woensdag, 2. oktober 2019 - 17:48 Update: 02-10-2019 17:57

Politie haalt 5 servers van botnet offline

Foto: Pixabay/dlohner

Amsterdam/Driebergen

De politie heeft vijf servers offline gehaald die gebruikt werden voor de aansturing van een versie van een zogenoemd botnet. De hardware is in beslag genomen en de bedrijfsvoering stilgelegd. Een 24-jarige man uit Veendam en een 28-jarige man uit Middelburg zijn dinsdagavond aangehouden. Zij worden onder andere verdacht van computervredebreuk en het verspreiden van malware.

Nationaal Cyber Security Centrum

Rechercheurs van de Dienst Landelijke Recherche kwamen de servers op het spoor via informatie afkomstig van het Nationaal Cyber Security Centrum. Na onderzoek kwam de politie uit bij een Nederlands hostingbedrijf dat gebruikmaakte van servers in een datacentrum in Amsterdam. De servers zijn offline gehaald en worden onderzocht door de politie.

Mirai-botnet

De aansturingsservers van een versie van het Mirai-botnet werden bij een zogenoemde bulletproof hoster gehost. Dat is een hostingprovider die online criminele diensten levert. De servers die offline zijn gehaald stuurden een botnet aan dat voor een groot deel bestond uit Internet-of-Things (IoT) apparaten. Denk bijvoorbeeld aan slimme thermostaten, koelkasten, eigenlijk alles wat gekoppeld kan worden aan het internet. Een botnet maakt van al deze apparaten een netwerk. Met behulp van het Mirai-botnet werden steeds meer IoT-apparaten geïnfecteerd. De apparaten werden vervolgens ingezet om Distributed Denial of Service (DDoS) aanvallen uit te voeren op onder andere websites of betaaldiensten.

Hosting

De servers die in Nederland geplaatst waren, zorgden voor de aansturing van dit botnet, de ‘Command-and-Control’ servers. Met behulp van deze servers werden besmette IoT-apparaten (bots) aangestuurd. Deze bots scannen voortdurend IP-adressen op zoek naar andere kwetsbare IoT-apparatuur. Indien er werd vastgesteld dat er zich achter een IP-adres kwetsbare apparatuur bevond, werd er een aanval uitgevoerd en malware geïnstalleerd. De C&C-servers stuurden het botnet van geïnfecteerde apparaten vervolgens aan, zodat ze gebruikt konden worden voor een DDoS-aanval.

Servers uit de lucht

Met het offline halen van deze servers bij de bulletproof hoster is een slag toegebracht aan een infrastructuur die wereldwijd aanvallen uitvoerde. Hiermee is de aansturing van het bestaande Mirai-botnet onmogelijk gemaakt en infecties van nieuwe apparaten door dit botnet voorkomen. Over de betreffende bulletproof hoster werden ruim drieduizend meldingen gedaan van malwareverspreiding in een periode van een jaar. Ook kwam in het onderzoek naar voren dat dit botnet zeer agressief andere apparaten probeerde te infecteren, tot ruim een miljoen pogingen per maand op een apparaat. Welke DDoS-aanvallen kunnen worden toegeschreven aan dit botnet maakt deel uit van het verdere onderzoek.

Categorie:

nieuws

Provincie:

Noord-Holland

Blik op 112:

Politie

Tag(s):