De Amerikaanse FBI infecteert in onderzoeken vele duizenden internetgebruikers met spionage-malware om de gegevens van enkele verdachten te kunnen bemachtigen. Dat schrijft techmedium Wired. Deze techniek wordt door veiligheidsexperts ook wel drive-by download genoemd (naar de term drive by shooting). Nederlandse politie speelde een hoofdrol toen de FBI begon met binnendringen van het geheime internet. Dat blijkt uit processtukken in de VS.
Gecompromitteerd
Bij de methode infiltreert een hacker een website met veel verkeer en zorgt ervoor dat iedere bezoeker malware op zijn computer installeert. Vervolgens geeft die malware toetsaanslagen en andere gegevens van verdachten maar ook van de duizenden onschuldigen aan de FBI door. In een paar minuten kunnen zo duizenden computers van onverdachte mensen worden besmet en gecompromitteerd.
Tor-netwerk
De FBI heeft volgens Wired de afgelopen jaren geëxperimenteerd met dergelijke drive-by-hacks in de opsporing van kinderporno-netwerken. De techniek is een reactie op de anonimiteit die criminelen kunnen verkrijgen door op Internet te gaan via het Tor-netwerk. Inlichtingendiensten hebben een haat-liefde-verhouding met Tor. Ze gebruiken het zelf maar terroristen en criminelen ook. Vorige week loofde de Russische regering een beloning van 111.000 dollar uit voor degene die het netwerk kraakt.
Overnemen
De FBI noemt dit soort sleepnet-methodes NIT (Network Investigative Technique) en is zeker in gebruik sinds 2002. Afhankelijk van de software die op de computers wordt geïnjecteerd kan de dienst gebruik van een pc registreren maar deze ook volledig overnemen of kopiëren.
.onion
Nederlandse politieagenten van de High Tech Crime Unit speelden een belangrijke rol in de strijd van de FBI tegen het Tor-netwerk. Zij ontwikkelden een zoekrobot die alle .onion-adressen van Tor verzamelde. Dat zijn webadressen die door Tor niet te lokaliseren zijn. Vervolgens verstrekte de rechter-commissaris in Rotterdam een machtiging voor digitale doorzoekingen om vast te kunnen stellen waar die adressen die bevinden. Dat resulteerde weer in Operation Torpedo en ontmanteling van een verborgen kinderpornonetwerk in de staat Nebraska.
Jihadiwebsites
Een rechter in de Verenigde Staten machtigde de FBI toen om NIT voor die kinderpornosites. Alle computers die de site bezochten werden geïnfecteerd. De betreffende NIT was alleen geschikt om de identiteit van de computers vast te stellen. In welke onderzoeken de FBI deze methode nog meer heeft ingezet is nog niet duidelijk. Het ligt voor de hand dat ook jihadiwebsites in de VS maar ook in Europa doelwit zijn geweest. Duidelijkheid komt er pas als de FBI processtukken moet overleggen in een rechtszaak in de VS. Of ook bijvoorbeeld de AIVD, de DEA of de Nederlandse politie NIT deze methode inzet is niet duidelijk.
Vandaag werd bekend dat de Nederlandse politie ook over een malware-installerend programma beschikt. Dat programma infecteert computers middels software-updates van populaire programma's.
Zie meer bij Wired.