Ook cybercriminelen hebben moeite met het beveiligen van hun infrastructuur, zo blijk uit de recente operatie tegen het GameOver Zeus-botnet. Het botnet, dat uit honderdduizenden computers bestond, werd vorige week tijdens een internationale operatie geleid door de FBI en Europol overgenomen.

Waar eerdere pogingen om het botnet over te nemen faalden, werd er nu meer succes geboekt. Het onderzoek naar het GameOver Zeus-botnet zou al 2,5 jaar gaande zijn, zo laten anonieme bronnen tegenover IT-journalist Brian Krebs weten. GameOver Zeus onderscheidde zich door de P2P-infrastructuur.

Hierdoor werd het botnet niet direct via een centrale Command & Control-server bestuurd, zoals bij traditionele botnets het geval is, maar konden de besmette computers onderling opdrachten met elkaar uitwisselen. Een eerdere poging om het botnet over te nemen mislukte, wat kwam omdat er ook nog een proxy-laag werd gebruikt om de computers aan te sturen. Daar werd nu wel rekening mee gehouden.

Beveiliging

Volgens de bron die Krebs sprak is het verdedigen van een botnet van deze omvang en complexiteit zeer lastig. "Complexiteit is de vijand van security", merkt de bron op. Hij wijst op voorbeelden in de code van GameOver Zeus waarbij er features waren toegevoegd die het botnet moesten beschermen, maar er uiteindelijk voor zorgden dat het botnet kon worden overgenomen.

"Ze probeerden echt een botnet te bouwen dat niet kon worden overgenomen. Maar de botnetbeheerders kregen het niet voor elkaar. Ze kwamen erg dicht in de buurt, maar toch net niet helemaal." Het botnet beschikt over een back-upfunctie waarbij de besmette computers, als het P2P-gedeelte niet meer werkt, met een domeinnaam verbinding maken om te kijken of er nieuwe updates beschikbaar zijn. Elke week worden er duizend nieuwe domeinnamen gegenereerd waarmee de bots verbinding maken.

Internetbankieren

Een ander punt dat de bron opmerkt is dat GameOver Zeus vaak in verband wordt gebracht met het stelen van gegevens voor internetbankieren, zodat de malware vervolgens allerlei frauduleuze transacties kan uitvoeren. De botnetbeheerders hadden het echter op veel meer informatie voorzien, waaronder vertrouwelijke bedrijfsgegevens.

Inmiddels zijn verschillende partijen begonnen om de eigenaren van de besmette computers te waarschuwen. Dat is namelijk de enige oplossing om het botnet echt volledig uit te schakelen. In theorie kunnen de botnetbeheerders het botnet namelijk weer in handen krijgen, zo laat de bron weten. Of ze dat ook van plan zijn is de grote vraag. De botnetbeheerders zouden namelijk, tot grote verbazing van de betrokken partijen, geen enkele tegenstand hebben geboden toen het botnet werd overgenomen.