GameOver Zeus was in 2014 één van de meest geavanceerde botnets op een peer-to-peer basis, ontworpen om geld over te maken via neppagina’s voor online bankieren. De malware stal inloggegevens en gebruikte die om frauduleuze overboekingen te maken (justice.gov).

Het GameOver Zeus botnet werd ook gebruikt om de beruchte CryptoLocker-ransomware te verspreiden (Europol, 2 juni 2014).

Het netwerk infecteerde naar schatting 500.000 tot 1 miljoen computers wereldwijd, goed voor ruim $100 miljoen schade door diefstal.

Bron: FBI.gov

Opsporing en aanpak (operatie ‘Tovar’)

Op 30 mei 2014 vond een grote gecoördineerde actie plaats onder leiding van de FBI (VS), met deelname van o.a. de Nederlandse High Tech Crime Unit, het Duitse BKA, de Britse NCA en politiediensten uit o.a. Canada, Frankrijk, Italië, Japan, Oekraïne en andere landen. Er zou ook samengewerkt zijn met bedrijven als Dell SecureWorks, Microsoft, McAfee en Symantec om te voorkomen dat de malware zich opnieuw installeerde.

Tijdens de operatie werden wereldwijd belangrijke servers van het botnet uitgeschakeld of in beslag genomen. Met een gerechtelijk bevel uit de VS werd netwerkcommunicatie van geïnfecteerde computers “omgebogen”. Een federale rechtbank in Pittsburgh gaf toestemming om het verkeer van getroffen PC’s weg te leiden van de criminelen naar door opsporingsdiensten gecontroleerde servers (“sinkholing”). Nederland leverde ook technische steun.

Op 30 mei en 2 juni 2014 werden gelijktijdige doorzoekingen uitgevoerd. Europol meldde dat de actie ook gepaard ging met de inbeslagname van servers die de CryptoLocker-ransomware faciliteerden.

Operation Tovar (zie ook Wikipedia) (zoals deze operatie informeel heette) toonde een mix van traditionele en vernieuwende bevoegdheden. In de VS maakte men gebruik van civielrechtelijke en strafrechtelijke machtigingen om het netwerkverkeer van de servers om te leiden en het botnetverkeer af te tappen voor opsporingsdoeleinden. Dit was destijds een innovatieve juridische stap.

Europol’s cybercrimecentrum (EC3) coördineerde de informatie-uitwisseling en stond in direct contact met deelnemende landen vanuit zijn operationeel centrum in Den Haag. Er werd ook sterk geleund op publiek-private samenwerking: bedrijven leverden technische gegevens en expertise om de peer-to-peer structuur van het botnet te doorgronden. In augustus 2014, introduceerden Fox-IT en FireEye een online decryptiedienst (Krebsonsecurity.com, 6 augustus 2014).

Arrestaties en jurisprudentie

Op 2 juni 2014 (de dag dat de actie publiek werd gemaakt) publiceerde het Amerikaanse ministerie van justitie ook de aanklacht (indictment) tegen Evgeniy B. Hij werd o.a. vervolg voor het leiden van een criminele organisatie en het plegen van bankfraude via dat botnet. Op de actiedag werd B. niet aangehouden, omdat hij vermoedelijk in Rusland verbleef.

De FBI zette hem ook op de “Most Wanted Cyber” lijst en loofde later een beloning uit voor informatie (van 3 miljoen dollar (thehackernews.com, 25 februari 2015).