Tags

Nederlandse servers spelen sleutelrol bij internationale cybercrime (Stijn van Gils, Europa/fd, 2 juli 21)

Na de hack op Colonial Pipeline konden miljoenen Amerikanen dagenlang nauwelijks tanken. Servers van de groep achter deze aanval zijn in Nederland in beslag genomen na onderzoek van de politie.

In het kort:

  • Veel criminele data worden vanuit Nederland gehost, en dat is slecht voor het Nederlandse imago.
  • Onlangs wist de politie servers in beslag te nemen van DarkSide, de groep die een groot deel van de Amerikaanse brandstofvoorziening platlegde.
  • Door beter samen te werken wil de politie criminelen afschrikken.

Criminelen maken massaal gebruik van Nederlandse datacentra voor hun duistere activiteiten. Zo maakte de hackersgroep die de brandstofvoorziening aan de Amerikaanse-Oostkust platlegde gebruik van servers in Nederland. Hun apparatuur met terabytes aan gestolen data zijn onlangs in beslag genomen, laat de politie weten aan het FD.

De inbeslagname van servers van de groep, die zichzelf DarkSide noemt, is geen geïsoleerd geval. De politie maakt zich zorgen over de hosting van criminele data en computerkracht in Nederland. ‘Er wordt hier bovengemiddeld veel cybercriminele infrastructuur gehost’, zegt Sander van der Maden, strategisch adviseur bij het Team High Tech Crime van de politie.

Aantrekkelijk voor criminelen

Nederland is aantrekkelijk dankzij snelle en betrouwbare internetverbindingen en een scala aan hostingbedrijven, waar iedereen snel servers kan huren. Niet alleen kwaadaardige software van cybercriminelen, maar bijvoorbeeld ook kinderporno wordt daarom relatief vaak vanuit Nederland gehost.

De gevolgen van die criminaliteit zijn groot. Met afpersing via gijzelsoftware, die bestanden op computernetwerken versleutelt, verdienen criminelen miljarden. Individuele slachtoffers in Nederland wordt soms om tientallen miljoenen aan losgeld gevraagd. De politie vreest voor aanvallen die de nationale veiligheid in gevaar kunnen brengen, bleek maandag nog uit een rapport van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV).

*Waar criminelen hun kansen weten te benutten en hun slag zullen slaan, worden grove winsten geïncasseerd en onze politiek en ambtelijke organisatie is daar niet tegen opgewassen. Het is dus de hoogste tijd om met ingang van het nieuwe kabinet een complete reorganisatie van de ambtelijke machinerie in gang te zetten. Anders blijven niet alleen achter de feiten aanlopen, maar moeten we ook rekening houden dat binnen dit decennium de Chinezen de EU hebben overgenomen.

De DarkSide-hack was daar een voorbeeld van. In mei dit jaar werd met software van deze groep het IT-netwerk van Colonial Pipeline platgelegd. De Amerikaanse uitbater van brandstofpijpleidingen schakelde daarop uit voorzorg ook de rest van het netwerk uit. Miljoenen Amerikanen konden vervolgens dagenlang nauwelijks tanken. Op de in beslag genomen servers van DarkSide stond overigens geen informatie van Colonial Pipeline. Of die er eerder wel heeft gestaan is niet bekend.

Kanon richten

Dat criminelen hun kwaadaardige software vanuit Nederland draaien is slecht voor het imago van ons land, zegt Van der Maden. De politie wil een stevigere vuist tegen hen kunnen maken. ‘Als we als Nederlandse politie een harde klap uitdelen, kan die echt nadenderen’, vertelt Marijn Schuurbiers, teamleider High Tech Crime. Eerder haalde de politie het volledige kwaadaardige computernetwerk Emotet, dat malware verspreidde, uit de lucht. ‘We moeten meer van zulke signalen geven. Cybercriminelen moeten denken: doe Nederland maar even niet.’

  • ‘Als we als Nederlandse politie een harde klap uitdelen, kan dan die echt nadenderen’ ~ Marijn Schuurbiers, plaatsvervangend teamleider High Tech Crime

Op dit moment neemt de dreiging van cybercriminelen echter sneller toe dan de capaciteit van de politie. Ook weten rechercheurs niet goed welke typen gijzelsoftware ten grondslag liggen aan aanvallen. Of wie de aanvallen faciliteren. ‘Als we dat beter in kaart hebben, dan kunnen we daar ons kanon op richten en bijvoorbeeld servers in beslag nemen, of onze hackbevoegdheid gebruiken’, zegt Schuurbiers.

Samen een vuist maken

Samenwerking met het bedrijfsleven is daarvoor essentieel, vindt hij. ‘Vergelijk het met een kudde gnoes. Alleen is een gnoe kansloos tegenover een roofdier, maar als groep staan ze sterker en kunnen ze hun belager zelfs aanvallen.’

De politie is positief over de ontwikkeling van die samenwerking. Verzekeraars en cyberbeveiligers zijn steeds vaker genegen om specifieke informatie te delen. Michiel Steltman, directeur van brancheorganisatie Stichting Digitale Infrastructuur Nederland, onderschrijft dat. Hij denkt dat intensievere samenwerking de enige manier is om criminaliteit effectief te bestrijden. ‘We hebben hele goede ervaringen met zulke projecten, het zou goed zijn als die een meer structureel karakter kunnen krijgen.’

Daarbij is ook de overheid van plan om meer informatie te delen. Sinds maandag is er een conceptwet in consultatie die de overheid de mogelijkheid geeft om bedrijven te waarschuwen wanneer ze kwetsbaar zijn. ‘Een belangrijke stap’, zegt Matthijs Koot, IT-beveiliger bij Secura, al moet nog blijken hoe het delen van informatie in de praktijk uitpakt.

DarkSide

Dat samenwerking goed kan werken, blijkt in elk geval uit de beslaglegging van de servers van DarkSide. Informatie op deze server was niet versleuteld, en kon daarom onderzocht worden. Er bleek onder andere data van een ‘Nederlands techbedrijf’ op te staan dat eerder werd getroffen. ‘Deze onderneming bleek zelf al goede back-ups te hebben, maar anders hadden we data kunnen teruggeven’, zegt Schuurbiers. ‘En voor het bedrijf is het sowieso een geruststelling dat hun gegevens niet meer op deze criminele server staan.’

De politie hoopt vaker gestolen bedrijfsdata terug te kunnen geven, maar vindt ook dat bedrijven zelf meer kunnen doen. Bijvoorbeeld door updates sneller te installeren en naast wachtwoorden een tweede inlogfactor te gebruiken.

Schuurbiers: ‘Toen we de malware van Emotet uit de lucht haalden, bleek die vrij geavanceerd.’ Verrassend genoeg gold dat veel minder voor de aanvalstechnieken in de software. ‘Vaak kwam men relatief eenvoudig binnen bij slachtoffers.’

https://fd.nl/futures/1390080/nederlandse-servers-spelen-sleutelrol-bij-internationale-cybercrime-gbg1camIf2bo