Takedown is een podcast van het Team High Tech Crime van de Nederlandse politie. Het THTC houdt zich bezig met complexe, (inter)nationale cybercrimezaken en nieuwe vormen van hightech criminaliteit. De doelstelling van dit team? Het bestrijden van cybercrime om Nederland minder aantrekkelijk voor cybercriminelen en dus veiliger te maken. In de serie Takedown spreken leden van het THTC met journalist Vivianne Bendermacher over hun specialistische werk. In deze serie van zes afleveringen staat iedere keer één zaak centraal. We beginnen met een case waarin de politie het brein achter de Rubella-malware letterlijk uit de collegebanken heeft geplukt.
De verdachte in deze zaak staat bekend als Rubella, vernoemd naar de macrobuilder die hij ontwikkelde en verkocht. Deze toolkit, die enkele honderden tot duizenden euro's per maand kostte, voegde verborgen code toe aan gangbare Office-documenten zoals Excel- en Word-bestanden. Wanneer gebruikers een geïnfecteerd document openden, werd de code uitgevoerd waarna bijvoorbeeld heimelijk malware kon worden gedownload of lokale programma's konden worden gestart.
Het verhaal ontvouwde zich nadat het Team High Tech Crime meerdere rapporten ontving van cyberveiligheidsbedrijven, waaronder een rapport van Trellix (voorheen McAfee). John Fokker, hoofd Cyberonderzoek bij Trellix, ontdekte op het darkweb een nieuwe, dreigende malwarevariant die was ontwikkeld door Rubella. Deze software kon computers omtoveren tot botnetonderdelen, een ideale basis voor ransomware-aanvallen. De Nederlandse autoriteiten werden getipt over deze bevindingen en openden een onderzoek naar de effectieve malware die lokaal werd gemaakt en verkocht.
Rubella was vermoedelijk tussen de 16 en 25 jaar oud, en mogelijk via gaming in contact gekomen met computercriminaliteit. Zijn achtergrond en activiteiten werden verder onderzocht door Fokker. Diens ervaring bij Team High Tech Crime van de politie kwam van pas bij het verzamelen van cruciale informatie en het geven van de juiste aanwijzingen om Rubella's identiteit en misdrijven te ontrafelen.
Beluister de podcast:
Het McAfee-rapport bevestigde dat de verdachte een serieuze bedreiging vormde en er genoeg bewijs was voor een succesvolle zaak. De verdachte, een informatica-student uit Utrecht, werd geïdentificeerd na onderzoek dat zich uitstrekte naar open bronnen en sociale media.
Arnoud: “We zijn met behulp van opensource tools door sociale media en op verschillende communicatieplatforms zoals fora gaan speuren, op zoek naar aanwijzingen die kunnen verwijzen naar een bestaand persoon van vlees en bloed. Onze mogelijkheden waren echter gelimiteerd door wettelijke beperkingen; zonder formele toestemming van een Officier van Justitie kunnen we eigenlijk alleen incidentele controles uitvoeren.”
De sleutel tot de zaak bleek inderdaad het koppelen van online aliassen aan een natuurlijk, bestaand persoon, iets wat men hoopte te bereiken door in interactieve forums en socialemedia-berichten te duiken. Alles wees er inderdaad op dat de malware was terug te leiden naar een persoon. Het THTC moet echter strafbare feiten kunnen bewijzen. Het doelwit van het team was dan ook de ontwikkelaar van een macrobuilder, de tool die als eerste stap in ransomware-aanvallen wordt gebruikt en waarvan het uiteindelijke doel is om er veel geld mee te verdienen.
Hoe werkt een macrobuilder?
Een macrobuilder bestaat uit software en wordt gebruikt om automatiseringscripts, oftewel macro's, te creëren en te embedden in documenten, vooral in Microsoft Office-documenten zoals Word- en Excel-bestanden. Deze macro's zijn geschreven in een programmeertaal zoals Visual Basic for Applications (VBA) en kunnen geautomatiseerd taken uitvoeren wanneer het document wordt geopend of bepaalde triggers worden geactiveerd.
In de context van cyberveiligheid is een macrobuilder veelal een hulpmiddel dat door cybercriminelen wordt gebruikt om malware te verspreiden. Hoe gaat dit in zijn werk? De macrobuilder genereert VBA-code die bedoeld is om als ‘payload’ te fungeren. Payload verwijst daarbij naar de gegevens die als onderdeel van de macrocode naar het doelsysteem worden gestuurd.
Wanneer een gebruiker een geïnfecteerd document opent en macro’s uitvoert - wat vaak handmatige toestemming vereist - wordt de kwaadaardige code uitgevoerd. De gebruikelijke aanvalsvector voor dergelijke kwaadaardige macro's is phishing. Een aanvaller stuurt een ogenschijnlijk legitiem document via e-mail naar een doelwit. Als het doelwit het document opent en de macro's inschakelt, start de malware zijn werk. Een geavanceerde macrobuilder stelt de aanvaller in staat om de kwaadaardige code die wordt uitgevoerd zodra de macro is geactiveerd volledig voor te bereiden en naar wens in te stellen.
Het configureren kan verschillende stappen omvatten, afhankelijk van de complexiteit van de builder en de doelen van de aanvaller:
- Specificeren van de malware: de gebruiker van de macrobuilder kiest welk type malware of welke kwaadaardige acties de payload zal uitvoeren, zoals het downloaden van aanvullende malware, het vastleggen van toetsaanslagen, of het uitvoeren van een ransomware-aanval.
- Targeting-opties: de aanvaller kan specificeren welke systemen of applicaties getarget moeten worden door de payload. Dit kan onder andere zijn gebaseerd op het besturingssysteem, de aanwezigheid van bepaalde software of de geografische locatie.
