DELFT - De actie van Microsoft om een botnet op te rollen dat wordt gebruikt om bankrekeningen te plunderen is niet alleen mislukt, ook blijken criminelen een handje te zijn geholpen.

Tot die conclusie komt beveiligingsbedrijf Fox IT in een blogpost. Fox IT doet al langer onderzoek naar het Zeus-netwerk en de bijbehorende varianten.

Autoriteiten en beveiligers waren vergevorderd met het in kaart brengen van de criminelen die achter het Zeus-netwerk zitten, maar zullen nu delen opnieuw moeten doen door publicatie van gegevens uit het onderzoek.

In maart maakte Microsoft bekend een familie aan kwaadaardige netwerken, botnets, te hebben opgerold. In een video wordt getoond dat een server samen met de USMarshals Service wordt opgehaald en dat domeinen in beslag zijn genomen. De uitleg toont hoe kwaadaardige netwerken hiermee zijn opgerold.

Solo-actie

Maar de actie is een solo-actie van Microsoft waar geen externe partijen bij betrokken zijn. Omdat het bedrijf naar de rechter is gestapt om de computers in beslag te laten nemen, geldt in de Verenigde Staten de wettelijke verplichting dat de US Marshals Service betrokken wordt om misstanden te voorkomen.

Fox IT ontdekte dat de actie ook weinig succes heeft gehad. Initieel stopte het netwerk wel met functioneren. Maar nog geen 2.4 uur later hadden de criminelen hun activiteiten verschoven naar andere computers en waren ze weer volledig operationeel. Het aanvallen van gebruikers is na de actie ook weer gewoon doorgegaan.

Ondertussen wijst Microsoft erop dat de servers gevoelige informatie, zoals gebruikersnamen, e-mailadressen, wachtwoorden en andere persoonsgegevens bevatten. De onderneming geeft geen duidelijkheid wat ze met die gegevens gaat doen.

Anonimiteit

Ook blijken de criminelen nu een andere identiteit op internet te gebruiken. Dat dit nodig is, volgt uit de juridische actie die Microsoft is gestart. Zij hebben namelijk onbekende mensen aangeklaagd die zich verbergen achter e-mailadressen en schuilnamen. Via de documenten van de rechtbank, die openbaar moeten zijn, zijn ze gealarmeerd.

"Het gaat lang duren voordat we weer zicht hebben op de identiteiten achter het botnet", zegt Ronald Prins, technisch directeur bij Fox IT. Voor hem is dat storend, omdat zijn onderneming al veel onderzoek heeft verricht. Omdat de resultaten vaak dienen voor strafrechtelijk onderzoek loopt ook dat onderzoek schade op.

"De beste strategie om botnets aan te pakken is niet door domweg Command & Control servers uit het netwerk te trekken. Veel belangrijker is het om ook in te zetten op aanhouding en vervolging van de daders. Juist door de geringe pakkans zie je steeds meer criminelen zich bezighouden met cybercrime", legt Prins uit.

Niet ethisch

Fox IT beschuldigt Microsoft ervan dat ze de gegevens niet uit eigen onderzoek hebben. Het beveiligingsbedrijf heeft deze opgespoord en gedeeld via een besloten mailinglijst om onderzoek te versnellen. Daarbij is de afspraak dat deze informatie niet voor eigen gewin ingezet mag worden.

Door een juridische procedure te starten is dat nu wel gebeurd, omdat alle gegevens daarmee ook automatisch geopenbaard worden.

Overigens staat Fox IT niet alleen in die kritiek. Zo is ook een interbeveliger van het Honeynet-project, dat juist kennis rond inbraken en botnets probeert te verzamelen, heel kritisch in een eigen blogpost.

Domeinen afpakken

Een andere actie die Microsoft in hun strijd tegen het Zeus-netwerk heeft ondernomen, is het in beslag nemen van domeinnamen. Ook hier zou de softwareleverancier steken hebben laten vallen. Een aantal domeinen behoort toe aan beveiligingsonderzoekers, die geen kwaadaardige activiteiten uitvoerden. Enkele Amerikaanse domeinen zijn weer operationeel.

In zes gevallen ging het om Nederlandse domeinen, waarvan ook niet vast staat dat ze aan de criminelen toebehoren. Omdat Amerikaanse vonnissen niet automatisch in Nederland worden uitgevoerd, is dat niet gebeurd.

Een zegsvrouw van de verantwoordelijke organisatie voor het uitgeven van Nederlandse domeinen, SIDN, bevestigt een brief van Microsoft te hebben gehad. "Die sturen we door naar de providers en we vragen ze om hun klanten te informeren."

Grotere schade

Volgens Fox IT zijn de gevolgen van de actie van Microsoft groter dan het Zeus-netwerk alleen. Door de gegevens van onderzoekers te gebruiken, wordt het moeilijker informatie uit te wisselen.

Het bedrijf stelt dat veel beveiligingsonderzoekers in Microsoft geen vertrouwde partner meer zien. Ook op Twitter uit botnet-specialist Andre DiMino dezelfde kritiek op Microsoft.

"Het is noodzakelijk om een goede relatie te hebben met partijen als Microsoft. Maar we zouden liever zien dat ze hun activiteiten richten op het maken van veilige software. Het opsporen van criminelen moet je aan gespecialiseerde bedrijven over laten", stelt Prins.

NU.nl heeft herhaaldelijk contact gezocht met Microsoft, maar het bedrijf weigert op de zaak in te gaan.