‘Is this real, or a damn joke?’

Politie en OM verrasten infostealers op een internationale cyberklapdag

‘Mocht u dit mailbericht aan anderen (uw cliënt of (andere) derden) willen laten lezen, of dit mailbericht aan het dossier willen toevoegen, dan dienen de mailadressen van anderen dan uw eigen mailadres daaraan voorafgaand toereikend en aantoonbaar verwijderd of geanonimiseerd te worden.’

Een disclaimer onderaan mails die Bjorn Roeleven verstuurt, maakt het direct duidelijk: voor de cybercrimeofficier van arrondissementsparket Limburg heeft privacy prioriteit. En precies die privacy werd geschonden door criminelen in zijn onderzoek naar gebruikers van infostealers.

Een infostealer, verduidelijkt hij in vergaderzaal ‘Rijksrecherche’ van de Dienstverleningsorganisatie OM (DVOM) in Utrecht, is een stuk slechte software, malware. “Een virus, dat bij slachtoffers op hun computer wordt geïnstalleerd, dat bijvoorbeeld verstopt zit in een pdf of andere legitiem ogende software die het slachtoffer opent. Daarna gaat de infostealer informatie stelen. Opgeslagen cookies, gebruikersnamen en wachtwoorden komen wederrechtelijk terecht bij degene die de infostealer heeft ingezet. Eigenlijk wordt daarmee je digitale identiteit gestolen,” zegt Roeleven. “Criminelen kunnen zich voordoen als jou, bijvoorbeeld bij het inloggen in je bankomgeving of DigiD. Daarnaast kunnen zij alles doen met al jouw opgeslagen gebruikersnamen en wachtwoorden.”

Dergelijke infostealers worden gemaakt door ‘operators’ en door verspreiders via Telegramgroepen verkocht aan afnemers, zogenaamde ‘affiliates’. Deze afnemers kunnen voor bepaalde of onbepaalde tijd een abonnement op de infostealer kopen en met enig tweaken ook nog bepalen of hun product bijvoorbeeld vooral uit is op bancaire inloggegevens of juist op socialmediagegevens.

Het cybermannetje

Bjorn Roeleven en zijn regionale team cybercrime komen het bestaan van twee grote infostealers, RedLine en Meta, niet zelf op het spoor. Het is april 2023 als op een cybersecuritycongres in San Fransisco een rechercheur van het Nederlandse Team High Tech Crime (THTC) een presentatie over infostealers bijwoont van Dave Maasland, directeur van cybersecuritybedrijf ESET Nederland. Maasland heeft dan in Nederland ondertussen de status van BN’er verworven, door zijn commissarisfunctie bij voetbalvereniging Sparta, of meer nog: door zijn regelmatige optreden als ‘het cybermannetje’ aan de bar van het tv-programma Vandaag Inside.

De infostealers RedLine en Meta zijn spelers van formaat, horen Maaslands toehoorders, en ze vormen een grote dreiging. ESET struint dagelijks het internet op bedreigingen af, onder meer door poorten te scannen, te kijken in open bronnen en te leren van eerdere hacks. Het heeft gezien dat RedLine en Meta op zo’n 1200 servers actief zijn, waarvan zo’n 20 procent in Nederland staat. ESET levert de rechercheur daarop een lijst. En op die lijst staat informatie over servers en panels die de criminelen inzetten. Zo ontstaat een eerste zicht op de infrastructuur van deze criminele dienstverlener.

Binnen politie en OM moet dan worden bepaald of de informatie interessant genoeg is, en wie dan wat zou moeten doen. Daarover overleggen regionale cybercrimeteams en de cybercrimeofficieren van justitie.

Roeleven: “De Belgen en de Amerikanen bleken er al mee bezig te zijn. Maar dat een groot gedeelte van de bij de criminaliteit gebruikte servers in Nederland stond, maakte ook actie van Nederland logisch. We ontdekten dat deze infostealers sinds 2020 ongeveer zesduizend gebruikers hebben gekend, waarvan op het latere moment van het ‘klappen’ van ons onderzoek er ongeveer 250 actief waren.”

Arrondissementsgrenzen doen er bij cybercrime nauwelijks toe, want de gebruikers van de infostealers bevinden zich, net als hun slachtoffers, overal en nergens. Maar iemand moet de opsporingshandschoen oppakken, en in dit geval is dat parket Limburg, waar Roeleven werkzaam is.

