Chinees botnet achter aanval op Google
Een groep Chinese botnetbeheerders zit achter de aanval op Google, dat beweert beveiligingsbedrijf Damballa. Uit analyse van "Operatie Aurora" blijkt dat het botnet eerst werd ingezet voor het verspreiden van nep-virusscanners. Het ging hier niet om "normale" nep-virusscanner die slachtoffers alleen geld uit de zak proberen te kloppen, maar om botnet agents die besmette machines onderdeel van het botnet maakten. In tegenstelling tot wat eerder werd aangenomen, vonden de aanvallen tegen Google niet halverwege december, maar al vanaf juli 2009 plaats, met China als oorsprong.
Verschillende domeinnamen die de botnetbeheerders als Command & Control gebruikten, dateren zelfs van 2 mei 2009. Daarnaast werden in de genoemde periode verschillende gerichte aanvallen via verschillende botnets parallel uitgevoerd.
Aanvalsvector
"Het lijkt erop dat de aanvalsvector verschillende fasen is doorlopen voordat Google die ontdekte." Het zou dan gaan om de opbouw van het botnet en gebruikte malware. Dat het botnet verschillende soorten malware verspreidde, is mogelijk aanwijzing dat de beheerders een deel van het netwerk hebben verhuurd. "Aurora is gewoon een botnet", zo schrijft Damballa in een nieuw rapport.
Daarin merkt het ook op dat het botnet Dynamic DNS Services (DDNS) gebruikte, iets wat professionele botnetbeheerders al sinds 2007 niet doen. Veel DDNS-aanbieders treden snel op tegen misbruik van hun diensten door cybercriminelen. "De gemiddelde botnetbeheerder die nog steeds DDNS gebruikt is in het algemeen een amateur." Hoewel de aanval op het werk van amateurs lijkt, werden er wel meerdere DDNS-diensten gebruikt. Verder toont het onderzoek aan dat de aanvallers de gestolen gegevens waarschijnlijk via e-mail verstuurden.
Varianten
Een ander opmerkelijk punt is het gebruik van de nep-virusscanners. Het gedrag van één van de twee varianten is bijna gelijk aan Trojan.Hydraq, die bij de aanvallen op Google werd ingezet. De malware verspreidde zich via waarschuwingen en pop-ups op websites. De twee varianten werden uiteindelijk door Hydraq opgevolgd, zonder dat hier enige overlap tussen zat. Het feit dat de malware via hetzelfde netwerk werd verspreid, is volgens Damballa een aanwijzing dat de aanbieders van het botnet de varianten of een deel van het netwerk verhuurden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.