Celstraf voor 21-jarige malware-ontwikkelaar

Cybercriminaliteit De 21-jarige informaticastudent Marco van A. werd donderdag veroordeeld voor het programmeren en verkopen van hackgereedschap.

De door de Rotterdamse rechtbank veroordeelde hacker Van A. ontwikkelde als programmeur vanaf het voorjaar van 2018 een bepaald type hackgereedchap, zogeheten ‘loaders’.
De door de Rotterdamse rechtbank veroordeelde hacker Van A. ontwikkelde als programmeur vanaf het voorjaar van 2018 een bepaald type hackgereedchap, zogeheten ‘loaders’. Foto David van Dam

Marco van A. was krap twee maanden twintig toen hij afgelopen voorjaar tijdens een college opgepakt werd door agenten in burger. De agenten droegen extra zorg om ook de laptop van de informaticastudent ingeschakeld in beslag te nemen. Van A. was namelijk geen gewone student informatiekunde aan de Universiteit Utrecht, maar volgens het Openbaar Ministerie „een high level hacker en een professioneel zakenman” die duizenden euro’s verdiende door hackgereedschap aan andere cybercriminelen te verkopen.

Donderdag werd de inmiddels 21-jarige Van A. door de rechter in Rotterdam schuldig bevonden aan het ontwikkelen en verkopen van malware en het bezit van tientallen gestolen creditcardgegevens. Hij kreeg een celstraf van 192 dagen, waarvan alleen zijn voorarrest van twaalf dagen onvoorwaardelijk was. Hij hoeft daarom niet opnieuw de cel in. Van A. kreeg wel een maximale taakstraf van 240 uur en een proeftijd van drie jaar.

Schadelijke code

Van A. stond als programmeur vanaf het voorjaar van 2018 aan de wieg van een bepaald type hackgereedchap, zogeheten ‘loaders’. Dat is specialistische software die schadelijke code kan verstoppen in onschuldig ogende word- of excelbestanden. De kunst is om de bestanden - vaak verstuurd als bijlage bij een phishing e-mail - zo echt mogelijk te laten lijken. Klikt het argeloze slachtoffer het bestand aan, dan downloadt de loader vervolgens andere malware naar de geïnfecteerde computer en voert die onopgemerkt uit. Zo verkrijgen cybercriminelen toegang tot computers, om er bijvoorbeeld gijzelsoftware op uit te voeren.

De software van de twintiger vormde zo een belangrijke schakel in de steeds verder gespecialiseerde online cybercrime-industrie. Rubella Macro Builder - de eerste variant van de software van Van A. - kon voor 500 dollar per maand in Bitcoin gebruikt worden, bleek uit onderzoek van beveiligingsbedrijf McAfee. Van A. adverteerde op diverse ondergrondse hackfora en was daar zeer actief, schreef onderzoeker John Fokker destijds. „Hij vertoonde daar het klassieke groeipatroon van een ambitieuze cybercrimineel, die begon met het vergaren van technische kennis op beginnersfora en zich langzaam verplaatste naar de grotere, exclusieve fora om daar producten en diensten aan te bieden.”

Latere varianten van de software, met de naam Dryad en Cetan, waren geavanceerder en konden de bestanden ook een betrouwbaarder uiterlijk geven. Van A. verdiende er volgens het Openbaar Ministerie tienduizenden euro’s aan Bitcoin mee. Het OM nam de zaak hoog op en merkte op dat dit soort hackgereedschap aan de basis staat van gijzelsoftware met verstrekkende gevolgen, zoals die op de Universiteit Maastricht van eind vorig jaar. De universiteit betaalde uiteindelijk bijna 200.000 euro om gegijzelde bestanden vrij te kopen.

Lees meer over de cyberaanval op de Universiteit Maasricht. Na fatale klik hadden hackers vrij spel

Technische uitdaging

Van A. bekende in een eerdere zitting al dat hij de software had gemaakt en verkocht. Malware vond hij al jaren interessant en hij zou vanwege de „technische uitdaging” Rubella ontwikkeld hebben. Het was nooit zijn bedoeling geweest dat anderen misdaden met de software gingen plegen, verklaarde hij.

Van A. ziet zijn programma als „een lege huls”. Niet hij, maar zijn klanten bepaalden wat voor soort software het programma uiteindelijk ongedetecteerd op de computer zou downloaden en uitvoeren. En wie zijn klanten waren, wist Van A. niet precies. Hij hield zich „niet zo bezig met waar zijn klanten zijn software voor gebruikten”.

De rechtbank oordeelde echter dat Rubella wel degelijk hoofdzakelijk gemaakt was om cybercrime te faciliteren. De advertentieteksten en chatgesprekken wijzen er volgens de rechters op dat Van A. wist waarvoor zijn product gebruikt zou worden én aan wie hij het verkocht. „Het stadium van ‘klieren’ op internet, zoals de verdachte zelf verklaart begonnen te zijn, was de verdachte toen al lang voorbij en dat wist hij ook.”

Geen kattenkwaad

Na zijn arrestatie werden op de zolderkamer in het ouderlijk huis van Van A. gegevens van tientallen creditcards gevonden en handleidingen en chatgesprekken hoe deze te gebruiken om geld mee te stelen. Ook werd ruim 22.000 euro aan Bitcoin gevonden, waar Van A. afstand van deed.

De onvoorwaardelijke celstraf ter hoogte van het voorarrest valt fors lager uit dan de achttien maanden cel die het OM eiste, waarvan zes voorwaardelijk. De rechters lieten in hun oordeel meewegen dat Van A. zijn leven als informaticastudent verder op orde heeft, een schoon strafblad had en „nog heel jong was” toen hij zijn misdaden pleegde. John Fokker van McAfee noemde de jonge leeftijd van Van A. ook „een verontrustende gedachte”. „Als hij zijn vaardigheden maar voor goede doelen had ingezet. Klaarblijkelijk was de lokroep van het snelle cash aantrekkelijker dan een stevige langdurige carrière.”

Ondanks de lagere straf is het landelijk parket van het Openbaar Ministerie tevreden met de uitspraak, laat een woordvoerder desgevraagd weten. „We vinden het belangrijk dat de rechtbank een gevangenisstraf heeft opgelegd. Dat markeert in onze ogen wel dat de rechter het geen kattenkwaad vindt van een doorgeschoten puber, maar de zaak serieus neemt. Je krijgt een gevangenisstraf voor dit soort strafbare feiten, ook als je jong bent komt je er niet mee weg.”

Correctie (19 maart 2020): In een eerdere versie van dit artikel werd de voorwaardelijke celstraf per abuis nog eens opgeteld bij de volledige gevangenisstraf. Het bericht is aangepast.