Rickey Gevers van Digital Investigations heeft onderzoek gedaan naar een specifiek Citadel-botnet dat vermoedelijk verantwoordelijk is voor het verspreiden van het virus Dorifel in Nederland. Dorifel legde in augustus diverse Nederlandse gemeenten plat. Het bewuste botnet bevatte voor meer dan de helft Nederlandse zombies, zo'n 143.000 in totaal.

Botnet verspreidde Dorifel

Gevers vermoedt dat dit Citadel-botnet verantwoordelijk is voor het verspreiden van het Dorifel-virus, maar kan het niet met zekerheid vaststellen. Opvallend is dat het botnet van 2 tot 9 augustus stil werd en geen unieke zombies toevoegde. Op 9 augustus werd het botnet weer actief en op dezelfde dag werd Dorifel verspreid.

“Er werd tot 9 augustus niet gecommuniceerd met de C&C-server", vertelt Gevers aan Webwereld. De zombies zochten dan wel naar instructies, maar de C&C leek niet actief. “Je kunt het vergelijken met het letterlijk uitzetten van de server. We weten niet waarom dit is gebeurd, maar opvallend is het wel."

Het lijkt erop dat deze 143.000 Citadel-zombies het virus Dorifel hebben ontvangen, maar ook andere Citadel-botnets zouden eraan bijgedragen kunnen hebben. “We hebben een lijst van IP-adressen van SurfRight ontvangen van met Dorifel geïnfecteerde klanten en 46 procent van de infecties communiceerde met dit Citadel-botnet", aldus Gevers.

Citadel in Nederland

Digital Investigations traceerde meer dan 143.000 zombies naar Nederland. Zo'n 78.000 zombies bevinden zich in Duitsland. De overige 43.000 zombies zijn versplinterd over verschillende landen en zijn te negeren, stelt Gevers. Het is onduidelijk hoe de Citadel-campagne zich zo specifiek op ons land en buurland Duitsland heeft weten te richten.

Dit specifieke Citadel-botnet lijkt momenteel niet actief. “Het hoofd is eraf, maar je kunt nooit met zekerheid stellen dat het niet terugkomt", zegt Gevers. Er wordt namelijk (momenteel) niet meer gecommuniceerd met de bekende domeinen, maar bij een update met nieuwe instructies kan het hele botnet weer actief worden.