Actiedag DDoS-aanvallen

"Het moet afgelopen zijn, want er kan veel schade ontstaan"

“Het was eigenlijk simpel, zo’n DDoS-aanval doen via Webstresser.org. Online een abonnement nemen of DDoS-tegoed kopen op webstresser.org. Daarna het IP-adres intikken dat je wilden bestoken. En dan op de knop drukken, achteroverleunen en zien hoe de aangevallen site offline gaat of begint te haperen.”

Dat zegt Yolanda van Setten, cybercrimeofficier van parket Zeeland-West-Brabant, die op 24 en 25 april twee internationale en nationale actiedagen coördineerde.

“Het verleidelijke”, zegt parketsecretaris Janine Bernklau, “was dat het zo openbaar en breed toegankelijk is. Als zo’n site op het dárkweb staat, realiseren mensen zich eerder dat het niet goed is. Maar nu stonden velen er niet bij stil dat het fout was.”

Voor sommigen lijkt het gebruik van Webstresser – met 136 duizend geregistreerde gebruikers verantwoordelijk voor 4 miljoen aanvallen – een kwajongensstreek. Even de school-site platleggen omdat je geen zin hebt in huiswerk. Het IP-adres van een andere online gamer ‘dossen’, zodat je hem offline haalt, en zelf de punten pakt.

Botnet

Officier Van Setten weet beter. “Het is ernstiger dan veel mensen denken. Stel dat je vlak voor Kerst een site als bol.com platlegt, dan heeft zo’n bedrijf veel schade. Soms worden bedrijven daarbij gechanteerd: alleen als ze bitcoins betalen, worden ze niet aangevallen. Ik snap dat sommigen dan betalen, maar daarmee maak je het probleem nog groter. Daarbij komt dat een aanval meer is dan alleen het bestoken van dat ene IP-adres. Door de aanval kan de infrastructuur van de server beschadigd raken. Dan hebben veel meer sites last van die DDoS-aanval. Besef ook dat zo’n DDoS-aanval gebruik maakt van een botnet van besmette computers, dat waarschijnlijk niet legaal verkregen is.”

“Wat er op het darkweb gebeurt, daar kunnen we minder tegen doen. Maar in ieder geval, vonden we, moet het afgelopen zijn met het openlijk aanbieden van dit soort diensten.”

Maanden eerder startte het idee van de twee actiedagen bij het Landelijk Parket en het politieteam High Tech Crime van de Landelijk Eenheid. Op enig moment vroeg LP-officier Dirk Jan Laman aan Yolanda van Setten of zij de dagen wilde ‘trekken’. “We kwamen in een gespreid bedje,” looft Van Setten de ‘landelijke’ collega’s van OM en politie, “de acties waren al goed voorbereid.”

Het Nederlandse onderzoek startte nadat het Engelse National Crime Agency meldde dat de server

van Webstresser in Nederland stond en werd gehost. Aan die beheerder, waarmee overigens goed contact was, zijn vorderingen gedaan om kopieën van de website en database van Webstresser te verkrijgen. Ondertussen legde team HTC contact met allerlei internationale opsporingsdiensten en gaf het OM toestemming voor informatieverstrekking aan het buitenland, zodat andere landen daarmee ook administrators (beheerders) en gebruikers van Webstresser konden onderzoeken.

Splashpage

En dan wordt het dinsdag 24 april. Internationale actiedag ‘Operation Power Off’, met als deelnemers Engeland, Duitsland, Schotland, Australië, Canada, Italië, Spanje, Servië, de VS, Kroatië, Hong Kong, Europol. Van Setten balt triomfantelijk de vuisten: “Met medewerking van de host hebben we toen de server van Webstresser offline kunnen halen. We hebben de server wel formeel in beslag genomen, ook om de hosting provider te beschermen. Want als ze zelf zo maar wat offline zouden halen, zouden ze een schadeclaim aan hun broek kunnen krijgen.”

De VS nemen die dag de domeinnaam Webstresser.org in beslag, en ‘redirecten’ die naar een splashpage. Gevolg: wie vanaf die dag het IP adres van Webstresser bezoekt, ziet op zijn scherm in hoofdletters: ‘This site has been seized.’

’s Ochtends om 7.00 uur staat Yolanda van Setten op de stoep voor een woning ergens in Midden-Nederland. Hier, zo luidt de verdenking, woont een administrator van Webstresser. Als de bewoners, die nog sliepen, eindelijk opendoen, wacht de officier op haar beurt. Eerst treedt de politie binnen, dan de rechter-commissaris en de griffier (die bij een doorzoeking in een woning de leiding hebben), dan Van Setten.

