Door een blunder met een IP-adres kon de politie afgelopen dinsdag drie mannen arresteren die vermoedelijk het netwerk van een Alkmaars adviesbureau met malware infecteerden en op zoek waren naar financiële gegevens over de erfenis van Willem Endstra, de in 2004 geliquideerde vastgoedhandelaar.

Dat meldt het Nederlandse onderzoeksbureau Digital Investigation, dat het onderzoek naar de cybercriminelen uitvoerde. Het onderzoeksbureau werd eind 2013 ingeschakeld door een advocatenkantoor, omdat er geprobeerd zou zijn om bij het kantoor in te breken. Het advocatenkantoor bleek niet het doelwit te zijn, maar werd gebruikt als afzender van kwaadaardige e-mails die naar de uiteindelijke slachtoffers werden gestuurd. Deze e-mails waren voorzien van een linkje dat naar een kwaadaardige website wees.

Het advocatenkantoor maakte gebruik van een domeinnaam eindigend op .nl voor de website. De aanvallers hadden de .com-versie van deze domeinnaam geregistreerd en de website tot in het kleinste detail nagebouwd. Op deze nagebouwde website werd vervolgens malware geplaatst en met linkjes in e-mailberichten verder verspreid. Eveneens gebruikten de aanvallers Google Docs om de bestanden onder hun slachtoffers te verspreiden. De malware die de verdachten gebruikten hadden ze gemaakt via een commercieel verkrijgbaar botnetpakket.

Inside knowlegde

Volgens Digital Investigation beschikten de aanvallers over 'inside knowlegde' en konden daardoor e-mailberichten opstellen die bij de ontvangers geen argwaan opwekten. Daarnaast werden verschillende afzenders gebruikt die allemaal bekenden waren voor de ontvangers van de e-mailberichten. Het bestand waarnaar werd gelinkt leek een PDF-bestand te zijn, maar was in werkelijkheid een uitvoerbaar bestand. Een bekende truc onder cybercriminelen. Windows geeft standaard de bestandsextensie niet weer, waardoor een bestand eindigend op .pdf.exe als .pdf wordt weergegeven.

Blunder

De zaak kwam in een stroomversnelling dankzij een blunder van één van de verdachten. Die had in het verleden bij een DDoS-dienst een account aangemaakt. Via deze dienst is het mogelijk om DDoS-aanvallen te bestellen. De man had dit echter vanaf zijn eigen IP-adres gedaan. De DDoS-dienst werd begin vorig jaar gehackt en de gegevens ervan verschenen online. Daardoor konden IP-adressen met specifieke e-mailadressen en gebruikersnamen worden vergeleken. Een belangrijk gegeven voor het onderzoek, waardoor uiteindelijk de locatie van de daders kon worden achterhaald.

Opdrachtgever

Nadat de aanvallers in kaart waren gebracht was de zaak volgens de onderzoekers nog niet opgelost, omdat de aanvallers waarschijnlijk in opdracht van iemand anders opereerden. Daarom werd besloten ook deze opdrachtgever te vinden. Om dit voor elkaar te krijgen werd er een honeypot ingericht. Op deze 'lokcomputer' plaatste Digital Investigation in samenwerking met het advocatenkantoor documenten die mogelijk de interesse van de onbekende opdrachtgever zouden wekken.

Vervolgens werden deze documenten door het onderzoeksbureau voorzien van technische slimmigheden die de identiteit van de dader zouden kunnen onthullen. Het kan bijvoorbeeld gaan om het laden van content of het aanroepen van een specifiek IP-adres, waarbij het IP-adres van degene die het document opent wordt teruggestuurd. Het onderzoeksbureau benadrukt dat hierbij geen enkele sprake is geweest van terughacken.

Eind januari bleek dat één van de aanvallers zich toegang tot de honeypot had verschaft. Uiteindelijk werd één van de geprepareerde documenten door de opdrachtgever van de aanvallers geopend. Met deze informatie kon de opdrachtgever worden geïdentificeerd en werd het Team High Tech Crime ingeschakeld om de zaak verder af te ronden.