Zombieleger staat klaar voor de hoogste bieder

Storm Worm-botnet telt miljoenen computers

20 augustus 2007 | Rowald Pruyn Het botnetvirus Storm Worm heeft in slechts acht maanden tijd meer dan twintig miljoen pc's besmet. Het aantal groeit nog steeds. Veiligheidsexperts vrezen dat de maker zijn zombieleger gaat uithuren aan de hoogste bieder. Dat zou zelfs een regering kunnen zijn.

Computerbeveiligingsbedrijf SecureWorks zag in de afgelopen vier maanden het aantal geïnfecteerde pc's toenemen van 71.342 naar over de twintig miljoen. Volgens recente cijfers van concurrent Sophos bevatte zeven procent van de spam van vorige week de Storm Worm. Het virus, dat herhaaldelijk van gedaante is veranderd sinds het in januari de kop opstak, verstopte zich eerst in het exe-bestand van een valse wenskaart, maar is ook al gesignaleerd als valse link die zijn slachtoffers naar een besmette website lokt.

SecureWorks is bang dat het zombieleger van besmette pc's zo groot is geworden dat het elke online organisatie op de knieën kan krijgen. Joe Stewart, senior-onderzoeker bij het bedrijf: "We weten niet wat de drijfveren zijn van de Storm Worm-auteur. Het zou zomaar kunnen dat hij het botnet snel opbouwt, zodat hij het kan verhuren aan andere hackers. Zij zijn dan in staat om aanvallen te lanceren tegen wie ze maar willen: landen, organisaties, et cetera."

De miljoenen computers kunnen worden ingezet voor zogenoemde distributed denial of service (DDOS)-aanvallen. Zij sturen een stortvloed van valse verbindingsverzoeken aan een webserver, die daardoor overbelast raakt en bij genoeg druk kan crashen. In februari zorgde een dergelijke aanval ervoor dat drie rootservers, zeg maar de telefoonboeken van het internet, tijdelijk overbelast raakten. Bij succes van de hackers waren gedeelten van het internet tijdelijk offline gegaan.

Cyberoorlog
Hoofanalist Alexander Gostev van het Russische Kaspersky Labs denkt dat dit soort aanvallen zo krachtig is geworden dat zij interessant zijn om internationale conflicten te beslissen. Hij neemt het woord "cyberoorlog" in de mond. Gostev noemt als voorbeeld een reeks langdurige aanvallen die de overheidswebsites van Estland wekenlang in de problemen bracht. De aanvallen vonden plaats nadat de Estlandse autoriteiten in april besloten een monument voor gevallen Russische soldaten te verwijderen. De DDOS-teller stond na twee weken op 128. De regering van de Baltische staat wees beschuldigend naar de Russische geheime dienst.

Estland haalde zelfs zijn bondgenootschap met de NAVO uit de kast, maar slaagde er uiteindelijk niet in om te bewijzen dat Russische spionnen de boosdoeners waren. Niet verwonderlijk, vindt Gostev. Volgens hem is het moeilijk om cyberaanvallen naar de bron terug te brengen. De Israëlische veiligheidsexpert Gady Evron, die achteraf onderzoek deed naar de aanval, zegt: "Ik denk niet dat het Rusland was, maar hoe bewijs je dat? Het internet is ideaal voor gerechtvaardigde ontkenning."

Kaspersky's virusanalist Gostev denkt dat het in dit geval om een vrijwillige aanval ging. Hij zegt dat duizenden woedende staatsburgers hun computer willens en wetens hebben laten besmetten om een aanval te lanceren tegen de regering van een dwarse ex-satellietstaat.

bron: ZDNet