NL EN
  • Home»
  • Weblog »
  • Citadelbotnet zorgt naast het Dorifelvirus voor veel onrust

Citadelbotnet zorgt naast het Dorifelvirus voor veel onrust

Naast de duizenden computers die besmet zijn geraakt bij de overheid en de Universiteit van Amsterdam, blijken er nu ook bankgegevens van meer dan 1.600 Nederlanders te zijn gestolen. Niet door het Dorifelvirus – zoals eerder werd bericht – maar door de trojan Citadel zelf. Zo’n 1.200 daarvan zijn klanten bij de ING. Andere getroffen banken zijn de ABN AMRO, de Rabobank en de SNS Bank. De gestolen gegevens zijn gelogd op de masterserver waar ook Dorifel een verbinding mee heeft.

Of er sprake is van daadwerkelijk misbruik van de gegevens kunnen alleen de banken weten, aldus securityonderzoeker Rickey Gevers. ING heeft hier inmiddels al een onderzoek naar gedaan. Volgens de bank zijn niet de systemen van de ING getroffen, maar de computers van een beperkt aantal ING klanten. Het is niet duidelijk om welke gegevens het precies gaat en of er daadwerkelijk misbruik van is gemaakt, in die zin dat er dubieuze bedragen van de rekeningen zijn afgeschreven. De betaalfuncties van de  getroffen rekeningen zullen  direct worden geblokkeerd als de IGN onregelmatigheden detecteert.

Digitaal forensisch bureau Digital Investigation doet er onderzoek naar en heeft de vinger gewezen naar een Oostenrijkse computerserver. Zij hebben het ministerie van Justitie dan ook geadviseerd om met medewerking van de Oostenrijkse autoriteiten de server af te sluiten. De daders komen echter vermoedelijk uit Oekraïne, maar dat is nog niet bevestigd. Digital Investigation schat dat het aantal geinfecteerde computers in de tienduizenden ligt, maar daar is vooralsnog geen bewijs voor. De situatie lijkt thans onder controle te zijn.

Trojaans paard in Amerika...

Het Citadelbotnet blijkt niet alleen in Nederland actief te zijn, ook in Amerika veroorzaakt het de nodige onrust.  Daar gaat het om het ransomware, Reveton genaamd. De ransomware staat ook op de masterserver van het Dorifelvirus. De losgeldtrojan infecteert computers door middel van een “drive by”, het bezoeken van websites die het virus bevatten. Als iemand dan de website bezoekt wordt de computer bevroren en verschijnt er een pop-up met de mededeling dat de FBI de bezoeker heeft betrapt op online kinderporno. Er dient een bedrag te worden betaald om de computer weer te ontgrendelen.

... en in een luchthaven

Tot overmaat van ramp zijn, volgens onderzoek van beveiligingsbedrijf Trusteer, ook medewerkers van een groot internationaal luchthaven getroffen door de Citadel trojan na verbinding te maken met de VPN (Virtual Private Network). VPNs worden doorgaans gebruikt om een veilige verbinding teweeg te brengen tussen het bedrijfsnetwerk en de computer van de medewerker. Passagiers zijn voor zover bekend buiten schot gebleven. De doel van de aanval is het stelen van gegevens van het luchthavenpersoneel die benodigd zijn om zich toegang te verschaffen tot de VPN. De naam van de luchthaven is echter nog niet naar buiten gebracht.

De malware steelt eerst de gebruikersnaam en het wachtwoord dat de gebruiker invoert. Vervolgens worden er screenshots gemaakt van het authenticatieproces en wordt de eenmalige code onderschept. Via dit proces heeft de kwaadwillende toegang tot de interne systemen van de luchthaven.

Over de code

Het virus is geschreven in de programmeertaal Delphi en heeft als naam “cassius_cley.dpr”, naar de echte naam van bokslegende Muhammad Ali (alleen is zijn achternaam gespeld als Clay). Het virus blijkt relatief goed leesbaar te zijn voor een gedegen  programmeur. De werking van malware wordt normaal gesproken goed verborgen, maar in dit geval is het niet zo lastig te achterhalen. Sommige andere onderdelen zijn wel meer verborgen. Zo is het niet duidelijk welk IP-adres wordt aangesproken om updates binnen te halen.

Nieuwe Europese beveiligingsverplichtingen

Gezien de enorm toegenomen beveiligingsincidenten, zoals het Dorifelvirus en de Citadel trojan, overweegt de Europese Commissie om nieuwe wetgeving te introduceren met betrekking tot beveiliging van netwerken en computersystemen. Art. 13 van de Wbp (Wet Bescherming Persoonsgegevens), bevat al een algemene verplichting om passende maatregelen te nemen ter beveiliging van persoonsgegevens tegen verlies en onrechtmatige verwerking. Voor aanbieders van openbare elektronische communicatienetwerken en -diensten bevat art. 11.2 e.v. van de Telecommunicatiewet een vergelijkbare verplichting. Deze verplichting zal waarschijnlijk worden uitgebreid door de Europese Commissie.

Door: Albert Katoen

BRON: Webwereld.nl


PAGINA DOORSTUREN

DEZE PAGINA IS SUCCESVOL DOORGESTUURD!

EEN REACTIE PLAATSEN

UW E-MAIL ADRES WORDT NIET GETOOND AAN ANDERE BEZOEKERS.

  1. NAAM
  2. E-MAILADRES
  3. BERICHT
  4. WANNEER U DEZE REGEL KUNT LEZEN, VUL HET VOLGENDE VELD DAN NIET IN!
  5.