D9D1E2 - datalek - Criminelen bemachtigen d.m.v. botnet Pobelka grote hoeveelheid gevoelige gegevens (2013-02-14)

Organisatie

Diverse organisaties.

"[...] duizenden bedrijven en overheidsinstellingen [...] De NOS kreeg toestemming om twee dagen in het gigantische databestand rond te neuzen en vond veel gegevens afkomstig van computers van onder meer gemeenten, waterschappen, ziekenhuizen, universiteiten, ministeries, media, ondernemingen en bedrijven die deel uitmaken van de vitale infrastructuur zoals energie- en waterleidingmaatschappijen." [NOS, 2013-02-14]

Verwerking

Diverse verwerkingen.

Betrokkenen

Diverse categorieën van betrokkenen.

Soort (persoons)gegevens

"Computerbestanden van energieproducenten, mediabedrijven, ziekenhuizen, universiteiten, luchtvaartmaatschappijen en andere bedrijven [...] Het gebruikte virus bracht steeds het bedrijfsnetwerk in kaart en kopieerde intussen alle ingetikte inlogcodes, vertrouwelijke mails, rapporten over bedrijfsprocessen, toegangscodes voor servers en creditcardgegevens." [NOS, 2013-02-14]

"Het bleek onder andere om de netwerkindeling van een grote multinational te gaan, lopende zaken van een gerenommeerd advocatenkantoor en komende rechtszaken, productontwikkeling van een technologisch hoogstaand bedrijf, welke medewerker op een ministerie precies aan welke Kamervragen werkt en de informatie die op diverse redacties circuleert. Maar ook zaken als welke software precies op welke computer staat, hoe de politie precies haar werk doet in een zaak, welke medewerkers in een ziekenhuis welke verslagen schrijven en de productiviteit van een ambtenaar die zijn dag vooral op Facebook besteedt." [Security.nl, 2013-03-20]

"De buitgemaakte gegevens zijn heel divers. Persoonidentificerende gegevens, bedrijfsinformatie (zoals concurrentiegevoelige informatie), informatie over de computer en kwetsbaarheden in software gebruikt door de getroffen organisatie of persoon hebben voor verschillende actoren een grote waarde en worden soms voor grote bedragen verhandeld. Kant-en-klare informatieverzamelingen die relatief eenvoudig te verhandelen zijn, zijn op deze manier steeds vaker te koop, zoals bijvoorbeeld creditcardgegevens. Persoonsidentificerende gegevens kunnen op eenzelfde manier verhandeld worden maar ook gebruikt worden voor identiteitsfraude of voor het misleiden van mensen, bijvoorbeeld met behulp van 'social engineering'." [NCSC, 2013-04-03]

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Beschrijving van het incident

"The Pobelka Botnet is a case study about -just another- citadel botnet. The botnet was dubbed Pobelka because the Command and Control that hid behind proxies used the domain name Pobelka***.***. Pobelka in Russian means 'Money Laundering'." [Digital Investigation, 2012-12-17]

"Computerbestanden van energieproducenten, mediabedrijven, ziekenhuizen, universiteiten, luchtvaartmaatschappijen en andere bedrijven zijn in handen gekomen van Oost-Europese criminelen. Die lopen nog steeds vrij rond en beschikken mogelijk nog over de computerbestanden. De cybercriminelen opereerden via een zogeheten botnet, een netwerk van computers, waarmee ze doordrongen tot 150.000 computers in Nederland. In totaal gaat het om 750 gigabyte aan data. " [NOS, 2013-02-14]

"De 750 GB aan data die Digital Investigation nog steeds in bezit heeft, komt vanaf een Command & Control-server die toebehoorde aan de herders van het botnet Pobelka, dat duizenden computers in Nederland had besmet. Die server stond in Duitsland, in een datacenter dat eigendom is van een Nederlands hostingbedrijf. Vanwege de fysieke ligging van de server kon de cyberpolitie eventueel zelf pas ingrijpen nadat al het papierwerk met de Duitse collega's was afgehandeld. Digital Investigation kreeg de server daarentegen in de schoot geworpen. 'De eigenaar van het datacenter reageerde op ons eerste bericht dat er wat met die server was nog vol ongeloof. De dag erna was hij geschrokken en gaf hij de controle over de server aan ons.'" [WebWereld, 2013-02-19]

