Hoe Kaspersky Lab en CrowdStrike het tweede Hlux/Kelihos-botnet ontmantelden: een succesverhaal

Door: Kaspersky Lab  28-03-2012
Trefwoorden: Kaspersky, Cybercrime, Anti Virus Software

Moskou/Utecht, 28 maart 2012 – In hun niet aflatende strijd tegen botnet-exploitanten en cybercriminaliteit hebben de experts van Kaspersky Lab, CrowdStrike Intelligence Team, Dell SecureWorks en leden van het Honeynet Project met succes samengewerkt aan de ontmanteling van het tweede Hlux-botnet (ook wel Kelihos-botnet genoemd). Dit botnet was bijna drie keer zo groot als het oorspronkelijke Hlux/Kelihos-botnet dat in september 2011 onschadelijk werd gemaakt. Kaspersky Lab slaagde erin om in slechts vijf dagen tijd meer dan 109.000 geïnfecteerde hosts te neutraliseren. Het eerste Hlux/Kelihos-botnet omvatte naar schatting slechts 40.000 geïnfecteerde systemen.  

Het eerste Hlux/Kelihos-botnet
Dit is niet de eerste keer dat Kaspersky Lab op versies van het Hlux/Kelihos-botnet stuit. In September 2011 werkte Kaspersky Lab met SurfNet, Kyrus Tech Inc. en de Digital Crimes Unit van Microsoft met succes samen aan de ontmanteling van het oorspronkelijke Hlux/Kelihos-botnet. Voor dat doel voerde Kaspersky een ´sinkhole´-procedure uit om het botnet en de reserve infrastructuur van zijn Command & Control-server (C&C) uit te schakelen.  

Ondanks het feit dat het oorspronkelijke botnet was geneutraliseerd en onder controle was gebracht, publiceerden de experts van Kaspersky Lab in januari 2012 nieuwe onderzoeksresultaten waaruit bleek dat er een tweede Hlux/Kelihos-botnet actief was. Hoewel het om een nieuw botnet ging, was de malware die het gebruikte gebaseerd op dezelfde code als die van het oorspronkelijke Hlux/Kelihos-botnet. Uit de nieuwe malware bleek dat er bij het tweede botnet sprake was van enkele verbeteringen, waaronder nieuwe infectiemethoden en Bitcoin-functies voor het stelen van gegevens en digitaal geld. Net als het oorspronkelijke botnet maakte deze versie gebruik van een netwerk van geïnfecteerde computers om spam te verzenden, persoonlijke gegevens te stelen en gedistribueerde denial of service (DDoS)-aanvallen uit te voeren op specifieke doelwitten.  

Hoe het tweede Hlux/Kelihos-botnet werd uitgeschakeld
In de week van 19 maart van 2012 voerden Kaspersky Lab, het CrowdStrike Intelligence Team, Dell SecureWorks en het Honeynet Project een sinkhole-operatie uit, waardoor het botnet met succes werd uitgeschakeld. Beide versies van het Hlux/Kelihos-botnet waren peer-to-peer (P2P)-botnets. Dit houdt in dat alle computers binnen het botnet netwerk als server en/of client kunnen fungeren, in tegenstelling tot traditionele botnets die gebruikmaken van één C&C-server. Om dit flexibele P2P-botnet te neutraliseren creëerde de groep van beveiligingsexperts een wereldwijd netwerk van computers die de infrastructuur van het botnet infiltreerden. Na een korte periode slaagde dit sinkhole-netwerk erin om zijn ‘populariteit’ binnen het botnet te vergroten, waardoor er steeds meer geïnfecteerde computers onder de controle van Kaspersky Lab kwamen. Hierdoor konden de criminele exploitanten van het botnet de computers niet langer bereiken. Naarmate er meer geïnfecteerde machines worden geneutraliseerd, zorgt de P2P-architectuur ervoor dat de infrastructuur van het botnet als het ware inzinkt: zijn kracht neemt exponentieel af naarmate het de controle over steeds meer computers verliest.  

Sinds start van de sinkhole-operatie op 19 maart is het botnet niet langer bruikbaar. Aangezien de meerderheid van de computers binnen het botnet met het sinkhole-netwerk verbonden zijn, kunnen de experts van Kaspersky Lab met behulp van data mining het aantal infecties en de geografische locatie van de geïnfecteerde computers bepalen.  

Tot dusver heeft Kaspersky Lab 109.000 geïnfecteerde IP-adressen geteld. De meerderheid van deze IP-adressen bevindt zich in Polen.  

Een volledige analyse van deze ontmantelingoperatie is te vinden op Securelist.  

Kaspersky Lab wil het CrowdStrike Intelligence Team, Dell SecureWorks en het Honeynet Project graag van harte bedanken voor hun steun tijdens deze operatie.  

Over Kaspersky Lab
Kaspersky Lab, opgericht in 1997, is een internationaal softwarebedrijf dat geavanceerde oplossingen levert voor de beveiliging van bedrijfs- en thuisnetwerken tegen internetgerelateerde risico’s als virussen, spam, hackers, crimeware, malware en spyware. De door Kaspersky ontwikkelde technologie wordt wereldwijd toegepast in producten en diensten van vooraanstaande IT-securitybedrijven.  

