Politie legt grootste netwerk achter ddos-aanvallen plat

Ddos-aanvallen Met het platleggen van webstresser.org maakt de politie een belangrijke bron van aanvallen op banken en overheidssites onschadelijk.

Screenshot politie

De Nederlandse politie heeft dinsdag een netwerk opgerold van waaruit zes miljoen webaanvallen zijn gelanceerd. Met het platleggen van de site webstresser.org en de arrestatie van de vermoedelijke beheerders zou de grootste veroorzaker van wereldwijde ddos-aanvallen uit de lucht gehaald zijn.

Ddos-aanvallen – de afkorting staat voor distributed denial of service – bombarderen internetdiensten met een overdosis webverkeer waardoor ze ontoegankelijk worden voor de buitenwereld. De aanvallen zijn vaak politiek getint, worden gebruikt voor afpersing of moeten de status van de cybercrimineel achter de schermen verhogen.

Webstresser.org wordt onder meer in verband gebracht met storingen die in januari nog de sites van ING, ABN Amro, Rabobank en de Belastingdienst blokkeerden. Het zijn geen hacks, toch ze veroorzaken veel overlast en economische schade. Naar aanleiding van soortgelijke storingen werd in februari een 18-jarige man uit Oosterhout aangehouden. Of hij gebruik maakte van de site wordt onderzocht.

Abonnement op webaanvallen

Webaanvallen zijn aan de orde van de dag omdat iedereen ze kan bestellen bij diensten als webstresser.org. Voor het goedkoopste abonnement betaal je 15 euro per maand. Wie meer betaalt – tot 999 euro per maand – krijgt toegang tot zeer geavanceerde mogelijkheden om op grotere schaal te kunnen ‘stresstesten’. Dat is een eufemisme voor het blokkeren van andermans websites.

Zo’n ddos-aanval kan gebruikt worden om een tegenstander in een online game te pesten, maar ook om een bank of een ziekenhuis te chanteren. Webstresser.org is niet de enige dienst die ddos-aanvallen aanbiedt maar wel de grootste, met 3.000 aanvallen per dag en 136.000 ingeschreven klanten.

Lees ook: Klanten van Nederlandse banken kunnen door Ddos-aanvallen vaak niet inloggen.

De ‘democratisering’ van de ddos-aanval baart de politie grote zorgen. Volgens Gert Ras, hoofd van het team High Tech Crime, groeide het aantal aanvallen sterk. „Webstresser.org maakt het makkelijker om als jonge gamer in echte cybercriminaliteit te vervallen”, aldus Ras. Volgens hem werken aanvallen op prominente doelen statusverhogend in de wereld van de cybercrimineel in spe.

Het team High Tech Crime in Driebergen kreeg eind 2017 een tip van Britse collega’s van de National Crime Agency (NCA) dat webstresser.org op een server bij een Nederlandse provider stond. Rechercheurs verwierven zich toegang tot de dienst en maakten een kopie. Toen de beheerders van webstresser.org hun infrastructuur naar Duitsland verplaatsen, bleef de Nederlandse politie de zaak volgen.

Achter de schermen bij Webstresser.org kun je met een paar klikken een aanval lanceren. Screenshot politie

In samenwerking met onder meer Duitsland, de VS, het Verenigd Koninkrijk, Australië, Spanje, Servië en Kroatië zijn dinsdag enkele tientallen mensen aangehouden die nauw bij webstresser.org betrokken waren.

Dinsdag en woensdag zijn vier vermoedelijke beheerders in Servië en Kroatië gearresteerd, in Canada en het Verenigd Koninkrijk waren soortgelijke acties. In Hilversum is huiszoeking gedaan in de woning van een mogelijke beheerder bij webstresser.org.

Vanaf woensdag worden door heel Nederland gebruikers aangehouden die ddos-aanvallen via webstresser.org activeerden. Hong Kong en Italië hebben al gebruikers opgepakt, Spanje en Canada volgen. Waarschijnlijk volgen na deze actie, genaamd Operation Power Off, claims van bedrijven die slachtoffer waren van een webaanval. Er lopen al onderzoeken naar afzonderlijke aanvallen.

Maffiapraktijken

Door de inbeslagname van alle data kregen rechercheurs een gedetailleerd inkijkje in de doelwitten en gebruikers van de afgelopen maanden. Het leverde beheerders tienduizenden euro’s per maand op via normale overboekingen en een nog onbekend bedrag via bitcoins.

Frank Bernaards, operationeel specialist van team High Tech Crime: „Webstresser bood ook de optie om je tegen betaling niet aan te vallen. Een soort beschermgeld, zoals winkeliers dat aan de maffia moesten betalen.”

Aan de voorkant leek webstresser.org een keurige winkel, aan de achterzijde was het een wapen om webaanvallen te lanceren. Bij ddos-aanvallen zijn lang niet altijd grote netwerken met gekaapte computers nodig (de zogeheten botnets). Een slim ingerichte server kan al genoeg schade aanrichten om een website of webdienst compleet te ontwrichten.

Turbo power

Op het kantoor van Team High Tech Crime, in Driebergen, geeft Bernaards op een afgeschermde computer een kijkje in de technologie achter Webstresser.org. Er is weinig technische kennis voornodig om een webaanval te starten. Het is een kwestie van slachtoffer kiezen, gewenste duur (in aantal dagen) en aanvalsmethode invoeren en op ‘OK’ klikken. Wie wil, kan wat extra ‘turbo power’ inschakelen om meer schade te veroorzaken, of upgraden naar een ‘platinum’ abonnement met meer mogelijkheden.

Webstresser.org beloofde tot 350 gigabit/seconde aan bandbreedte af te kunnen vuren op doelwitten. Screenshot politie

Alle communicatie tussen de klanten en de beheerders van de ddos-dienst is ook bewaard gebleven. Dat is voor de politie een bron voor toekomstige onderzoeken. De beheerders gaven onder meer tips welke doelwitten aantrekkelijk waren of juist gemeden moesten worden. Erg vriendelijk waren ze overigens niet tegen hun klanten, aldus Bernaards. Door servers continu te verplaatsen en met anonieme accounts te werken bleven de beheerders ruim twee jaar buiten schot.
Gert Ras ziet het als een waarschuwing aan alle gebruikers van webstresser.org die dachten anoniem te zijn: „ Je bent dus niet zo anoniem als je denkt. We gaan achter de gebruikers aan, zij zullen worden vervolgd en aansprakelijk gesteld worden voor de schade die zij hebben veroorzaakt”.
Wie Webstresser.org nu bezoekt, ziet een ‘splashpage’ die waarschuwt dat de site uit de lucht is gehaald en de opsporingsdiensten die aan de actie meewerkten. Een groot deel van hen werkt mee aan Joint Cyber action taskforce (J-CAT) bij Europol. Daarnaast heeft de Nederlandse politie zoektermen ingekocht bij Google Adwords, om geïnteresseerden erop te wijzen dat het ‘stressen’ of ‘booten’ van websites (synoniem voor een ddos-aanval) strafbaar is en aangepakt wordt.

Het is onduidelijk welke straf de beheerders te wachten staat. Vorig jaar werd een 20-jarige Brit nog veroordeeld tot twee jaar gevangenisstraf voor het uitbaten van een netwerk waaruit 1,7 miljoen webaanvallen gecoördineerd werden.

Overzicht van de verschillende aanvalsmethoden die webstresser.org bood. Screenshot Politie

    • Marc Hijink