"De onderzoekers van Fox-IT ontdekten dat de botnetbeheerder ook op verschillende fora actief was waar hij gericht naar Nederlandse geldezels/katvangers zocht. Het gaat dan om Nederlanders die hun rekening te beschikking stellen zodat [de botnetbeheerder] het geld van 'gehackte' bankrekeningen daar naartoe kan overmaken. Vervolgens maakt de katvanger het geld naar een andere rekening over of neemt een deel op en verstuurt dat via een geldkantoor zoals Western Union naar de cybercriminelen." [Security.nl, 2013-01-11]

Respons van de organisatie

"[De zegsman van het digitaal forensisch onderzoeksbureau Digital Investigation] heeft in december het Nationaal Cyber Security Centrum (NCSC) benaderd met een lijst van besmette computers. Het grote databestand zelf heeft het NCSC niet willen aannemen, omdat het mogelijk om gestolen materiaal gaat. Het NCSC zegt op basis van die lijst organisaties uit de vitale infrastructuur te hebben gewaarschuwd. Maar uit een steekproef van de NOS onder kwetsbare instellingen blijkt dat die van niets weten. Onder meer de waterleidingbedrijven, een grote energieproducent en ziekenhuizen zeggen niet benaderd te zijn door het NCSC met een specifieke waarschuwing. Sommige organisaties en bedrijven detecteerden zelf dat ze werden aangevallen en hebben maatregelen genomen, maar ze hebben nooit gehoord welke data uit hun computers zijn gestolen." [NOS, 2013-02-14]

"De data is inmiddels al maanden in het bezit van het ict-onderzoeksbedrijf en zou al eerder worden vernietigd. Dat is toen uitgesteld doordat na publiciteit veel bedrijven op zoek gingen naar hun data in de brei van 750 GB aan informatie. Die verzoeken via Surfcert komen nog steeds bij Digital Investigation binnen, zegt [een zegsman]. Het gaat tot nu toe om bijna 50 organisaties die -volgens [de zegsman- 'behoorlijk schrikken' als zij zien welke data vanuit hun bedrijf of instelling terecht is gekomen op de Command & Control-server van de beheerders van het Pobelka botnet. In totaal zou er informatie zijn van duizenden organisaties, waaronder NU.nl, de NOS, maar ook waterleiding- en energiebedrijven. [De zegsman] zegt 'na de piek aan informatie-aanvragen' over te willen gaan tot vernietiging van alle data. Hij wil niet wachten tot alle organisaties zich hebben gemeld. 'De deadline voor nog geïnteresseerde organisaties is 28 februari', zegt [de zegsman]. 'Op 1 maart vernietigen we de data.'" [WebWereld, 2013-02-19]

Nasleep van het incident

"Na de inbraak legde het digitaal forensisch onderzoeksbureau Digital Investigation het netwerk in september plat. De afdeling High Tech Crime van de politie kreeg een maand later van de onderzoekers een harddisk met een kopie van het bestand. Die harddisk bleek echter onleesbaar. De politie besloot toen geen verder onderzoek te doen. Pas gisteren hebben ze, na vragen van de NOS, om een nieuwe kopie gevraagd." [NOS, 2013-02-14]

"Minister Ivo Opstelten (Veiligheid) en het Nationaal Cyber Security Centrum (NCSC) 'hebben alles gedaan wat in ons vermogen lag' om ervoor te zorgen dat het Pobelka-botnet zo min mogelijk schade veroorzaakte. Dat zei Opstelten vandaag (vrijdag) na afloop van de ministerraad. Volgens de minister zijn alle getroffen bedrijven en instanties gewaarschuwd waarvan het IP-adres bij het centrum bekend was." [AG, 2013-02-15]

