontvangers van de communicatie met de besmette PC's geblokkeerd te hebben. Daarnaast is de ICT-manager bezig tools naar binen te halen om de botnetbesmetting te achterhalen. “Ik heb een tool binnen om het DNS-verkeer te monitoren, zodat we de pc's kunnen vinden waar het verstopt zit. Ik heb nu nog geen idee, er staan honderdduizenden bestanden op het netwerk."

Schoor zegt samenwerking te zoeken met andere getroffen gemeenten als dat nodig is en mogelijk ook met Logius. Die laatste is verantwoordelijk voor DigiD, waaraan alle gemeenten hun dienstverlening hebben gekoppeld om burgers online te kunnen identificeren bij productaanvragen. Logius zegt dat het gebruik van DigiD via gemeentensites veilig is omdat deze geen koppelingen heeft met de kantoorapplicaties van gemeenten, maar alleen met de internetapplicatieomgeving. Het NCSC zegt dat de gemeenten bij de bestrijding van het botnet “de eigen boontjes moeten doppen."

Gemeenten mogelijk maandenlang al in botnet

Dat de gemeenten moeite hebben met het vinden van de botnetbesmettingen geeft aan dat er een groot probleem is. Citadel is een al enige tijd rondspokende variant van de Zeus-malware die specifiek gericht is op Nederland. Het is een zogeheten banking trojan. Het kan ook andere malware downloaden als het is geïnstalleerd bij een slachtoffer, maar het kan zich ook slapende houden. Het is mogelijk dat de getroffen gemeenten al maandenlang onderdeel uitmaken van het botnet, zonder het door te hebben.

“De virusbesmetting mag dan wel zijn bestreden, maar zolang het botnet niet is ontmanteld kan er zomaar volgende week een andere payload komen", zegt Joost Bijl van Fox-IT. “Ik weet niet of de bestrijding van Citadel wordt onderschat, maar het is tot nu toe wel zwaar onderbelicht. Er is veel aandacht voor het Donifelvirus en men lijkt voorbij te gaan aan het botnet."

Mogelijk meer aan de hand

Hij bestrijdt dat de huidige besmettingen vooral zijn gericht tegen overheidsinstellingen. “Dat komt veel eerder naar buiten doordat gemeenten hun dienstverlening moeten stoppen en dat moet natuurlijk gecommuniceerd worden naar de burgers. Maar er zou best veel meer aan de hand kunnen zijn dan wat nu naar buiten is gekomen. Anderzijds hebben wij vanmorgen slechts 3000 besmettingen geteld en dat is eigenlijk niet zo heel veel."

Update 21.01: het aantal meldingen van besmettingen met het Dorifelvirus, dat vrijwel zeker is gedownload door de Citadel-botnetmalware dat op pc's staat, breidt zich gestadig uit. Het ministerie van Onderwijs, Cultuur en Wetenschappen is eveneens besmet, meldt Teletekst.

Eerder waren er meldingen vanuit de gemeenten Nieuwegein, Buren, Stedebroec, Weert, Venlo, Borsele, Den Bosch, Almere, Tilburg, de provincies Noord-Holland en Noord-Brabant, de universiteiten van Amsterdam en Utrecht, Westland Infra en het RIVM.