Het hoofdkantoor van Kaspersky Lab is gevestigd in Moskou, Rusland. Daarnaast heeft het bedrijf regionale kantoren in onder andere de Benelux, Duitsland, Engeland, Frankrijk, Polen, Roemenië, China, Japan, Zuid-Korea en de Verenigde Staten plus een wereldwijd netwerk van ruim vijfhonderd partners.

Voor meer informatie zie www.kaspersky.com/nl of www.viruslist.com voor het laatste nieuws over  internetbeveiliging, alerts, analyses en nieuws, inclusief Kaspersky Virus Scanner.

Trefwoorden: Anti Virus Software, Cybercrime, Kaspersky

Andere producten en diensten van Kaspersky Lab

30-07-2013

Eropuit met je ‘mobiele vrienden’

De juiste voorbereiding voor een dagje uit met het hele hightechgezin Utrecht, 30 juli 2013 – De kinderen hebben vakantie,


04-06-2013

Kaspersky Lab onthult ‘Operatie NetTraveler’, een wereldwijde cyberspionagecampagne gericht tegen ov

  Kwaadwillende NetTraveler Toolkit besmet 350 belangrijke slachtoffers voor gegevensdiefstal en –spionage   Utrecht, 4 juni 2013 – Vandaag heeft Kaspersky


22-05-2013

Kaspersky PURE 3.0 Total Security levert ultieme beveiliging voor alles wat je bewaart & doet op pc

  Bekroonde technologie beschermt je identiteit, wachtwoorden, financiële en persoonlijke gegevens   Utrecht, 22 mei 2013 – Pc's zijn uitgegroeid tot


14-05-2013

Kritische gegevens steeds vaker opgeslagen op smartphones

  Onderzoek Kaspersky Lab onthult: Bijna een derde van het Nederlandse MKB denkt dat gegevensverlies via smartphones aanzienlijke schade zal


17-04-2013

Kaspersky Lab presenteert ’s werelds eerste antivirusoplossing voor UEFI

Nieuwe oplossing voorkomt de uitvoering van ‘stealth malware’ op computers met UEFI   Utrecht, 17 april 2013 – Kaspersky Lab


17-04-2013

60% Nederlandse IT-managers heeft geen goed beeld van opgeslagen bedrijfsgegevens op privé apparaten

  Volgens onderzoek door Kaspersky Lab hebben MKB-bedrijven bescherming van intellectueel eigendom niet op orde   Utrecht, 17 april 2013 –


11-04-2013

Kaspersky Lab analyseert actieve wereldwijde cyberspionage-campagne gericht op online gaming-bedrijf

  Cybercriminele organisatie ‘Winnti’ compromitteert systemen van gaming-bedrijven, steelt intellectueel eigendom en digitale certificaten voor malafide praktijken   Utrecht, 11 april


15-03-2013

Nederlandse werknemers gemakzuchtig met rapporteren kwijtgeraakte apparatuur

  Onderzoek Kaspersky Lab onthult: Bedrijven worden te laat geïnformeerd over mogelijk lekken van bedrijfsgegevens   Utrecht, 15 maart 2013 –


14-03-2013

Kaspersky Lab presenteert nieuwe zakelijke beveiligingsoplossing tijdens Infosecurity.be

  Gratis snelle security check voor bezoekers     Utrecht, 14 maart 2013 – Op 20 en 21 maart aanstaande demonstreert Kaspersky


27-02-2013

Kaspersky Lab identificeert 'MiniDuke', een nieuw kwaadaardig spionageprogramma gericht op overheids

  Ontwikkelaars combineren geavanceerde "old school" technieken met nieuwe, onlangs ontdekte exploits in Adobe Reader om geopolitieke gegevens te verzamelen


13-02-2013

Kaspersky Lab Experts identificeren en rapporteren nieuwste Zero-day beveiligingslek in Adobe Flash

  Utrecht, 13 februari 2013 – Experts van Kaspersky Lab hebben onlangs een belangrijk zero-day beveiligingslek ontdekt in Adobe Flash


05-02-2013

Cyberpesten voor veel jongeren groot probleem volgens onderzoek Europese Unie

Tips en technologie om er iets aan te doen Utrecht, 5 februari 2013 - Werden ruzies vroeger op het schoolplein


31-01-2013

Kaspersky Endpoint Security for Business biedt geavanceerd beveiligingsplatform

Kaspersky Endpoint Security for Business biedt geavanceerd beveiligingsplatform om complexe en consumerized IT-systemen beter te helpen beveiligen Nieuwe editie voorzien


16-01-2013

Economische instabiliteit en cyberbedreigingen: de twee grootste gevaren voor bedrijven

  Utrecht, 16 januari 2013 – Bedrijven zien cyberbedreigingen als het op een na grootste gevaar na economische instabiliteit. Dit


14-01-2013

Kaspersky Lab identificeert Operatie "Red October", een geavanceerde cyberspionage-campagne

  Aanvallers creëerden unieke, zeer flexibele malware om geopolitieke inlichtingen te stelen van de computersystemen, mobiele telefoons en enterprise netwerkapparatuur