Die Chinese link is gelegd door beveiligingsbedrijf Surfright. De domeinen pobelka.com en ipo90.com blijken in het Chinese Xiamen te zijn geregistreerd. Het domein pobelka.com is gelinkt aan het Citadel-botnet dat vorig jaar specifiek Nederlandse computers aanviel. Het tweede domein is verbonden met de uitbraak van Dorifel, dat vorig jaar grote paniek veroorzaakte bij onder meer besmette Nederlandse gemeenten.

Het Pobelka-botnet dat verantwoordelijk is voor de diefstal van 750 GB aan Nederlandse gevoelige data leek vorig jaar platgelegd te zijn door Digital Investigation in samenwerking met Surfright en de High Tech Crime Unit van de KLPD, maar naar nu blijkt zijn de criminelen overgeschakeld naar nieuwe Command & Control-servers. Veel van de 150.000 besmette Nederlandse pc's krijgen hun commando's nu van een nog onbekende server.

Ook ziekenhuizen en multinationals getroffen

Hoe veel van die 150.000 computers nog steeds besmet zijn, is onduidelijk. Veel van die computers staan en stonden bij overheidsinstellingen, ziekenhuizen en bedrijven, waaronder vliegtuigmaatschappijen, een Nederlandse multinational en een Nederlands hightechbedrijf. Van al die overheden en bedrijven is data gestolen.

Daarbij ging het onder meer over complete overzichten van de ict-netwerkinfrastructuur van bedrijven, van productieplannen van een hightechbedrijf, notities van ziekenhuismedewerkers, overheidsmedewerkers die aan antwoorden bezig waren op Kamervragen en login-gegevens van diverse organisaties. Al die gegevens stonden op de door Digital Investigation buitgemaakte Command & Control-server die het botnet aanstuurde.

Loigingegevens van Nu.nl en adservers

Met name de logingegevens hebben voor veel vervolgellende gezorgd. Doordat er tevens inloggegevens van mediabedrijven waren gestolen, kon zonder te hacken toegang worden verkregen tot het content management systeem van Nu.nl en werd schadelijke code in documenten in het cms gezet. Ook de adservers waarvan onder meer De Telegraaf gebruik maakte, zijn zo binnengedrongen.

Volgens Erik Loman van Surfright zijn op de buitgemaakte C&C-server gegevens gevonden “van vrijwel elk Nederlands bedrijf" en zelfs van zo geheten Industrial Control Systems (ICS). Dat zijn systemen, zoals SCADA, die zorgen voor de aansturing van onder meer sluizen, bruggen, dammen en andere belangrijke infrastructurele werken. Ook worden ze gebruikt in kerncentrales.

Surfright hint op cyberspionage

Doordat er op de C&C-server naast de 750 GB aan Nederlandse data geen bankgegevens werden ontdekt, rijst de vraag wat het doel was van de criminelen. Volgens Loman is er een kans dat de data is doorverkocht aan andere overheden, maar kan hij daarvoor geen bewijs overleggen. “Maar het ontbreken van bankdata, waarvoor Citadel (nota bene een Banking Trojan genoemd) over het algemeen wordt gebruikt om die te vergaren, is opvallend."

Een rapport van Fox-IT's onderzoeker Michael Sandee stelt echter dat een dergelijke spionage niet voor de hand ligt. De nu nieuw ontdekte Chinese domeinconnectie is in deze wel verdacht.

Lauwe interesse van Nederlandse overheid

Overigens klaagt Surfright over de lauwe interesse van de Nederlandse overheid in de bevindingen van het bedrijf en dat van Digital Investigation. Hoewel er samengewerkt is met de Nederlandse opsporingsdiensten, was er verder weinig interesse, ondanks dat getroffen gemeenten dagenlang plat lagen en er zelfs servers op ministeries waren getroffen. “Omdat overheidsbeambten de bevindingen niet interessant genoeg vonden en geen reden zagen tot een nationaal onderzoek, is ons uitputtend onderzoek geen nationaal nieuwsitem geworden", schrijft het bedrijf in een blogpost.

Loman zegt dat de aanval van de Pobelka-criminelen niet zo gericht is uitgevoerd als de aanval op Amerikaanse mediabedrijven als New York Times en Washington Journal, maar wijst er wel op dat de Citadelbesmettingen in Nederland liefst acht maanden onder de radar is gebleven.