"Op dit moment is het NCSC vooral een centrale hub voor de Rijksoverheid, waar informatie binnenkomt over beveiligingsproblemen bij of voor diezelfde Rijksoverheid. [...] Verder heeft het NCSC een permanent overleg met het bedrijfsleven, zoals internetserviceproviders, banken en andere grotere spelers in Nederland. Ontdekte bedreigingen van virussen, buitenlandse overheden en cybercriminelen worden dan met elkaar gedeeld, al lijkt dat in eerste instantie eenrichtingsverkeer vanuit het NCSC. Ook in het geval van het Pobelkavirus en de diefstal van 750 GB aan informatie van duizenden bedrijven, overheden en organisaties in Nederland is die informatie gedeeld, zegt het NCSC. Dat gebeurde vanuit de eigen rol naar de Rijksoverheid en als deelnemer aan het permanente overleg met het bedrijfsleven onder meer naar de internetproviders [...]" [WebWereld, 2013-02-16]

"De data die door Digital Investigation van de Command & Control-server van het botnet Pobelka is gehaald en nu nog in het bezit is van dat forensisch onderzoeksbedrijf, wordt in de komende drie weken 'grondig geanalyseerd' door de AIVD, de militaire inlichtingendienst MIVD, het Openbaar Ministerie, het politieteam High Tech Crime en het Nationaal Cyber Security Center." [WebWereld, 2013-02-19]

"De data zou vernietigd kunnen worden omdat volgens [de zegsman van Digital Investigation] het Team High Tech Crime van de nationale politie inmiddels beschikt over een complete kopie van de 750 GB aan data. Overigens ontkent dat team dat zij alle data hebben. 'We hebben in eerste instantie een deel van de informatie aangeboden gekregen, maar die data bleek corrupt en dus onleesbaar', zegt [een] woordvoerder namens Het Team High Tech Crime. Na enkele gesprekken met [de zegsman van Digital Investigation] zou volgens haar gebleken zijn dat er geen link kon worden gemaakt met bestaande strafrechtelijke onderzoeken en dus zag de politie van verdere actie af. [De zegsman] wil die lezing van het team HTC nuanceren. 'We hebben inderdaad gesprekken gehad en ja, er kon geen link worden gemaakt met bestaande onderzoeken. Maar tijdens die gesprekken werd niets gezegd over corrupte data. Dat werd ons pas afgelopen week duidelijk. Verder was de politie volledig op de hoogte van al onze acties.' [de zegsman van Digital Investigation] wil benadrukken dat het team HTC 'zijn uiterste best heeft gedaan' het onderzoek naar deze C&C-server binnen bestaande onderzoeken te passen. 'Dit bleek simpelweg niet mogelijk. Maar er ligt inmiddels een volledige kopie van de data bij de politie.'" [WebWereld, 2013-02-19]

"In dit geval echter gaat het om het verkrijgen van dergelijke gestolen data door een privaatrechtelijke partij (het bedrijf Digital Investigations), dat ineens over gevoelige informatie beschikt, en nu dus met de verantwoordelijkheden zit die bij het beheer van dergelijke data horen. Toen zij hier de hand op hadden gelegd, op een wijze die tot nu toe niet helder is (wat is de rechtmatigheid hiervan?), hebben zij vanuit hun verantwoordelijkheidsbesef de politie ingeschakeld, alsmede het Nationaal Cyber Security Centrum (NCSC). Nu kunnen we aannemen dat het bedrijf te goeder trouw heeft gehandeld, maar de ontstane situatie roept wel enkele vragen op. Allereerst is daar de kwestie van bevoegdheden: indien een particuliere partij, opererend binnen de grenzen van de wet, de beschikking krijgt over een (grote) verzameling aan gestolen informatie - welke rechten en plichten heeft zij dan? Ten tweede rijst de vraag wat de positie van de ingeschakelde overheidsdiensten is, al dan niet met speciale bevoegdheden. In het algemeen mag je verwachten van politie en justitie dat zij zich in dienst stellen van het algemeen maatschappelijk belang, en dus onderzoeken in hoeverre dat belang in het geding is in het licht van de gestolen data. Hoever reikt echter die opvatting, en met welke doelstelling zullen politie en justitie de gevonden data gaan analyseren, en mogen zij dit überhaupt, zonder concrete aanwijzingen of verdenking jegens iets of iemand?" [AG, 2013-02-23]

