2min

Europol heeft in samenwerking met verschillende organisaties waaronder Intel en de FBI maar ook de Nederlandse politie een zeer geavanceerd botnet offline gehaald. Het botnet verspreidde verschillende soorten malware en bestond uit tienduizenden computers.

Het botnet bestaat al sinds 2009 maar werd uiteindelijk pas door Intel in 2013 ontdekt. De reden dat het allemaal zolang heeft geduurd is omdat het gaat om een zeer geavanceerd botnet dat zichzelf blijft verplaatsen. en waarvan de malware ook van vorm blijft veranderen. Daardoor was het moeilijk om de malware te volgen en uiteindelijk de "command en control-servers" te achterhalen, die bleken uiteindelijk onder andere in Nederland te staan. Intel heeft het botnet in maart 2013 ontdekt en had tot en met september van 2014 nodig om voldoende gegevens te verzamelen om het botnet ook daadwerkelijk offline te halen.

Daar kwamen vervolgens Europol en de FBI bij kijken, omdat de meeste geïnfecteerde computers in de Verenigde Staten staan, terwijl de meeste "command en control-servers" die het botnet aanstuurden in Europa stonden, waaronder een aantal in Nederland. Daarbij werd ook de Team High Tech Crime van de Nederlandse politie ingeschakeld, die werken vervolgens weer nauw samen met het Europese Joint Cybercrime Action Taskforce (J-CAT). J-CAT is een Europees samenwerkingsverband om cybercriminaliteit te bestrijden en werd vorig jaar september pas opgericht. Dit was dan ook meteen de eerste grote actie van J-CAT.

Inmiddels is het botnet in handen van de autoriteiten en wordt er als het goed is geen malware meer verspreid. Op dit moment hebben F-Secure, McAfee, Symantec en Trend Micro hun beveiligingsssoftware al bijgewerkt om de malware onschadelijk te maken.

Bij deze vorm van geavanceerde malware is het nooit helemaal zeker dat de autoriteiten een botnet hebben uitgeschakeld. Hoewel de autoriteiten veel van de ip-adressen en domeinnamen in beslag hebben genomen gebeurd het nog weleens dat bepaalde adressen aan de aandacht van de autoriteiten zijn ontsnapt omdat botnets zo vaak van adres wisselen. Mochten ze één adres zijn vergeten dan kunnen de daders achter het botnet eenvoudig een doorstart maken.