Bij de start kiest Roeleven er samen met het politieteam voor om eerst de criminele infrastructuur rond de infostealers nog beter in beeld te krijgen. “Hoe beter we snapten hoe het werkte, hoe beter we konden optreden. We kozen er daarom voor om de inhoud van twee servers met daarop een panel te vorderen bij de hostingprovider. Onderzoek naar de verkregen data gaf ons team inderdaad aardig wat zicht op de puzzel. Met deze informatie kon de politie, in een soort lab-opstelling, de infrastructuur nabouwen zodat duidelijk werd hoe tussen slachtoffer, malware-gebruiker en operator het lijntje liep: de wijze van communiceren en de versleuteling van de data. Daarmee zagen we dat twee Nederlandse servers als de backbone van de organisatie dienden. Daar communiceerde alles mee. Dat was het moment dat we beseften: misschien hebben we goud in handen.”

‘Beste e-mailer. Ik lees nu geen mail en ben telefonisch alleen bereikbaar voor spoedinzet van de hackbevoegdheid. Voor urgente vragen over de inzet van de hackbevoegdheid kan je ook een bericht sturen.’

Dat antwoord krijg je als je tijdens zijn vakantie mailt naar Jesse van der Putte, die als officier bij het Landelijk Parket betrokken is bij elke inzet van een van de zwaarste bevoegdheden van het OM: de hackbevoegdheid. Waarover straks meer.

In de DVOM-vergaderzaal in Utrecht zet Van der Putte, die jaren cybercrimeofficier in Noord-Holland was, eerst alle stoelen keurig op een rijtje voordat hij bij Roeleven aanschuift en het woord neemt. “Zo’n onderzoek als dat van Bjorn wijkt sterk af van een opsporingsonderzoek naar een gewone inbraak waarbij autosleutels zijn ontvreemd. Maar als digitále sleutels zoals wachtwoorden zijn gestolen, wordt het misdrijf pas zichtbaar als met die gestolen inloggegevens is geprobeerd om ergens in te loggen. En dan heeft de digitale dief zijn delict ook nog eens verricht met een product – de infostealer – die een ánder hem leverde. Dat levert een heel andere keten van criminaliteit op. Zou je dan ‘klassiek’ gaan rechercheren op basis van aangiftes, dan is het heel moeilijk en tijdrovend om alle slachtoffers en daders te achterhalen.”

Cybercrimeofficieren weten al jaren dat je beter anders kunt starten: vanuit contacten die de opsporing voortdurend onderhoudt met de cybercommunity, met wetenschappers, met de securitybranche en andere overheidspartijen. “Dáár”, zegt Van der Putte, “komen belangrijke signalen vandaan en die zijn heel waardevol bij het maken van analyses over wat de Nederlandse politie en OM het best kunnen aanpakken. Dat vindt dan uiteindelijk zijn weg naar een parket. In dit geval naar Bjorn in Limburg.”

Stekkers eruit trekken

Dus richt het onderzoek van Bjorn Roeleven zich op de dienstverleners die de malware aanbieden. Op de leveranciers van, zoals dat heet, cybercrime as a service. Met de twee belangrijke servers dus al in het vizier besluit Roeleven om de bevoegdheid van pseudokoop in te zetten. Een rechercheur koopt de malware en belandt daarmee in een Telegramgroep van ongeveer tweehonderd andere gebruikers van de infostealers. In die groep is een hele servicedesk actief, en krijgen de gebruikers regelmatig updates van hun product. De aankoop en de communicatie in de Telegramgroep legt de werking van de infostealers weer wat meer bloot.

Het schreeuwt om ingrijpen. “Maar ja,” beseft zaaksofficier Roeleven, “hoe kan je deze infostealer ook echt besténdig onderuithalen? Voor een takedown kun je wel naar een datacenter gaan, waar je de harde schijven en stekkers eruit trekt. Maar de exacte locatie van de server hadden we niet, vanwege de structuur van veel ondoorzichtige lagen die hostingproviders kennen. En als je bovendien niet weet waar de back-up van infostealersorganisatie staat, heeft het eruit trekken van één harde schijf weinig effect; dan kan alles binnen een uur weer online staan. Nog los van het punt dat als je willekeurig stekkers uit een server trekt, je niet weet of je schade aanricht bij bonafide gebruikers van de gehuurde serverruimte.”

