Woensdag 27/10/2021

De virtuele worm werd in Amerika geboren

Experts denken de oorsprong van het computervirus Bugbear gevonden te hebben. Alles wijst erop dat het uit de Verenigde Staten komt.

Anne de Graaf

'Het lijkt erop dat het jongste computervirus bedacht is door een Amerikaan", zegt antivirusexpert Eddy Willems. "Daarom komt er geen gerechtelijk onderzoek in België. Deze hackers wilden eerst en vooral de banksector treffen."

De alertheid van de virusspotters stimuleerde de Amerikaanse federale politie (FBI) om vorige week een onderzoek in te stellen naar het computervirus. Volgens FBI-woordvoerder Bill Murray neemt Bugbear B immers na elke besmetting een andere vorm aan, zodat het de antivirusprogramma's kan omzeilen. Dat leverde het virus in Amerika de bijnaam 'Paard van Troje' op.

Inmiddels raakten in de Verenigde Staten maar liefst 200.000 informaticasystemen besmet. Eenmaal Bugbear zich heeft binnengewurmd, blijkt het in staat te bepalen of een geïnfecteerd systeem aan een financiële instelling toebehoort. Als dat het geval is, installeert het snel stiekem een 'geheime poort' die het piraten later makkelijker maakt eveneens binnen te dringen. Met het keylog-systeem (een geheugen dat alle klavierbewegingen registreert) kan Bearbug zelf transacties uitvoeren. Wereldwijd zouden zo duizend financiële instellingen bezoek hebben gekregen van de worm.

Honderd daarvan blijken op de lijst te staan die het Belgisch Instituut voor Postdiensten en Telecommunicatie (BIPT) samenstelde. Het BIPT doet voor die inventaris een beroep op dertig vaste virusspotters. Het BIPT werkt als 'i-securityteam'; het vervult een preventieve rol, terwijl de Computer Crime Unit zo nodig een gerechtelijk onderzoek voert.

Ingenieur-adviseur Rudi Smet van het BIPT: "Wij proberen de gedupeerden te verwittigen. Op zo'n moment tellen seconden. Bearbug kwam donderdag binnen om 14.45.uur. Om zestien uur was ons alarm de deur uit. Intussen bleek dat niet alleen Axa, Fortis-België, maar ook Fortis-Luxemburg door de bug werden 'benaderd'. We hebben iedereen in kennis gesteld via onze internetsite www.bipt.be. Via die weg bereikten we 40.000 leden."

Volgens Smet zullen de banken niet makkelijk toegeven dat ze in de klappen deelden. Nochtans staan in de inventaris grote buitenlandse instanties zoals ING, Citibank, ABN-AMRO en de Duitse Volksbank. Axa steekt niet weg dat het virus probeerde binnen te geraken. Persverantwoordelijke Elly Bens: "We konden gelukkig direct ingrijpen dankzij onze firewall (virtuele barricade, AdG), zeker toen we ontdekten dat er met exe - als doc-attachments geknoeid was. De firewall ketst sowieso twee dezelfde mails met verschillende bijvoegsels af. Onze mailsweeper haalt ze er uit."

Volgens Eddy Willems, adviseur bij het BIPT en lid van het Europees Instituut voor Anti Virus Research, kregen gewone bedrijven in België rechtstreeks met het virus te maken. Bearbug kwam daar binnen door zich voor te doen als een vriendelijke reclame, uitgaande van een bank. Daarin promootte men onder andere gunstigere rentetarieven. "Perfide is dat de gebruiker niet in de gaten heeft dat er wat in zijn computer sluipt. Men opent een attachment met reclame en raakt zonder het te weten besmet met Bearbug. Zelfs een mailtje openen was soms al genoeg om geïnfecteerd te raken. Intussen gaat de hacker met belangrijke informatie aan de haal. De vraag rijst tegen wie de gedupeerde zich later verweert als blijkt dat zijn informatie is misbruikt voor grote financiële transacties. Tegen een onbekende? Vooralsnog hebben we alleen een vermoeden dat de bedenker van de bug in de States zit, maar wat als die opereerde vanuit een bananenrepubliek? In sommige gevallen gaat hij dan gewoon vrijuit."

Op zo'n moment tellen seconden. Bearbug kwam binnen om 14 uur 45. Om 16 uur was het alarm de deur uit. Toen bleek dat Axa, Fortis en Dexia werden 'benaderd'

Meer over

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234