Cybercriminelen die honderdduizenden systemen in Nederland en Duitsland konden aansturen via het Pobelka-botnet, waren niet alleen inlogdata aan het inzamelen, maar ook informatie over de structuur van interne netwerken. Deze informatie kan ingezet worden voor vervolgaanvallen.
Dat concluderen SurfRight en Digital Investigation in een onderzoek naar het Citadel-malwareplatform en het Pobelka-botnet dat gebruik maakt van Citadel. Aanleiding voor de research naar de schadelijke software was een malware-aanval via de website van De Telegraaf. De onderzoekers kwamen al snel uit op een command-and-control-server die verder is onderzocht. Daaruit bleek dat het Pobelka-botnet meer dan 264.000 zombies telde die vooral in Nederland en Duitsland waren te vinden. Niet alleen computers van bedrijven waren veelal onopgemerkt besmet geraakt, maar ook veel overheidssystemen.
Uit een analyse van gestolen data bleek dat de aanvallers met buitgemaakte inloggegevens op webpagina's van onder andere uitgevers konden inloggen om zo kwaadaardige code die naar malware verwees te kunnen plaatsen. Er werden onder andere logingegevens aangetroffen voor systemen van De Telegraaf. Ook via de sites van Weeronline.nl en RTV West werd de afgelopen maanden malware verspreid. Verder werd op de command-and-control-server configuratiedata aangetroffen om geld te stelen bij drie Nederlandse banken: ING, ABN Amro en ASN Bank.
Volgens Surfright en Digital Investigation had het Pobelka-botnet niet alleen koppelingen met de Dorifel-malware, een virus dat onder andere bij de overheid voor problemen zorgde, maar de criminelen zouden het botnet ook gebruikt hebben om interne netwerken en alle aangesloten apparatuur in kaart te brengen. Deze informatie zou doorverkocht kunnen zijn aan derden, bijvoorbeeld schurkenstaten, zo stellen de schrijvers van het onderzoek. Concreet bewijs wordt daarvoor echter niet aangedragen.
De Citadel-malware, een compleet malwareplatform dat voor enkele duizenden dollar op de zwarte markt te koop is en van professionele support voorzien kan worden, blijkt vernuftig in elkaar te steken. De malware kan zich goed verstoppen voor vrijwel alle gangbare antivirussoftware en het weet zich in alle bekende browsers te nestelen. Dat cybercriminelen met het op Citadel gebaseerde Pobelka-botnet zo gericht, ongemerkt en op grote schaal in Nederland konden opereren, is volgens de onderzoekers dan ook te danken aan de geraffineerde en professionele wijze waarop de Citadel-malware is opgebouwd.
bron: tweakers.net