image

Politie haalt IoT-botnetservers offline en arresteert verdachten

woensdag 2 oktober 2019, 13:19 door Redactie, 9 reacties

De politie heeft vijf servers offline gehaald die werden gebruikt voor het aansturen van een Internet of Things-botnet. Tevens zijn twee mannen aangehouden op verdenking van computervredebreuk en het verspreiden van malware. Het ging om een variant van de beruchte Mirai-malware die IoT-apparaten besmet.

Het IoT-botnet werd gebruikt voor het uitvoeren van ddos-aanvallen tegen websites en betaaldiensten, aldus de politie. Ook zochten de besmette apparaten naar andere kwetsbare systemen. Rechercheurs van de Dienst Landelijke Recherche kwamen de servers op het spoor door informatie van het Nationaal Cyber Security Centrum (NCSC).

De informatie leidde naar een Nederlands hostingbedrijf dat gebruikmaakte van servers in een Amsterdams datacentrum. Over het betreffende hostingbedrijf werden in een periode van een jaar ruim drieduizend meldingen gedaan van malwareverspreiding. De servers zijn offline gehaald en worden nu onderzocht door de politie. Er zal onder andere worden gekeken voor welke ddos-aanvallen het botnet verantwoordelijk was.

De Mirai-malware maakt onder andere gebruik van standaardwachtwoorden om zich te verspreiden. De politie adviseert eigenaren van IoT-apparaten dan ook om het standaardwachtwoord van hun devices te wijzigen. In het geval van besmette IoT-apparaten is de malware te verwijderen door het apparaat in kwestie te herstarten. De twee aangehouden mannen komen uit Veendam en Middelburg en zijn respectievelijk 24 en 28 jaar.

Reacties (9)
02-10-2019, 13:40 door Power2All
Amsterdam en bulletproof hosting... Ja ik geloof daar enigzins weinig van.
Er staat ook eentje waar ik voor gewerkt had, die ook alles accepteerde kwa klanten, zolang ze maar betaalde.
Dagelijks DDoS en downtime...
Ben benieuwd om welke hosting partij en datacenter het ging.
02-10-2019, 14:22 door Anoniem
Door Redactie: De politie adviseert eigenaren van IoT-apparaten dan ook om het standaardwachtwoord van hun devices te wijzigen.

Een standaardwachtwoord zou verboden moeten worden. Alleen het wachtwoord wijzigen is nog lang niet genoeg. Na het internationale debacle met hun maandenlang lekkende VPN applicatie heeft Pulse Secure iets goed te maken: een "IoT Best Practices Guide", dus begin maar met lezen van hun IoT whitepapers.

https://www.pulsesecure.net/resource/iot-best-practices-guide/
02-10-2019, 14:54 door Anoniem
Zullen we maar gewoon een digitaal hek rond Amsterdam zetten? Al die gevaarlijke IoT-servers daar ook!
02-10-2019, 15:33 door Anoniem
Goede actie van de politie!!!
Ga zo door dames en heren.
Mijn steun hebben jullie!
02-10-2019, 15:39 door Anoniem
L.S.

Ze hangen ook alles maar aan Interwebz, want makkelijk te beheren toch, bijvoorbeeld die firma led verlichting,
een IoT lampje besmet hele firma-infrastructuur besmet, het gaat letterlijk rond als "een lopend IoT bot-vuurtje".

Gemak dient de mens en dus ook de cybercrimineel en de onverantwoordelijke producent
van al die rotzooi in de wegwerpmaatschappij.

Wel mauwen om een bitterballetje meer of minder vanwege de ingezette klimaatgekte,
maar deze reuzendreiging laat men voortwoekeren.

Het lijkt wel of men van onveilige situaties geniet, of men erop kickt a.h.w.

Standaard wachtwoorden ook bij JAVA development,
je upgrades werken ineens niet meer,
want je moet eerst een java-wachtwoord invoeren bij het juiste protocol,
anders blijft alles bij het oude en dus onveilig.

Alles is niet zo vanzelfsprekend.
"Leer om te weten, weet om te kunnen en slagen zal je loon zijn".

Wat een ongelooflijke droeftoeters dus, die Mirai aanstuurders.

