Een Italiaanse man die begin dit jaar door Nederland aan de Verenigde Staten werd uitgeleverd is veroordeeld tot een gevangenisstraf van 1 jaar en een boete van 100.000 dollar wegens het beheren van een botnet dat uit NAS-apparaten en servers bestond waarmee clickfraude werd gepleegd.

Dat laten het Amerikaanse ministerie van Justitie en Forkbombus Labs weten (pdf). Forkbombus onderzocht het botnet en werkte hierbij samen met de FBI. De Italiaan, die in april werd aangeklaagd, maakte gebruik van kwetsbaarheden in Qnap NAS-apparaten. De apparaten waren kwetsbaar voor het Shellshock-lek uit 2014 en via poort 80 toegankelijk. Via de kwetsbaarheid werd er een backdoor-account geïnstalleerd en een ssh daemon op poort 26 ingesteld. Om misbruik door andere criminelen te voorkomen werd het Shellshock-lek in de NAS-apparaten gepatcht.

Het werkelijke doel van de aanval was het installeren van malware waarmee clickfraude werd gepleegd. Deze malware deed zich voor als een webbrowser en simuleerde vervolgens menselijke clicks op advertenties die werden gehost op websites van de Italiaanse man. De Italiaan werd vervolgens door nietsvermoedende advertentiebedrijven voor deze nepclicks betaald. In totaal werden meer dan 2500 Qnap NAS-apparaten in 70 landen, alsmede 100.000 servers wereldwijd, besmet. In de aankondiging bedanken de Amerikaanse autoriteiten het Nederlandse ministerie van Justitie voor de aanhouding en uitlevering van de Italiaan.