De actie van Microsoft om een botnet op te rollen dat wordt gebruikt om bankrekeningen te plunderen is niet alleen mislukt, ook blijken criminelen een handje te zijn geholpen.
Tot die conclusie komt beveiligingsbedrijf Fox IT in een blogpost. Fox IT dat al langer onderzoek naar het Zeus-netwerk en de bijbehorende varianten.
Autoriteiten en beveiligers waren vergevorderd de criminelen die achter het Zeus-netwerk zitten in kaart te brengen, maar zullen nu delen opnieuw moeten doen door publicatie van gegevens uit het onderzoek.
In maart maakte Microsoft bekend een familie aan kwaadaardige netwerken, botnets, te hebben opgerold. In een video wordt getoond dat een server samen met de USMarshals Service wordt opgehaald en dat domeinen in beslag zijn genomen. De uitleg toont hoe kwaadaardige netwerken hiermee zijn opgerold.
Solo-actie
Maar de actie is een solo-actie van Microsoft waar geen externe partijen bij zijn betrokken. Omdat het bedrijf naar de rechter is gestapt om de computers in beslag te laten nemen, geldt in de Verenigde Staten de wettelijke verplichting dat de US Marshals Service betrokken wordt om misstanden te voorkomen.
Fox IT ontdekte dat de actie ook weinig succes heeft gehad. Initieel stopte het netwerk wel met functioneren. Maar nog geen 24 uur later hadden de criminelen hun activiteiten verschoven naar andere computers en waren weer volledig operationeel. Het aanvallen van gebruikers is na de actie ook weer gewoon doorgegaan.
Ondertussen wijst Microsoft erop dat de servers gevoelige informatie, zoals gebruikersnamen, e-mailadressen, wachtwoorden en andere persoonsgegevens bevatten. De onderneming geeft geen duidelijkheid wat ze met die gegevens gaan doen.
Anonimiteit
Ook blijken de criminelen nu een andere identiteit op internet te gebruiken. Dat dit nodig is, volgt uit de juridische actie die Microsoft is gestart. Zij hebben namelijk onbekende mensen aangeklaagd die zich verbergen achter e-mailadressen en schuilnamen. Via de documenten van de rechtbank, die openbaar moeten zijn, zijn ze gealarmeerd.
“Het gaat lang duren voordat we weer zicht hebben op de identiteiten achter het botnet”, zegt Ronald Prins, technisch directeur bij Fox IT. Voor hem is dat storend, omdat zijn onderneming al veel onderzoek heeft verricht. Omdat de resultaten vaak dienen voor strafrechtelijk onderzoek loopt ook dat onderzoek schade op.
“De beste strategie om botnets aan te pakken is niet door domweg Command & Control servers uit het netwerk te trekken. Veel belangrijker is het om ook in te zetten op aanhouding en vervolging van de daders. Juist door de geringe pakkans zie je steeds meer criminelen zich bezig houden met cybercrime”, legt Prins uit.
Niet ethisch
Fox IT beschuldigt Microsoft ervan dat ze de gegevens niet uit eigen onderzoek hebben. Het beveiligingsbedrijf heeft deze opgespoord en gedeeld met een besloten mailinglijst om onderzoek te versnellen, waarbij de afspraak is dat deze informatie niet voor eigen gewin ingezet mag worden.
Door een juridische procedure te starten is dat nu wel gebeurd, omdat alle gegevens daarmee ook automatisch geopenbaard worden.
Overigens staat Fox IT niet alleen in die kritiek. Ook projecten van internetbeveiligers, zoals het Honeynet-project dat juist kennis rond inbraken en botnets probeert te verzamelen, zijn zich heel kritisch in een eigen blogposting.
Domeinen afpakken
Een andere actie die Microsoft in hun strijd tegen het Zeus-netwerk hebben ondernomen, is het in beslag nemen van domeinnamen. Ook hier zou de softwareleverancier steken hebben laten vallen. Een aantal domeinen behoort toe aan beveiligingsonderzoekers, die geen kwaadaardige activiteiten uitvoerden. Enkele Amerikaanse domeinen zijn weer operationeel.
In zes gevallen ging het om Nederlandse domeinen, waarvan ook niet vast staat dat ze aan de criminelen toebehoren. Omdat Amerikaanse vonnissen niet automatisch in Nederland worden uitgevoerd is dat niet gebeurd.
Een zegsvrouw van de verantwoordelijke organisatie voor het uitgeven van Nederlandse domeinen, SIDN, bevestigt een brief van Microsoft te hebben gehad. “Die sturen we door naar de providers en vragen hun klanten te informeren.”
Grotere schade
Volgens Fox IT zijn de gevolgen van de actie van Microsoft groter dan het Zeus-netwerk alleen. Door de gegevens van onderzoekers te gebruiken, wordt het moeilijker informatie uit te wisselen.
Het bedrijf stelt dat veel beveiligingsonderzoekers in Microsoft geen vertrouwde partner meer te zien. Ook op Twitter uit botnet-specialist Andre DiMino dezelfde kritiek op Microsoft.
“Het is noodzakelijk om een goede relatie te hebben met partijen als Microsoft. Maar we zouden liever zien dat ze hun activiteiten richten op het maken van veilige software. Het opsporen van criminelen moet je aan gespecialiseerde bedrijven over laten”, stelt Prins.
nu.nl