Kijk eens op URLhaus: https://urlhaus.abuse.ch/
onder database bij het overzicht van deze litanie
en verbaas je over de omvang van deze ellende.
Of meldt zelf daar anoniem de malware URLs, die je tegenkomt.

Jodocus Oyevaer
02-10-2019, 15:55 door Anoniem
Goed gedaan, beste vriend.
03-10-2019, 21:02 door Anoniem
Door Power2All: Ben benieuwd om welke hosting partij en datacenter het ging.

Het politiebericht doet daar geen uitspraken over. Vermoed dat het een bijvangst is, gedaan bij de Nederlands-Duitse opruimactie van de Amsterdamse restanten van de "CyberBunker", van ex-kraker Sven K. en consorten.

https://tweakers.net/nieuws/157934/nederlander-achter-cyberbunker-was-eigenaar-gesloten-datacenter-in-navo-bunker.html
08-10-2019, 11:13 door Anoniem
Door Anoniem:
Door Power2All: Ben benieuwd om welke hosting partij en datacenter het ging.

Het politiebericht doet daar geen uitspraken over. Vermoed dat het een bijvangst is, gedaan bij de Nederlands-Duitse opruimactie van de Amsterdamse restanten van de "CyberBunker", van ex-kraker Sven K. en consorten.

https://tweakers.net/nieuws/157934/nederlander-achter-cyberbunker-was-eigenaar-gesloten-datacenter-in-navo-bunker.html

Ook volgens de NOS is de hoofdverdachte de 59-jarige Nederlandse beheerder, van het voormalige NAVO bunker terrein van Traben-Trarbach, een zekere Herman-Johan X, de vroegere eigenaar van de oude bunker in het Zeeuwse Kloetinge

https://nos.nl/artikel/2305170-verdachten-datacentrum-navo-bunker-groep-anarchisten-die-aan-alles-lak-heeft.html

Het onderzoek naar de Duitse bunker liep al sinds 2015. Volgens de Duitse politie kan het vervolg, voor het uitlezen van de geconfisqueerde servers, nog maanden tot jaren gaan duren.

Opmerkelijk is dat krebsonsecurity.com inhoudelijk goed ingelicht lijkt te zijn over deze zaak. Het kan daarom wel eens een Atlantisch gecoordineerde Interpol actie zijn geweest, een agenda om dit soort praktijken uit te bannen.

Aangezien Duitsland de nucleaire achtertuin van de Amerikanen is, en ze de ontplooiing van dit soort criminele bedrijfsvoeringen daar niet kunnen pruimen, is in dit verband de volgende berichtgeving zeker ook van belang:

https://www.security.nl/posting/626782/Onderminister+VS%3A+end-to-end-encryptie+zorgt+voor+wetteloze+plekken
08-10-2019, 13:25 door Anoniem
Door Anoniem: Opmerkelijk is dat krebsonsecurity.com inhoudelijk goed ingelicht lijkt te zijn over deze zaak. Het kan daarom wel eens een Atlantisch gecoordineerde Interpol actie zijn geweest, een agenda om dit soort praktijken uit te bannen.

Klein detail. Het was Europol, maar ga er gemakshalve maar van uit dat kopieën van de harde schijven van die servers inmiddels ook zijn gedeeld met de NSA. Die zijn vast ook heel blij mee.

De Duitse politie zat al sinds eind 2018 in de systemen van de CyberBunker, vermoed ik. De inloggegevens van "Wall Street Market" zijn begin mei 2019, na een "exit scam", op een ander ondergronds forum uitgelekt:

https://www.security.nl/posting/607514/Duitse+politie+haalt+online+marktplaats+Wall+Street+Market+offline

Na de laatste actie is er ook een paar dozijn andere ondergrondse fora opgedoekt, waaronder "Cannabis Road", het Zweedstalige "Flugsvamp" en de pillenboer "Orange Chemicals". Er zijn 13 arrestaties verricht, waaronder 1 vrouw.

Daar komen nog de 2 arrestaties in Nederland bij. De polizei persvoorlichting van het Landeskriminalamt Rheinland-Pfalz maakt er gewag van dat ze de georganiseerde cybercriminaliteit een zware slag zouden hebben toegebracht:

LKA-RP: Schwerer Schlag gegen Cyberkriminelle
https://www.presseportal.de/blaulicht/pm/29763/4387169
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.