Citadel-botnet bestaat voornamelijk uit Nederlandse zombies
Het Citadel-botnet dat afgelopen zomer actief was blijkt voornamelijk uit Nederlandse en Duitse computers te hebben bestaan. In totaal zijn 143.000 Nederlandse machines geïnfecteerd door het botnet.
Dit blijkt uit onderzoek van Rickey Gevers van Forensisch onderzoeksbureau Digital Investigations. Gevers vermoedt dat het botnet verantwoordelijk is geweest voor de verspreiding van het Dorifel-virus. Dit virus wist in augustus 2012 de IT-systemen van diverse Nederlandse gemeenten plat te leggen. Het is echter niet met honderd procent zekerheid vast te stellen dat het virus inderdaad door het Citadel-botnet is verspreid.
Geen activiteit tussen 2 en 9 augustus
Gevers zegt tegen Webwereld dat het Citadel-botnet tussen 2 en 9 augustus 2012 stil is geweest en geen nieuwe zombies aan zijn netwerk heeft toegevoegd. In deze periode lijkt Dorifel-virus eveneens niet verspreid. Het botnet werd op 9 augustus 2012 weer actief, waarna nieuwe infecties met het Dorifel-virus eveneens weer opdoken. Dit is dan ook een aanwijzing dat het Dorifel-virus via het Citadel-botnet is verspreid.
Het botnet is opgebouwd uit een zo’n 264.000 machines, waarvan het overgrote deel in Nederland staat. Digital Investigations stelt dat het Citadel-botnet 143.000 zombies in Nederland tot zijn beschikking heeft. Het aantal zombies ligt in Duitsland op 78.000 duizend. De overige 43.000 zijn verspreid over verschillende landen. Het is niet duidelijk waarom Nederland en Duitsland een dusdanig belangrijke rol spelen in het botnet.
