‘Nederlandse virusschrijver maakte Code Red worm’

Volgens het artikel van DPA zou de ‘Nederlandse hackersgroep 29A’ verantwoordelijk zijn voor de verspreiding van Code Red. Leden van de groep zouden in discussiegroepen op internet hebben opgeschept over het verspreiden van Code Red.

Ook verscheidene niet bij name genoemde veiligheidsexperts zouden volgens DPA vermoeden dat de worm die de afgelopen weken voor veel commotie zorgde, uit Nederland afkomstig is.

Vraagtekens

Er zijn echter de nodige vraagtekens te zetten bij het verhaal van het Duitse persbureau. Zo heeft de groep van virusschrijvers 29A, in tegenstelling tot wat DPA beweert, geen Nederlandse leden. De leden komen voornamelijk uit Spanje en Oost-Europa.

Benny, een vooraanstaand lid van 29A, vertelde in april tegenover WebWereld dat er vijf Spanjaarden en twee Tsjechen lid zijn van 29A. “Kort geleden zijn er bovendien twee virusschrijvers uit de groep gestapt, één uit Frankrijk en één uit Roemenië.” Zelf komt Benny uit Tsjechië.

Of 29A daadwerkelijk verantwoordelijk is voor Code Red is moeilijk vast te stellen. In de code van de nieuwste versie van Code Red (Code Red II) staan weliswaar de letters 29A, maar een uitgebreide verantwoording van de makers in de broncode (normaal voor virusschrijvers) ontbreekt.

Marius van Oers, een virusdeskundige van Network Associates, vermoedt wel dat er een groep virusschrijvers verantwoordelijk is geweest voor Code Red. ” De worm zit zo complex in elkaar dat ik vermoed dat er een team voor verantwoordelijk is geweest. Maar of dat 29A is, kan ik niet beoordelen.”

Een van de leden van 29A, VirusBuster, ontkent per e-mail dat 29A ook maar iets te maken zou hebben met Code Red. “Een jongen uit China is verantwoordelijk, niet een lid van 29A”, schrijft hij.

China

Hoewel het moeilijk is om vast te stellen of het virus daadwerkelijk uit China komt, zoals Amerikaanse veiligheidsexperts veronderstellen, zijn er wel enkele aanwijzingen die in die richting wijzen.

Zo worden de webpagina’s van met Code Red geïnfecteerde computers opgesierd met de mededeling: “HELLO! Welcome to http://www.worm.com! Hacked By Chinese!” Belangrijker is echter dat de eerste versie van Code Red op 12 juli voor het eerst opdook aan een universiteit in China.

Daarmee is overigens niet gezegd dat Code Red daadwerkelijk uit China afkomstig is. Een Chinese veiligheidsdeskundige verklaarde eind juli tegenover het persbureau Reuters dat het hem onwaarschijnlijk leek dat de worm uit China kwam. De worm zou te knap in elkaar zitten om door een Chinese virusschrijver te zijn gemaakt.

Code Red

Code Red liet voor het eerst van zich spreken op 19 juli, toen de worm naar schatting 350.000 computers infecteerde en een aanval op de site van het Witte Huis lanceerde. Als gevolg van de drukte op het netwerk die de worm veroorzaakte zou bovendien het internetverkeer in de Verenigde Staten zijn vertraagd.

De vrees voor ontregeling van het internetverkeer was voor de FBI, Microsoft en vooraanstaande beveiligingsinstituten als CERT en SANS reden om groot alarm te slaan voor nieuwe infecties vanaf 1 augustus. Het aantal besmettingen viel echter mee en de Code Red zorgde niet voor ontregeling van internet.

Afgelopen weekend dook Code Red II op. Een worm die nog agressiever is dan de eerste versie. De nieuwe mutant installeert een Trojaans Paard op een geïnfecteerde computer. Aanvallers zouden op deze manier zeer eenvoudig toegang kunnen krijgen tot een systeem.