"In eerste instantie kreeg het IT-beveiligingsbedrijf Digital Investigation via Leaseweb de beschikking over de inhoud van een command & controlserver van een Citadel-botnet (met de naam Pobelka). Omdat vermoed werd dat deze command & controlserver gerelateerd was aan de uitbraak van het Dorifel-virus, waar door het Team High Tech Crime (THTC) van de Landelijke Eenheid van de Politie al onderzoek naar werd gedaan, werd door Digital Investigation contact opgenomen met THTC en werd aangeboden om de gegevens van de command & control-server aan THTC te verstrekken. Op 16 oktober 2012 is door medewerkers van THTC een bezoek gebracht aan Digital Investigation. Door Digital Investigation is een kopie van de data op een harde schijf aan THTC overhandigd. Naar later bleek was deze schijf niet leesbaar. Op 20 november 2012 is door medewerkers van THTC wederom een bezoek gebracht aan Digital Investigation. In dat gesprek kwam naar voren dat er geen directe relatie kon worden gelegd met de uitbraak van het Dorifel-virus. Derhalve is door THTC niet om een nieuwe kopie van de data verzocht. Wel bleek uit het onderzoek van Digital Investigation dat een groot aantal Nederlandse bedrijven besmet was met de Citadel-malware. Hierop heeft THTC geadviseerd deze informatie te delen met het NCSC. Op 26 november 2012 heeft de teamleider van THTC de directeur van Digital Investigation in contact gebracht met het NCSC. Hierna heeft het NCSC met Digital Investigation overlegd. Naar aanleiding van dit overleg heeft het NCSC verzocht om het gedeelte van de dataset dat nodig is om respons naar haar achterban van Rijksoverheid en vitale sectoren mogelijk te maken. Dit gedeelte van de dataset betrof de IP-adressen, de computernamen en de tijdstippen waarop de geïnfecteerde computers actief waren binnen het botnet. Dit heeft het NCSC gedaan op grond van haar bestaande taken en bevoegdheden. Het NCSC had geen rechtsbasis om de resterende inhoudelijke en mogelijk gevoelige gegevens in te zien en te verwerken. De informatie was immers oorspronkelijk afkomstig van een misdrijf en bevatte persoonlijke gegevens en informatie waarvan de betrouwbaarheid en herkomst niet kon worden vastgesteld. Tevens stond niet vast stond hoe Digital Investigation deze informatie had verkregen. De van Digital Investigation ontvangen IP-adressen zijn in december 2012 na het verkrijgen door het NCSC gecontroleerd op aanwezigheid in de bij het NCSC bekende IP-ranges (reeksen van door het departement of de instelling gebruikte IP-adressen) van departementen en instellingen binnen de doelgroep van het NCSC: de overheid en de vitale sectoren. Naar aanleiding van de resultaten hiervan zijn een zestiental departementen en instellingen actief geïnformeerd over een mogelijke besmetting omdat een match met mogelijk besmette IP-adressen werd vastgesteld in de IP-range. Het NCSC beschikt niet over de IP-range van andere bedrijven of gebruikers. De overige IP–adressen zijn vervolgens en eveneens in december 2012 aangeboden aan de Internet Service Providers (ISP) om hen in staat te stellen hun klanten te informeren wanneer zou blijken dat deze mogelijk besmet zouden zijn. De reden hiervoor is onder meer dat ISP’s hierin een sleutelrol kunnen vervullen. Zij beschikken over de gegevens van de klanten, hebben de vertrouwensrelatie en kunnen ook problemen gericht oplossen." [Ministerie van Veiligheid en Justitie, 2013-03-18]

