Noll
Video: Cyberbrottslingar manipulera sökresultaten till raid bankkonton
Nederländerna polisen är high-tech crime unit greps en 18-årig man misstänkt för att inleda distribuerade denial-of-service (DDoS) attacker på den nederländska skattemyndigheten, teknisk webbplats Tweaker, och internet service provider Tweak.
Polisen sade att tonåringen, känd bara som “Jelle S’, är också misstänkt för att attackera online bank Bunq. Det finns ännu inte några officiella ord om dessa attacker är knutna till de stora holländska banker ABN Amro, Rabobank, och ING Bank.
Men, säkerhet forskare tror att det handlar om en och samma individ. De stora bankerna och skattemyndigheten var alla hit i slutet av januari, vilket ledde till en hel del spekulationer över den identitet av angriparna.
Många föreslog att Ryssarna var ansvarig, när attackerna kom strax efter att det framkommit att den nederländska underrättelsetjänsten hade tittat på ryska hackare att attackera det Demokratiska Partiet i USA, i upptakten till valet 2016.
Bunq var hit långt innan denna senaste våg av attacker — tillbaka i September, när polisen började sin undersökning.
I en bisarr twist, det verkar som en 18-åring kallade J vände sig i att Bunq fyra månader sedan, och start bestämde sig för att bortse från hans “ungdomliga synd” på det villkoret att han fick en veckas obetald samhällstjänst för Amnesty International.
På måndag, Bunq sade Jelle S var misstänkt i utredningen av bankens inriktning från September.
Holländska tech plats Tweaker har publicerat en detaljerad redovisning av attacker som bygger på de erfarenheter som sysadmin.
Bild: Tweaker
“Genom att studera attack mönster och forska vissa typer av IP-adresser, vi hittade snabbt en misstänkt,” Bunq berättade ZDNet.
“På grund av vår goda band till IT-samhället, vi fick några användbara insikter från människor som hade sina misstankar och hade hört en del prat. När det stod klart att både vår egen undersökning, liksom de ljud vi hörde påpekat att det är samma person, det var klart för oss.”
I ett uttalande, polisen sa att de arbetade i nära samarbete med Bunq, Tweaker, och bevakningsföretag Redsocks som de försökte fånga den skyldige.
Gratis download: DET ledande guide till att minska insider säkerhetshot
“Med den här gripande, vi visar att människor som begår DDoS-attacker inte går ostraffade, säger sektionschef Gert Ras. “Det är fortfarande under utredning om det är en länk till senaste DDoS-attacker på andra stora leverantörer av finansiella tjänster.”
Rickey Gevers, en säkerhetsforskare på Redsocks, berättade ZDNet att företaget har samlat digitala bevis som tyder på en person som ligger bakom både vågor av attacker.
Gevers lyfte fram två bitar av bevis länka ABN Amro och ING-attacker: alla attacker som kom i samma volym av 40Gbps att 50Gbps, och angriparen använt en e-postadress med frasen “ddos-banker”.
“Det är ofta lätt att spåra tonåringar ner för denna typ av attack,” Gevers sagt.
På tisdag, Tweaker publicerat en detaljerad redogörelse av vad som hänt på sin sida av undersökningen, som bygger på erfarenheter av företaget systemadministratör Kees Hoekzema.
Hoekzema märkte att något var upp den 29 januari, när han såg att någon hade slagit Tweaker med en 25Gbps attacken natten innan. Sedan kom en andra attack, på mer än 40Gbps. Och sedan en kort attack, denna gång på Tweaker ” backup plats snarare än dess huvudsakliga webbplats.
Sysadmin sedan insåg, efter att bedöma tidpunkten för attacker i förhållande till hans inlägg om tidigare attacker på Twitter, att angriparen var nog att titta på honom. Hans misstankar bekräftades när någon subtilt, som kallar sig själv ” DDoS mailade honom att säga att det inte var Ryssarna. Meddelandet kom via krypterade e-tjänsten ProtonMail.
Hoekzema sedan twittrade att han kommer att försöka att titta på Netflix. En attack som följts, så han använde en tweet för att be angripare att stanna, vilket han gjorde. Processen upprepades. Då Hoekzema nämns i en tweet att ingen har brytt sig om attacken andra än användarna av Tweaker’ IRC-kanal.
Ett par minuter senare, någon har loggat in i kanalen med hjälp av DDos-smeknamn. I det efterföljande samtalet, DDoS sa att han hade tillbringat 40 euro ($49) på en ‘stresser” attack på Tweaker, och insisterade på att han hade legat bakom alla de senaste holländska attacker.
Efter samtalet, Hoekzema insåg att hans korrespondent hade loggat in på Tweaker IRC-kanal via sin web-klient, snarare än att använda en separat IRC-klient, så att han kunde leta upp IP-adressen för VPN-att DDoS hade använt.
Samma IP-adress hade också använts för att kontrollera olästa meddelanden på Tweaker plats, vilket innebar att den användaren hade ett konto där.
Söka igenom loggfiler, Hoekzema såg att någon hade lämnat in 15 nya tips om attackerna till Tweaker-vilket är något som bara inloggade medlemmar kan göra. Så, även sessions-ID som var anonym, det kan vara kopplat till det kontot. Namnet på kontot också motsvarade som på en Twitter-profil som nyligen hade följt Hoekzema.
“Jag har fått honom” Hoekzema mailade sina kollegor, enligt Tweaker’ tagen av händelsen.
Om Jelle S döms riskerar han upp till sex år bakom galler.
Tidigare och relaterade täckning
DDoS mysterium: Vem är bakom denna massiva våg av attacker mot holländska banker?
Angriparna och deras motiv för samordnade attacker mot Nederländerna finansiella institutioner är fortfarande okända.
DDoS-attack lämnar holländska webbplatser offline i timmar
Ett antal holländska regeringen webbplatser blev mörkt igår efter en online misshandel.
Relaterade Ämnen:
EU
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0