De Amerikaanse FBI heeft het grootste cybercrimenetwerk in de geschiedenis opgerold. Er zijn zes hackers uit Estland gearresteerd, die een botnet creëerde dat vier miljoen pc's infecteerde in honderd landen. De criminelen konden hierdoor de advertentiemarkt op internet manipuleren. Bij de actie was ook de Cybercrime-afdeling van de Nederlandse KLPD betrokken.
Het botnet infecteerde pc's zonder dat de eigenaar hiervan op de hoogte was. Het paste de instellingen van de DNS-server aan, waardoor internetgebruikers naar een buitenlands IP-adres werden gestuurd. Securityleverancier Trend Micro heeft met de FBI samengewerkt om de mannen iop te sporen. De FBI gaf de actie de naam 'Operation Ghost Click' mee.
KLPD
Operation Ghost Click duurde twee jaar. Inmiddels zijn de servers uit het cybercrimenetwerk uitgeschakeld. Er is door de cybercriminelen ongeveer veertien miljoen dollar aan illegale inkomsten uit internetadvertenties gegenereerd. In Amerika raakte ongeveer vijfhonderdduizend apparaten geïnfecteerd, waaronder systemen van ruimtevaartorganisatie NASA. Over eventuele infecties in Nederland heeft de FBI nog geen informatie vrijgegeven. De FBI werkte wel samen met de Cybercrime-afdeling van de Nederlandse politie. Over de precieze rol van de KLPD werden geen uitspraken gedaan.
De hackers gebruikten het programma DNS Changer om gebruikers, zonder dat zij het wisten, naar hun servers te sturen, waardoor ze de online activiteiten konden manipuleren. Wanneer de gebruiker bijvoorbeeld naar de link van de officiële iTunes-website ging, werd hij naar een bedrijf gestuurd dat niks met Apple te maken heeft. Daar zou Apple-software te koop zou zijn, wat niet zo was. Hiermee genereerden de cybercriminelen hun inkomsten.
Rove Digital
Trend Micro zegt dat achter het botnet aanjaagt sinds 2006. De cybercriminelen handelden onder de bedrijfsnaam Rove Digital, wat een moederbedrijf is van Esthost, Estdomains, Cernel en vele anderen. Rove Digital leek een normaal ict-bedrijf waarin mensen netjes van negen tot vijf aan het werk waren. Het 'bedrijf' wist miljoenen aan illegale winsten binnen te halen door de bots. In 2008 haalde provider Atrivo in San Francisco al servers weh, waardoor het dochterbedrijf Esthost offline werd gehaald. Tegelijkertijd raakte de baas van Rove Digital, Vladimir Tsastsin, zijn accreditatie bij internetregistratiebedrijf ICANN kwijt, omdat hij creditcardfraude had gepleegd in Estland.
Het was in 2008 al duidelijk dat Esthost veel criminelen in zijn klantenbestand had, maar het was niet bekend dat zowel Esthost als Rove Digital er op grote schaal criminele activiteiten op het net op na hielden. Rove Digital hostte Trojans en beheerde C&C-servers en malafide DNS servers. Bovendien beheerden ze de infrastructuur die de frauduleuze clicks door het programma DNS Changer werden geregistreerd.
Koppen schrijven blijft lastig hè?
Door te schrijven “FBI rolt grootste cybercrime-netwerk ooit op” lees ik eigenlijk dat ze het ooit zullen oprollen, maar dat het nu nog niet lukt.
Dat terwijl de inhoud het tegendeel beschrijft.
Taal en ICT… gaat soms moeilijk samen.
Dit geeft nog weer eens aan dat deze vorm van criminaliteit professioneel wordt opgezet en genoeg oplevert om risico’s te lopen. Dat staat dan ook haaks op de vaak nog naïeve instelling van overheden en burgers dat het allemaal wel meevalt en zal het potentiële verdienmodel voor deze criminelen alleen maar groeien. Dit zal uiteindelijk een van de hoofdoorzaken worden waarom het internet het vrije karakter als het nu heeft zal verliezen.
Ter geruststelling, ik (en ik vermoed anderen met mij)
hadden de kop wél goed opgevat, met de klemtoon op ooit.
“FBI rolt grootste cybercrime-netwerk ooit op”
Het is gewoon goed Nederlands.
Het zou ook erg onwaarschijnlijk zijn dat ze in deze context een stuk zouden schrijven over iets dat nog niet heeft plaatsgevonden, dus iemand met een normaal taalgevoel leest dit wel op de goede manier.
Het is te hopen dat de investeerders/witwassers achter het botnet ook allen gepakt en geplukt worden.
Voor meer informatie zie ook:
http://www.fbi.gov/news/stories/2011/november/malware_110911/malware_110911
,
http://inmoscowsshadows.wordpress.com/2011/11/09/operation-ghost-click-fbi-and-friends-take-down-major-russian-and-estonian-cybercrime-operation//
en
http://voices.washingtonpost.com/securityfix/2008/09/estdomains_a_sordid_history_an.html