Het eerste iPhone-botnet dat sinds vorige week actief is, is nog altijd springlevend. Maandag meldde Scott McIntyre van XS4ALL dat het botnet zich in de nacht van zondag op maandag anders was gaan gedragen. De Security Officer schetste verschillende scenario’s, maar hoopte dat de server waarmee de bots verbinding maakten, uit de lucht was gehaald. Dat lijkt nu inderdaad het geval te zijn geweest, maar dat betekent niet het einde van de malware.
Voordat de hostingprovider de Command & Control (C&C) server van het botnet uitschakelde, zijn alle bots naar een nieuwe botnet controller gemigreerd. Waar deze tweede C&C-server staat wil McIntyre niet tegen Security.nl zeggen.
De server die het eerste iPhone botnet ter wereld bestuurt en zich vervolgens op ING-klanten richtte, is zich in de nacht van zondag op maandag anders gaan gedragen. “In plaats van het geven van nieuwe opdrachten om uit te voeren, geeft het alleen foutmeldingen terug”, zegt Scott McIntyre, Security Officer bij XS4ALL, tegenover Security.nl. Volgens McIntyre, die als eerste de worm ontdekte, kan dit verschillende dingen betekenen. Of de internetprovider waar de Command & Control (C&C) server van het botnet stond, heeft die uit de lucht gehaald. De provider in Litouwen zou door verschillende partijen zijn ingelicht. “Ik hoop dat dit de verklaring is, het is goed mogelijk.” De twee andere verklaringen van McIntyre zijn namelijk minder positief.
“De aanvaller heeft de afgelopen nacht een update aan geïnfecteerde systemen uitgevoerd, zodat ze nu met een nieuwe C&C server verbinding maken.” Een andere mogelijkheid is dat de aanvaller de command structuur heeft aangepast. Als de server uit de lucht is gehaald, is dit goed nieuws, gaat McIntyre verder. “Aan de andere kant, besmette systemen bellen nog steeds naar ‘huis’, en wie die server beheert, kan in potentie gejailbreakte iPhones en de al besmette telefoons opnieuw controleren.
De iPhone worm die sinds eind vorige week in Nederland actief is, heeft de aanval op ING-klanten geopend, zo laat XS4ALL aan Security.nl weten. Gebruikers met een geïnfecteerde telefoon die naar mijn.ing.nl gaan, worden doorgestuurd naar een phisingsite in Japan. Tevens zoekt de malware in de SMS-database van de iPhone naar TAN-codes en gedraagt zich anders zodra het die vindt. “Dat is op zichzelf niet nieuw, maar het laat zien dat de aanval financieel gemotiveerd is”, zegt Security Officer Scott McIntyre. Volgens McIntyre zitten er georganiseerde banking hackers achter de malware, die tevens voor het eerste iPhone-botnet verantwoordelijk is.
De plotselinge aanval op ING-klanten heeft mogelijk met het grote aantal geïnfecteerde Nederlandse iPhones te maken. “Waarschijnlijk zagen de aanvallers in de logs dat veel iPhones uit Nederland afkomstig waren.” Daardoor was het eigenlijk een logische tweede stap om een grote Nederlandse bank aan te vallen die met TAN-codes werkt. Of er al bankrekeningen van ING-klanten door de worm zijn geplunderd, is op dit moment onbekend. Zowel het Computer Incident Response Team van ING als het Japanse Computer Emergency Response Team zijn ingelicht.
Echte worm
Het komt niet vaak voor dat een Security Officer van een internetprovider de eerste worm voor een geheel nieuw platform ontdekt. Toch was McIntyre niet zo verrast. “Eindelijk een echte worm was mijn eerste gedachte”, zo merkt hij op. Security professionals hadden hier al lange tijd rekening mee gehouden, zeker omdat veel “jailbreakers” kwetsbaar zijn. Volgens schatting is zo’n 7% van alle iPhones gejailbreakt. Vaak door gebruikers die niet weten waarmee ze bezig zijn en vervolgens de standaard SSH-login niet wijzigen. Daardoor is het kinderspel voor de worm om de mobiele telefoon vervolgens te kapen.
Het feit dat XS4ALL als eerste de worm ontdekte, komt volgens McIntyre omdat de provider altijd al zeer alert op dreigingen en internetveiligheid is. “Een stukje verantwoordelijkheid.” Toen de Security Officer de verdachte activiteit op het netwerk waarnam, stelde hij direct een onderzoek in, met als uitkomst de nog altijd naamloze worm. Waarom T-Mobile geen alarm sloeg durft hij niet te zeggen. “Misschien hebben ze daar geen Security Officer met slaaptekort.”
Reacties