Dergelijke ingrepen verraden bovendien de opsporing. Dat bleek al toen Roeleven, zoals eerder beschreven, bij een hostingprovider een panel vorderde. Direct nadat OM en politie het panel in handen hadden, veranderde meteen de infrastructuur van de infostealer. Dus heeft het opsporingsteam zijn les geleerd. Het gaat een hostingpartij die niet betrouwbaar lijkt, niet aan de neus hangen waar het verder nog mee bezig is.

Wat dan wel te doen? Eigenlijk, zo wordt in zijn opsporingsteam geopperd, zouden politie en OM moeten binnendringen bij de infostealer, om van binnenuit de boel onklaar te maken. Dat is het moment dat Roeleven terugdenkt aan een presentatie die LP-officier Jesse van der Putte ooit gaf over de inzet van de hackbevoegdheid. Van der Putte heeft het gezag over DIGIT, dat staat voor digital intrusion team. Dat politieteam mag als enige in Nederland de hackbevoegdheid inzetten als opsporingsmiddel.

Niet veel later zitten de Limburgse cybercrimeofficier en de landelijke officier met elkaar om de tafel, net zoals hun evenknieën dat bij de politie doen. Hackofficier Van der Putte: “De politie mag sinds maart 2019 onder strikte regels hacken, dus binnendringen in alles wat tegen het internet aan praat: laptops, tablets, telefoons, een server, een desktop, een bedrijfsnetwerk. Als het team DIGIT binnengedrongen is, kan het allerlei onderzoekshandelingen verrichten: gegevens kopiëren, afluisteren, met de camera van een gehackt apparaat observeren, de GPS-module in zo’n apparaat activeren om te kijken waar het apparaat – en wellicht de gebruiker – zich bevindt en data ontoegankelijk maken.”

Het team van Bjorn weet hoe de gebruikers van infostealers communiceren en hoe de afgenomen malware werkt. Maar cruciale kennis ontbreekt nog. Van der Putte: “Want er was nog beperkt zicht op de binnenkant van die criminele infrastructuur. Ze wisten in welk datacentrum het stond, maar ze konden niet zeggen: het bevindt zich in dít stukje ijzer, in deze kast van het datacenter.”

Doos vol narigheid

Dus moet DIGIT, gevoed met alle informatie van het team cybercrime van Roeleven, gaan binnendringen in de criminele infrastructuur. Om te kijken of het daar informatie kan weghalen en overnemen. Dan kan de infostealer misschien wél uit de lucht gehaald worden. Van der Putte: “Misschien tref je daar dan ook informatie aan over wie de ontwikkelaars van dat product zijn, of waar het geld naartoe gaat. Je weet op voorhand nooit wat je gaat aantreffen. Je ziet een criminele doos waar veel narigheid uitkomt, maar wat er aan de binnenkant van die doos zit, weet je pas als je daar gaat kijken.”

Technisch gaat dat binnendringen een complexe operatie worden, maar ook juridisch is de inzet van de hackbevoegdheid (artikel 126nba in het Wetboek van strafvordering) geen abc’tje. Aangezien die veel nuances kent, moet de vordering die bij de rechter-commissaris wordt ingediend, helemaal correct zijn. Omdat hacken een zware bevoegdheid is, is binnen het OM bovendien expliciete toestemming van het College van procureurs-generaal vereist. Waarbij het College zich weer laat adviseren door de Centrale Toetsingscommissie (CTC) van het OM: staat het hacken wel in verhouding tot de gepleegde strafbare feiten? Kan de waarheidsvinding niet met een lichtere bevoegdheid worden bereikt die minder inbreekt op de privacybelangen van verdachten? Daartoe schrijft zaaksofficier Roeleven, ondersteund door Van der Putte, allerlei stukken en licht hij zijn plannen mondeling toe aan de CTC.

Roeleven: “Voor mij was het de eerste keer dat ik de hackbevoegdheid wilde inzetten. Ik zag op voorhand best wat technische en juridische uitdagingen. Maar de samenwerking met Jesse en zijn collega’s bij het Landelijk Parket was geweldig. Ze dachten en lazen met alles mee: ‘Let hierop, denk daaraan’. Ook deden zij de technische briefing van de CTC. Want hoe zij precies zouden proberen binnen te dringen, was niet relevant voor mijn onderzoek, dat hoefde ik niet te weten. Dat ik op zoveel punten door hen werd ontzorgd, gaf mij de rust en ruimte om te kunnen blijven sturen op mijn eigen onderzoek.”

Van der Putte: “Hoe DIGIT precies wil binnendringen, vertellen we de buitenwereld niet. Dan maak je criminelen wijzer dan ze zijn. Dus dat schermen we helemaal af en hoeft de politie ook niet te verbaliseren. Maar we informeren de CTC daar wel over, zodat zij haar advies goed kan geven.”