Binnen ziet Van Setten in een kleine woonkamer twee computers op een bureau tegen de muur staan. Vier grote schermen. Flashy randapparatuur. En twee zetels waarop, zo blijkt al snel, de twee zonen vaak nachten lang op gamen.

De ouders, die een eetbedrijfje bestieren en de Nederlandse taal nauwelijks machtig zijn, schrikken van het de actie. Met gebruik van de tolkentelefoon wordt hen uitgelegd waarvoor de huiszoeking dient: een verdenking van cybercrime.

Geheugendumps

De doorzoeking was eigenlijk makkelijk, zegt Van Setten. “Er hoefden niet allerlei kasten en dozen te worden geopend. De spullen die we zochten – computers, telefoons en gegevensdragers – stonden direct in het zicht. Toch duurde het uren voordat we weg konden, omdat daar wel alle gegevens moesten worden veiliggesteld. Terwijl de RC en ik erbij stonden en er naar keken, bogen politiemensen zich over de computers. Ze maakten geheugendumps en stelden informatie veilig op hun eigen hardware.”

Tijdens de actiedag bliept af en toe Van Settens telefoon. Het ene na het andere politiebericht komt binnen. ‘Servië is nu actief geworden!’ Even later: ‘Ook Kroatië is zijn actiedag gestart!’ Fantastisch vond de cybercrimeofficier dat. “Het leek wel of de hele wereld met alleen maar dit onderzoek bezig was. Je gaat met buitenlandse collega’s die je niet kent, aan de slag. En in de twee weken dat je met elkaar aan de slag gaat, is het enthousiasme waanzinnig.”

De verdachte (“Een jonge knul waar ik heel voorzichtig mee wil omgaan”) is inmiddels een eerste keer verhoord en zal nog verder worden verhoord. Tijdens deze internationale actiedag worden wereldwijd negen personen aangehouden c.q. verhoord. Elf woningen worden doorzocht. Vier servers, een domein, twee computers worden in beslaggenomen. Twee mensen worden in voorarrest geplaatst.

Knock & Talk

Een dag later, woensdag 25 april, dendert Operation Power Off door. Overal in Nederland worden gebruikers van Webstresser bezocht. In haar eigen arrondissement worden vier verdachte gebruikers door de politie bezocht. Bij twee van hen blijft de actie beperkt tot ‘knock & talk’: “De politie confronteerde de verdachte met het bewijs en verifieerde een aantal zaken. Bij hen hebben we het uiteindelijk bij een waarschuwing gelaten.”

Parketsecretaris Janine Bernklau: “De jongens vertelden de politie dat ze niet hadden gedacht dat dossen zo makkelijk was. Ze zeiden dat ze niet goed wisten of het nu wel of niet illegaal was. Jonge verdachten die bijvoorbeeld alleen maar tegenstanders in hun game ‘dosten’, willen we niet direct een strafblad bezorgen. Want dan is hun cybercarrière al om zeep geholpen, nog voordat die gestart is. Maar ze weten dat het nu menens is en dat ze een volgende keer ‘hangen’.”

Tijdens actiedag 2 vinden uiteindelijk in Nederland elf doorzoekingen plaats. Er wordt een aanhouding verricht, twee regio’s doen nog onderzoek, vijf mensen zijn ontboden voor verhoor en bij vijf mensen bleef het contact met de politie beperkt tot een knock & talk-actie.

Officier Van Setten en parketsecretaris Bernklau maken de balans op van twee actiedagen. Sinds Webstresser offline is, is het aantal DDoS-aanvallen in Europa met zo’n 60 procent afgenomen, stelt het Duitse securitybedrijf Link11.

En de boodschap van OM en politie – “Als je gaat dossen, is dat niet anoniem!” – blijkt goed geland. Op socialmediaplatform Reddit is flink over de actie gediscussieerd, waaraan ook het team HTC meedeed. Velen bleken geschrokken: Wát? Heeft de politie nu alle logs van Webstresser? Waardoor alle betalingen, aanvallen, en contacten met de Webstresser-helpdesk bij de politie bekend zijn!?

Van Setten en Bernklau: “Terwijl scholen, gezinnen en gebruikersgroepen nu goede discussies voeren over wat wel en niet mag, zijn DDoS-aanvallers flink onrustig geworden. ­Prima, laat ze maar schrikken.”