Politie legt grootste netwerk achter ddos-aanvallen plat

Webstresser.org

Met platleggen van web- stresser.org legt politie bron van aanvallen op banken en overheidssites stil. Er waren arrestaties in diverse landen.

Onderdeel van een server Foto Getty Images

De Nederlandse politie heeft dinsdag een netwerk opgerold van waaruit zes miljoen webaanvallen zijn gelanceerd. Met het platleggen van de site webstresser.org en de arrestatie van de vermoedelijke beheerders zou de grootste veroorzaker van wereldwijde ddos-aanvallen uit de lucht gehaald zijn.

Ddos-aanvallen – ddos staat voor distributed denial of service – bombarderen internetdiensten met een overdosis webverkeer waardoor ze ontoegankelijk worden. De aanvallen zijn vaak politiek getint, worden gebruikt voor afpersing of moeten de status van de cybercrimineel verhogen.

Webstresser.org wordt onder meer in verband gebracht met storingen die in januari de sites van ING, ABN Amro, Rabobank en de Belastingdienst blokkeerden. Het zijn geen hacks, toch veroorzaken ze veel overlast en economische schade. Naar aanleiding van soortgelijke storingen werd in februari een 18-jarige man uit Oosterhout aangehouden. Of hij gebruikmaakte van de site wordt onderzocht.

Abonnement op webaanvallen

Webaanvallen zijn er dagelijks omdat iedereen ze kan bestellen bij diensten als webstresser.org. Voor het goedkoopste abonnement betaal je 15 euro per maand. Wie meer betaalt – tot 999 euro per maand – krijgt toegang tot geavanceerde mogelijkheden om op grotere schaal te kunnen ‘stresstesten’. Dat is een eufemisme voor het blokkeren van andermans websites.

Zo’n ddos-aanval kan gebruikt worden om een tegenstander in een online game te pesten, maar ook om een bank of een ziekenhuis te chanteren. Webstresser.org is de grootste dienst die ddos-aanvallen aanbiedt, met 3.000 aanvallen per dag en 136.000 ingeschreven klanten. De ‘democratisering’ van de ddos-aanval baart de politie grote zorgen. Volgens Gert Ras, hoofd van het team High Tech Crime, groeide het aantal aanvallen sterk. „Webstresser.org maakt het makkelijker als jonge gamer in echte cybercriminaliteit te vervallen.”

Het team High Tech Crime in Driebergen kreeg eind 2017 een tip van Britse collega’s van de National Crime Agency (NCA) dat webstresser.org op een server bij een Nederlandse provider stond. Rechercheurs verwierven zich toegang tot de dienst en maakten een kopie. Toen de beheerders hun infrastructuur naar Duitsland verplaatsten, bleef de Nederlandse politie de zaak volgen. In samenwerking met onder meer Duitsland, VS, Verenigd Koninkrijk, Australië, Spanje, Servië en Kroatië zijn dinsdag enkele tientallen mensen aangehouden die nauw bij webstresser.org betrokken waren.

Dinsdag en woensdag zijn vier vermoedelijke beheerders in Servië en Kroatië gearresteerd, in Canada en het Verenigd Koninkrijk waren soortgelijke acties. In Hilversum is huiszoeking gedaan in de woning van een mogelijke beheerder bij webstresser.org.

Vanaf woensdag worden in Nederland gebruikers aangehouden die ddos-aanvallen via webstresser.org activeerden. Hongkong en Italië pakten al gebruikers op, Spanje en Canada volgen. Waarschijnlijk volgen na deze actie, genaamd Operation Power Off, claims van bedrijven die slachtoffer waren van een webaanval.

Maffiapraktijken

De praktijken leverden beheerders tienduizenden euro’s per maand op via normale overboekingen en een nog onbekend bedrag via bitcoins.

Frank Bernaards, operationeel specialist van team High Tech Crime: „Webstresser bood ook de optie om je tegen betaling niet aan te vallen. Een soort beschermgeld, zoals winkeliers dat aan de maffia moesten betalen.”

Bij ddos-aanvallen zijn lang niet altijd grote netwerken met gekaapte computers nodig (de zogeheten botnets). Een slim ingerichte server kan al genoeg schade aanrichten. Op het kantoor van Team High Tech Crime geeft Bernaards op een afgeschermde computer een kijkje in de technologie achter Webstresser.org. Er is weinig technische kennis nodig voor een webaanval. Het is een kwestie van slachtoffer kiezen, gewenste duur (in aantal dagen) en aanvalsmethode invoeren en op ‘OK’ klikken.

Alle communicatie tussen klanten en beheerders van de ddos-dienst is bewaard gebleven. Dat is voor de politie een bron voor toekomstige onderzoeken. De beheerders gaven onder meer tips welke doelwitten aantrekkelijk waren of juist gemeden moesten worden. Door servers continu te verplaatsen en met anonieme accounts te werken bleven de beheerders ruim twee jaar buiten schot.

Gert Ras ziet het als een waarschuwing aan alle gebruikers van webstresser.org die dachten anoniem te zijn: „We gaan achter de gebruikers aan, zij zullen worden vervolgd en aansprakelijk gesteld worden voor de schade.” Het is onduidelijk welke straf de beheerders te wachten staat. Vorig jaar kreeg een 20-jarige Brit twee jaar cel voor het uitbaten van een netwerk waaruit 1,7 miljoen webaanvallen gecoördineerd werden.

    • Marc Hijink