Combell-server diende Duqu-virus

Guy Kindermans Guy Kindermans is freelance journalist bij Data News.

Volgens Symantec werd een server van hostingbedrijf Combell gebruikt voor het verzamelen van door Duqu gestolen informatie. Die server werd ondertussen al uitgeschakeld. Onderzoekers bij Symantec vonden een versie van de Duqu malware, die gestolen informatie afleidde naar een server bij het Belgische hostingbedrijf Combell, aldus een bericht van Reuters. Symantec zou het bedrijf daarvan op de hoogte hebben gebracht en de machine werd op 3 november uitgeschakeld. Het gebruik van servers bij hostingbedrijven door malafide groepen is niet uitzonderlijk, en het gebruik van de Combell-machine kwam er nadat de Indische overheden materiaal in een datacenter in Mombai in beslag had genomen.

Volgens Symantec werd een server van hostingbedrijf Combell gebruikt voor het verzamelen van door Duqu gestolen informatie. Die server werd ondertussen al uitgeschakeld.

Onderzoekers bij Symantec vonden een versie van de Duqu malware, die gestolen informatie afleidde naar een server bij het Belgische hostingbedrijf Combell, aldus een bericht van Reuters. Symantec zou het bedrijf daarvan op de hoogte hebben gebracht en de machine werd op 3 november uitgeschakeld.

Het gebruik van servers bij hostingbedrijven door malafide groepen is niet uitzonderlijk, en het gebruik van de Combell-machine kwam er nadat de Indische overheden materiaal in een datacenter in Mombai in beslag had genomen. Naar verluidt zou de server bij Combell nog tot oktober 2012 zijn gehuurd.

Volgens het Reuters bericht zouden medewerkers van Combell het gedrag van de server wel als “fishy” hebben omschreven, omdat blijkbaar data uit de communicatie log actief werd gewist. Een specialist van de US Cyber Consequences Unit stelde dat de versie van Duqu in België werd aangepast, zodat besmette systemen niet zo makkelijk door bedrijven kunnen worden ontdekt op basis van hub voorgaand communicatieverkeer.

De Duqu malware baart onrust omdat deze sterke gelijkenis vertoont met Stuxnet, de malware die vorig jaar met succes industriële installaties schade berokkende. Vermoed wordt dat dezelfde groep als Stuxnet ook achter Duqu zit, of minstens zijn medewerking aan de ontwikkeling heeft verleend.

Update Tom De Bast, Business Development Manager bij Combell, bevestigt dat het bedrijf door Symantec werd gecontacteerd betreffende het misbruik van een server. Het bedrijf startte vervolgens de voorziene interne procedure, waarbij onder meer werd geprobeerd contact op te nemen met de opdrachtgever, zij het zonder resultaat. Conform de algemene gebruiksvoorwaarden, die onder meer maatregelen bij misbruik (zoals fraude) voorzien, werd vervolgens de machine op initiatief van Combell uitgeschakeld. Overigens ontving Combell nog geen verzoek vanwege orde- of veiligheidsdiensten voor informatie over de opdrachtgever en het gebruik van de machine. Informatie die wel beschikbaar is, onderstreept De Bast. De opdrachtgever blijkt overigens een buitenlander te zijn.

Update 2 Combell meldt dat de Belgische Federal Computer Crime Unit (FCCU) om meer inlichtingen heeft gevraagd. “Combell houdt alle data ter beschikking om de daders te identificeren in het kader van een gerechterlijk onderzoek.”

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content