Gisteren behandelden we de vraag of er een trend te bespeuren is in hackersland dat steeds meer botnets op een amateuristische manier worden opgezet. De amateurhacker staat echter niet op zichzelf, blijkt vaak.

Een hack zetten

Tom Welling, beveiligingsspecialist bij Symantec, bespeurt een vreemdsoortig verbond tussen hackers en geharde criminelen. “Er bestaat een soort handel in malafide code. Er is een soort ondergronds netwerk waarin oldschool harde criminelen die voorheen in de witte boorden criminaliteit zaten, nu een script kiddie of een huis, tuin en keuken hacker wat geld geven of misschien onder druk zetten om een hack te zetten."

Criminelen hoeven helemaal niet over kennis te beschikken, aldus Welling. als ze er maar voor zorgen dat ze over die kennis kunnen beschikken. Er is een duidelijke taakverdeling: De crimineel verzint met welk doel geld verdiend kan worden, en de hacker voert het uit. "Je ziet het een hacker zelf vaak niet bedenken, die is vaak gewoon op zoek naar een verzetje. Het geld verdienen zelf is vaak niet per se zijn ding. Ze hebben ook niet de relaties om het alleen te doen, al zouden ze willen”, stelt Welling.

Eddy Willems, Security Evangelist bij G DATA, ziet zelfs een soort van business model achter de wat professionelere botnets van de laatste tijd. “Alles is goed doordacht en dat zorgt voor grote problemen zoals de laatste tijd veel in de Verenigde Staten met het ZeuS botnet. Maar dat probleem verschuift telkens. We hebben vroeger hier in de Benelux ook serieus wel wat aanvallen op die manier gehad.”

Doordacht en gepland

Welling ziet wel een doordachte strategie bij de professionelere botnets. Deze botnets zoeken de laatste tijd bijvoorbeeld vaak verbinding met domeinnamen en niet met IP-adressen.

Er worden eerst een aanzienlijk aantal domeinen geregistreerd met de meest vreemde en onlogische namen, legt Welling uit. De volgende stap is dat er een soort proefvirus losgelaten wordt, zodat de cybercriminelen kunnen kijken of het allemaal op de juiste manier werkt. Daarna wordt er nog wat bijgesleuteld aan de code, vaak om de malafide code verder te verbeteren en de laatste fouten eruit te halen.

Vervolgens is het tijd voor lancering en worden er nog meer domeinnamen geregistreerd, om vervolgens het virus los te laten dat al die domeinnamen gebruikt om te communiceren. Die domeinen zijn dus de command & control servers. "Je ziet dus dat er echt een planning achter zit. Het gaat dus verder dan één keer iets in de lucht schieten en kijken wat er gebeurt", aldus Welling.

China en Rusland

In China was kon je twee weken lang een domeinnaam registreren zonder dat je er überhaupt voor betaald had. Daar werd gretig misbruik van gemaakt, waardoor ze het in elk geval een stukje lastiger hebben gemaakt. “Nu moet je geldige bedrijfspapieren laat zien. Ook gaat het CNNIC de identiteit van bestaande domeinhouders verifiëren, wil je überhaupt een domein kunnen registreren in China", zegt Welling. "Hiermee wil China een signaal afgeven dat ook zij dit serieus nemen, want er gaan natuurlijk een hele hoop verhalen over waarom er vanuit China zoveel gehackt wordt en of dat politieke redenen heeft bijvoorbeeld.”

Behalve China zijn ook landen als Brazilië en Rusland vaak een uitvalsbasis bij uitstek voor hackers. In dat laatste land is eveneens iets opmerkelijks gebeurd. In Rusland was erg veel hackactiviteit, omdat het een schijnbaar veilige haven bood. Hackers werden er niet vervolgd, tenzij ze Russische doelen bestookten. De hackende medemens hoefde dus niet bang te zijn om opgepakt te worden als ze zich aan die gouden regel hielden.

Het lijkt erop dat ook dat nu ten einde is, nu drie Russische mannen zijn opgepakt door de Russische Security Service (FSB) voor een aanval op Amerikaanse pinautomaten in 2008. Dit is gebeurd op verzoek van de FBI. Het geheel is nog altijd een beetje in mysteries gehuld, want dit is voor het eerst dat zoiets gebeurt en zeker dat het door de FSB behandeld wordt in plaats van bijvoorbeeld de Russische ministerie van binnenlandse zaken.

Feit blijft dat dit een kentering kan zijn in het Russische beleid jegens hackers. En al is het dat niet, dan zullen Russische hackers er nu in elk geval niet meer zeker van kunnen zijn dat ze niet door hun eigen regering zullen worden aangepakt.

Bron: Techworld