Broncode als buit

Na een positief CTC-advies, groen licht van het College en het indienen van de vordering bij de RC, gaat DIGIT binnendringen. Ze slagen met vlag en wimpel. Van der Putte: “Na dat mooie stukje werk maakten ze kopieën van daar gevonden gegevens en bestanden. Niet veel later kan het team de resultaten aan Bjorn presenteren.”

De Limburgse zaaksofficier is er verguld mee. Want nu heeft hij, zoals hij dat noemt ‘de sleutel tot alles’ in handen. Zijn team krijgt overal zicht op. Zicht op een klantenbestand van zesduizend kopers van de infostealersoftware. Zicht op een back-up mechanisme dat voor de infostealerklanten was ingeregeld. Zicht op het stuk software waarmee op Telegram het aankopen van het abonnement werd geautomatiseerd. Zicht op de ‘verificatie’. Die verificatie is een stuk software waarmee de verkoper van de malware kan zien of het abonnement van de koper op het gebruik van de infostealers nog geldig is. En als klap op de vuurpijl: zicht op de broncode van de infostealers. Daarmee kunnen securitybedrijven hun antivirussoftware verbeteren, zodat de malware wordt gedetecteerd en uitgeschakeld. “Al die informatie,” zegt Roeleven, “gaf ons enorme kansen voor een écht goede takedown van de infostealers en voor het beschadigen van hun reputatie. We gingen het beest de kop afbijten.”

Ook dan is timing en afstemming weer cruciaal. Tijdens een klapdag moeten alle horloges gelijk staan. Want de Nederlandse inspanningen vinden dan inmiddels al lang plaats onder de paraplu van de internationale Operation Magnus, waarin ook Europol, Eurojust en de FBI meedoen. Waar Nederland binnen die samenwerking goede kaarten heeft voor de takedown, hebben de Amerikanen inmiddels zicht op een verdachte operator van de infostealers. De Belgen hebben weer een afnemer van de malware op de korrel. Bovendien hadden de zuiderburen plannen om de Telegramgroepen van de infostealers uit de lucht te halen. Ondertussen ontwikkelde bedrijf ESET een tool waarmee burgers gratis kunnen kijken of de malware zich op hun computer had genesteld.

28 oktober 2024 is het klapdag. Alle landen voeren hun acties uit. En de infostealers: ze gaan neer. Gebruikers van de malware zien in een Telegramgroep – voordat de Belgen die uit de lucht halen – een post en video van de internationale rechtshandhavers van Operation Magnus. Met als kernboodschap: het spel is uit.

Het leidt tot ongeloof en paniek bij de gebruikers, zo blijkt uit hun posts:

“Is this message real or is it a damn joke?”

“I was dropped from the panel!”

“They are strangling from all sides”

“Is this an exit scam?”

Twee maanden later maken de twee officieren de balans op. “Dit infostealersprobleem,” zegt Roeleven, “is zo internationaal en overstijgt zo je lokale belang. Dan moet je kijken wie de beste kaarten heeft voor de verschillende acties. We hebben twee grote criminele spelers de nek omgedraaid. Ingeschoten op de toplaag binnen de infostealers die een dienst aanboden waarmee miljoenen credentials (onder andere gebruikersnamen en wachtwoorden) zijn gestolen van slachtoffers van over heel de wereld, zeker ook in Nederland. Met strafrechtelijke bevoegdheden hebben we een bijdrage geleverd aan de internetveiligheid. Alhoewel er in Nederland geen verdachten zijn opgepakt geeft deze aanpak minstens zo veel voldoening als een opgelegde straf voor een crimineel. Met deze actie heeft het vertrouwen van criminelen in dit soort dienstverleners een deuk opgelopen. Na de takedown is geen officieel panel meer actief geweest.”

Van der Putte: “Ook hier zullen andere criminelen weer het gat gaan vullen, maar het is goed dat we hebben opgetreden. Gezámenlijk hebben opgetreden. Een beveiligingsbedrijf als ESET speelt een grote rol bij internet security. Maar wat zij als privaat bedrijf niet mogen, mogen wij als OM en politie weer wel: opsporingsbevoegdheden inzetten en systemen van criminelen hacken en uitschakelen. De klap die we gezamenlijk hebben uitgedeeld zal in die wereld nog even nadreunen en te denken geven.”