Home » Technology » Security » Game over voor ‘de Businessclub’

Game over voor ‘de Businessclub’

Tech Page One

Game over voor ‘de Businessclub’

 

Tijdens het vorige Black Hat congres in Las Vegas werd bekendgemaakt dat de firma Fox-IT in samenwerking met de FBI en de United States Secret Service direct betrokken was bij het oprollen van een enorm cybercrime-netwerk. Dit criminele netwerk, ‘Businessclub’ genaamd, bestond uit een vijftigtal individuen, die de afgelopen vijf jaar betrokken waren bij verschillende soorten internetfraude. 

De Businessclub gebruikte voor het uitvoeren van zijn activiteiten een op ZeuS-gebaseerde malware-familie, die actief was van 2011 tot begin 2014. De auteur van de software is Slavik, een schuilnaam voor href=”https://www.fbi.gov/wanted/cyber/evgeniy-mikhailovich-bogachev”>Evgeniy Bogachev. Slavik is door de FBI in juni 2014 in staat van beschuldiging gesteld, maar is tot op heden nog op vrije voeten. Er is een beloning van drie miljoen dollar uitgeloofd voor degene die informatie kan geven die kan leiden tot zijn aanhouding. De kans daarop lijkt klein, want het vermoeden bestaat dat Slavik door Rusland in bescherming wordt genomen. Want zo lang dit heerschap met zijn strafbare activiteiten niet de Russische belangen schaadt mag hij ongestraft zijn gang in de rest van wereld begaan.

Geschiedenis van ZeuS

De ZeuS-malware bestaat al ruim tien jaar en is een van de meest bekende malware-tools ter wereld. Oorspronkelijk werd het alleen in Oost-Europa en de Russische regio gebruikt, maar werd al snel over de hele wereld verspreid. ZeuS is een malware-kit die voor verschillende doeleinden kan worden gebruikt. De kracht ervan ligt vooral in de manipulatie van de browser door middel van dynamische configuratie. Hiermee kunnen in de browser geladen webpagina’s, of die nu afkomstig zijn van een http- of https-bron, aangepast worden voordat ze in de browser worden getoond. Die aanpassingen kunnen betrekkelijk eenvoudig zijn maar ook geavanceerd, zoals het injecteren van een volledig Javascript-framework.

‘Business-resultaten’

Game over voor ‘de Businessclub’Maar wat zijn nu eigenlijk de tot dusver behaalde ‘resultaten’ van deze Businessclub? Dat blijken er heel wat te zijn. Door middel van ZeuS botnet-operators werden enorme hoeveelheden data van hun slachtoffers gestolen. Zo heeft de ZeuS-groep in de periode 2009 tot 2014 tussen de twintig en dertig terabyte aan data weten te vergaren. Die data werd onder andere gebruikt om financiële fraude te plegen, wat meestal inhield dat zakelijke bankrekeningen werden overgenomen. Om het geld weg te sluizen werden bankrekeningen gecreëerd in landen als China, Hong Kong, Cyprus en Letland. Naar schatting incasseerden banken hierdoor honderd miljoen dollar aan verliezen. Een andere  inkomstenbron voor de Businessclub was de CryptoLocker-ransomware. Dit is een betrekkelijk eenvoudige manier om geld bij slachtoffers af te troggelen. Hun data werd ongewild versleuteld en na betaling van losgeld kregen zij een sleutel waarmee het systeem weer ontgrendeld kon worden. De geruchten doen de ronde dat zelfs een buitenlandse politie-organisatie daarvan het slachtoffer werd en noodgedwongen heeft betaald.

Politieke spionage

Naast het beroven van financiële instellingen hield de Businessclub zich ook met spionage bezig. Fox-IT ontdekte bijvoorbeeld dat de club naar specifieke informatie zocht over de buitenlandse inlichtingendiensten van Georgië, Turkije en Ukraine. Daarnaast werd er ook gespioneerd onder de leden van de OPEC. Dit is  duidelijk een signaal dat er niet enkel politieke motieven waren, maar ook economische. Na de recente politieke veranderingen in de Ukraine werd het tot dusver met name voor bankfraude gebruikte botnet ook ingezet om een grote hoeveelheid infecties te  verspreiden. Die werden daarna weer gebruikt om naar specifieke politiekgevoelige informatie te zoeken.

Gevaar voor Nederland

Lopen wij in Nederland nu ook gevaar om slachtoffer te worden van dergelijke malware-praktijken? Absoluut. Al in 2013 meldde professor Michel van Eeten van de TU Delft dat vijf procent van alle systemen in Nederland besmet is met botnets. Ongetwijfeld zal dit percentage de afgelopen jaren verder zijn gegroeid. De vraag is of je je als bedrijf tegen dit soort geavanceerde botnet-software kunt beschermen. Veel ondernemingen leven in de veronderstellingen dat ze met hun geavanceerde firewalls, tweede generatie switches en virusscanners genoeg beschermd zijn. Dat is helaas niet waar. Alleen met streng gecontroleerde security-policy’s en regels die door het hele bedrijf aanwezig zijn en een up-to-date IT-securityarchitectuur wordt voldoende bescherming geboden. Maar afgezien daarvan blijft het een doorlopende strijd om de criminaliteit een slag voor te blijven en nieuwe bedreigingen op het internet af te slaan. Daarmee verschilt het niet met de uitdagingen waar de politie dagelijks mee geconfronteerd wordt. Maar uiteindelijk is het niet de techniek die een organisatie veilig maakt. Het is veel belangrijker om als bedrijf vakkundige professionals in huis te hebben die dagelijks naar je netwerk kijken en regelmatige interactie hebben met hackers die proberen in te breken. Die regelmatige interactie is essentieel om  je kennis op niveau te houden en alert te blijven.

Meer achtergrond over de Businessclub en het ZeuS-botnet is te lezen in een whitepaper.

 

 

Ronald Prins

Ronald Prins

Ronald Prins is directeur en medeoprichter van Fox-IT. Hij studeerde Technische Wiskunde aan de TU Delft en heeft zich daarna gespecialiseerd als cryptograaf. Bij het Nederlands Forensisch Instituut was hij werkzaam als wetenschappelijk onderzoeker. In het kader hiervan heeft hij vele beveiligingen doorbroken waar de politie tegenaan liep bij het uitvoeren van hun onderzoeken. Daarnaast is hij medeverantwoordelijk voor de inzet van nieuwste methoden om digitale informatie voor rechercheonderzoeken te verkrijgen. In 1999 heeft hij samen met Menno van der Marel Fox-IT opgericht.

Laatste Artikels:

 

Tags: Security, Technology