Media aanjager aandacht politie voor botnet

Afbeelding: Monitor of Clingnotement van Ricardo Wang | Licentie: CC BY-NC-SA 2.0

De politie kreeg veel informatie over een botnet in handen, maar lijkt er niets mee gedaan te hebben – totdat er veel aandacht voor was in de media.

In een brief aan de Tweede Kamer schrijft minister Opstelten over de omgang met het Pobelka-botnet:

In eerste instantie kreeg het IT-beveiligingsbedrijf Digital Investigation via Leaseweb de beschikking over de inhoud van een command & controlserver van een Citadel-botnet (met de naam Pobelka). Omdat vermoed werd dat deze command & controlserver gerelateerd was aan de uitbraak van het Dorifel-virus, waar door het Team High Tech Crime (THTC) van de Landelijke Eenheid van de Politie al onderzoek naar werd gedaan, werd door Digital Investigation contact opgenomen met THTC en werd aangeboden om de gegevens van de command & control-server aan THTC te verstrekken.

Op 16 oktober 2012 is door medewerkers van THTC een bezoek gebracht aan Digital Investigation. Door Digital Investigation is een kopie van de data op een harde schijf aan THTC overhandigd. Naar later bleek was deze schijf niet leesbaar. Op 20 november 2012 is door medewerkers van THTC wederom een bezoek gebracht aan Digital Investigation. In dat gesprek kwam naar voren dat er geen directe relatie kon worden gelegd met de uitbraak van het Dorifel-virus. Derhalve is door THTC niet om een nieuwe kopie van de data verzocht.

Wel bleek uit het onderzoek van Digital Investigation dat een groot aantal Nederlandse bedrijven besmet was met de Citadel-malware. Hierop heeft THTC geadviseerd deze informatie te delen met het NCSC. Op 26 november 2012 heeft de teamleider van THTC de directeur van Digital Investigation in contact gebracht met het NCSC. […]

Naar aanleiding van de uitzending van het NOS-journaal d.d. 14 februari zijn onderdelen van de dataset in de openbaarheid gekomen en daarmee is het risico van misbruik groter geworden. […] Vanuit zijn coördinerende rol heeft de NCTV partijen zoals het OM, de Politie, AIVD, MIVD en het NFI die, vanuit eigen mandaat en verantwoordelijkheid, aan de analyse meedoen bij elkaar gebracht. De eerste resultaten van dit onderzoek zullen naar verwachting in de 2e helft van maart beschikbaar zijn. Tevens is een strafrechtelijk onderzoek opgestart. De doelstelling van dit onderzoek is om tot een identificatie te komen van de beheerders van het Pobelka-botnet, die tevens verantwoordelijk moeten worden gehouden door het wegnemen van de data bij getroffen partijen.

Ook in de komende periode zal een aantal acties worden ondernomen om blijvend adequaat te kunnen optreden tegen digitale dreigingen zoals botnets. […]  Ten eerste zal er vóór de zomer juridisch worden verkend hoe het NCSC op een zorgvuldige wijze kan omgaan met de informatie die het NCSC vanuit de ICTcommunity bereikt. Daarbij zal worden gekeken hoe en op welke rechtsbasis het NCSC gegevens kan verwerken om de impact van dreigingen in het digitale domein op de nationale veiligheid te beperken. Het betreft daarbij informatie die mogelijk de persoonlijke levenssfeer raakt. […] Ten tweede onderschrijft de Pobelka-casus het in het AO d.d. 6 december aangegeven belang van het versterken van de detectiecapaciteit bij de Rijksoverheid en de vitale sectoren. […] Ten derde zal het NCSC actief aandacht blijven vragen voor het volledig en up-todate houden van de bij het NCSC beschikbare informatie over IP-adressen van organisaties en instellingen binnen de doelgroep van het NCSC: de Rijksoverheid en de vitale sectoren. […] Tot slot zal ik na het zomerreces komen met een geactualiseerde versie van de Nationale Cyber Security Strategie.