"Het NCSC gaat actief bedrijven en organisaties benaderen die getroffen zijn door het Pobelka-botnet. Dat kan nu doordat alle 750 GB aan gestolen data is geanalyseerd. Dat schrijft minister Opstelten vandaag aan de Tweede Kamer. Uit de analyse blijkt geen acuut gevaar voor de getroffen bedrijven en instellingen, maar de data kan wel worden gebruikt als springplank voor toekomstige aanvallen, zegt de minister. Het informeren van 'de eigenaren van de mogelijk getroffen informatiesystemen' gaat het NCSC een 'aanzienlijke tijdsinspanning' kosten, schrijft de minister verder. Hij denkt aan zes weken." [WebWereld, 2013-04-03]

"Gisteren werd duidelijk dat de minister en het NCSC de kwestie schromelijk onderschatten. In het NOS-Journaal bevestigde [de directeur] van het NCSC dat onderzoek door 'veiligheidsdiensten' [duidelijk] heeft gemaakt dat de omvang en mogelijke gevolgen toch zodanig ver [reikten], dat er bij nader inzien toch wel aanleiding is om de besmette - en dus ook vrijwel zeker bestolen - bedrijven en instanties alsnog op de hoogte te brengen van hun slachtofferstatus. Dit met de kennelijk als geruststellend bedoelde toevoeging dat de gestolen 750 gigabyte aan data geen acute bedreiging oplevert voor de nationale veiligheid of de bedrijfscontinuïteit. Op termijn misschien wel, vandaar waarschijnlijk het nu dan eindelijk geplande bericht aan de bestolenen." [AG, 2013-04-04]

"Op een Russisch forum voor cybercriminelen worden inloggegevens voor internetbankieren verkocht die door Citadel-botnets gestolen zijn. Citadel is een 'bouwdoos' voor het opzetten van een eigen botnet. Er is dus geen één groot Citadel-botnet, maar allerlei kleine Citadel-botnets die door verschillende botnetbeheerders beheerd worden. De malware was en is ook in Nederland actief." [Security.nl, 2013-05-17]

"Softwareleverancier Microsoft heeft samen met het Amerikaanse opsporingsdienst FBI een groot deel van het Citadel-botnet offline gehaald. Er werden ongeveer duizend subnetwerken onderuit gehaald, wat neerkomt op ongeveer tweederde van het botnet. Wereldwijd zouden er z’n vijf miljoen computers zijn besmet door Citadel. De FBI werkte samen met de politie in andere landen, waaronder ook de Nederlandse politie. [Computable, 2013-06-06]

"Volgens een Zwitserse beveiligingsonderzoeker was de actie van Microsoft en de FBI waarbij 1400 Citadel-botnets werden verstoord vooral een pr-stunt. De actie zou geen impact op Citadel hebben en de inbeslagname van domeinnamen zou veel beveiligingsprojecten hebben getroffen." [Tweakers.net, 2013-06-08]

"Met het oprollen van ruim 1400 Citadel-botnets heeft Microsoft een hoop schade veroorzaakt bij beveiligingsonderzoekers en beveiligingsbedrijven. Dat beweert de Zwitserse beveiligingsonderzoeker [...]. Vorige week voerde Microsoft 'Operation b54' uit, waarbij het van een rechter de controle over duizenden domeinnamen kreeg. De Citadel-botnets gebruikten deze domeinnamen om met besmette computers, die onderdeel van de botnets waren, te communiceren. Toen de domeinnamen in handen van Microsoft kwamen, liet de softwaregigant ze naar een server van Microsoft wijzen. Vervolgens kunnen besmette gebruikers bijvoorbeeld worden gewaarschuwd. Deze techniek wordt 'sinkholing' genoemd en wordt al geruime tijd door onderzoekers en beveiligingsbedrijven toegepast, zowel voor onderzoek als commerciële reden. De informatie die de sinkholes opleveren kan bijvoorbeeld worden verkocht. Na de actie van Microsoft ontdekte [de beveiligingsonderzoeker] dat verschillende domeinnamen uit zijn sinkhole waren verdwenen." [Security.nl, 2013-06-10]

"Bij een grootschalige actie tegen cybercriminelen heeft Microsoft uiteindelijk 88% van de botnets weten uit te schakelen die gebruik van de Citadel-malware maakten." [Security.nl, 2013-07-26]