- Communicatie-instellingen: hier worden de details geconfigureerd rond de manier waarop de payload communiceert met command-and-control-servers (C&C), zoals de domeinen of IP-adressen waarmee verbinding moet worden gemaakt, de communicatie-intervallen, en welke data moet worden teruggestuurd.
- Persistentie-mechanismen: de builder kan de gebruiker toestaan te configureren hoe de malware zichzelf in stand houdt op het geïnfecteerde systeem, bijvoorbeeld door het toevoegen van registry keys of het plannen van taken.
- Aanpassen van de dropper: Dit betreft de configuratie van het bestand of script dat verantwoordelijk is voor het installeren van de payload. Het kan gaan om het instellen van bestandsnamen, het selecteren van icoontypes, en het kiezen van de locatie waar het bestand op de geïnfecteerde machine wordt gedropt.
Een deel van bovenstaande mechanismen en opties was aanwezig in de macrobuilder Rubella.
Obfuscation-technieken
Uiteraard probeert de malware detectie door antivirussoftware en andere beveiligingsmechanismen te vermijden. Hiervoor kan de macrobuilder verschillende obfuscation-technieken toepassen. Hierbij kun je denken aan:
- Junkcode insertion: het toevoegen van code die geen significante actie uitvoert kan helpen om patroonherkenning door beveiligingssoftware te vermijden.
- Loopcode: het toevoegen van complexe lussen die de uitvoeringstijd van de code verlengen en de gedragsanalyse bemoeilijken.
- XOR Encryption: het gebruiken van XOR-operaties met een door de gebruiker te kiezen sleutel om de ware intentie van de code te verbergen. De sleutel wordt vaak alleen bekend bij de uitvoering, waardoor statische analyse faalt.
- Polymorphic Code: code die zichzelf wijzigt bij elke uitvoering, wat het maken van een consistente signature voor detectie verhindert.
Al deze technieken zijn ook toegepast door de maker van de Rubella-malware.
Moderne beveiligingsoplossingen stellen daar verschillende technieken tegenover om dergelijke aanvallen te detecteren en te voorkomen, zoals:
- Heuristic Analysis: het analyseren van gedrag en patronen die overeenkomen met bekende aanvalstactieken.
- Sandboxing: het uitvoeren van potentieel kwaadaardige code in een geïsoleerde omgeving om te zien wat hij doet voordat hij op een productiesysteem wordt toegelaten.
- Signature-based Detection: het gebruik van databases met bekende malware-handtekeningen om kwaadaardige activiteiten te identificeren.
De Politie
We kennen de Politie allemaal als het ‘blauw op straat’, maar ook online zet de dienst zich in voor veiligheid in de maatschappij. De specialisten van Team High Tech Crime (THTC) van de Landelijke Eenheid onderzoeken complexe, (inter)nationale cybercrimezaken en nieuwe vormen van hightech crime. Het doel? Nederland veiliger, en minder aantrekkelijk voor cybercriminelen maken. Wil jij onderdeel uitmaken van dit team of een van de andere cybercrimeteams van de Politie? Bekijk hier de mogelijkheden.
Speurwerk, huiszoeking en keihard bewijs
Terug naar het speurwerk van Arnoud. Een internettap onthulde niet alles, als gevolg van versleuteling van het verkeer, maar de metadata en protocolinformatie gaven het THTC toch voldoende inzicht in de activiteiten van de verdachte. Deze informatie leidde uiteindelijk tot de aanhouding, waarbij Arnoud en zijn collega's cruciale digitale data veiligstelden en de identiteit van de verdachte verder bevestigden.
Het opsporingsproces kwam tot een hoogtepunt in maart 2019, ongeveer een half jaar nadat John Fokker Rubella voor het eerst opmerkte. Met een goed getimede operatie, waarbij jongere collega's zich als studenten voordeden, arresteerden ze de verdachte in een collegezaal, zonder dat hij een kans kreeg om zijn apparaten te vergrendelen of te ontsnappen. De verdachte werd duidelijk overrompeld door de arrestatie en kon ter plekke weinig zeggen.
Direct nadat de aanhouding was voltooid, ging het THTC samen met de rechter-commissaris naar de woning van de verdachte voor een doorzoeking. Hier vonden ze een schat aan bewijs, inclusief usb-sticks, een extra computer en andere bezittingen die verband hielden met de strafbare feiten, zoals dure kleding en creditcards.
Arnoud en andere digitale rechercheurs stelden de laptop van de verdachte veilig en extraheerden relevante data, waaronder communicatie over de handel in malware en zelfs de broncode van de ontwikkelde software. Dit alles bevestigde onweerlegbaar de betrokkenheid van de verdachte bij het strafbare feit: “Tijdens een huiszoeking vonden we op verschillende gegevensdragers de broncode van meerdere loaders, gemaakt door Rubella. Dit gaf ons de mogelijkheid om de code zelf uit te voeren in de gecontroleerde omgeving van een virtual machine, om te begrijpen hoe de malware precies werkt. Na het verwijderen van de licentiecontrole en het opnieuw compileren van de code, waren we in staat de malware in actie te zien en te documenteren, en de precieze functies ervan vast te stellen. Ook stuitten we op meerdere demo’s en andere varianten van de malware. Toen wisten we volledig zeker dat dit onze man was.”
De eindgebruikers van de malware bleken een uiteenlopende achtergrond te hebben. Sommigen betalen grote sommen geld - tot 3000 euro per maand - voor exclusieve varianten van de code, maar de basisvariant kostte veel minder. “Rubella was op meerdere manieren laagdrempelig; de toolkit kostte niet veel en was technisch heel makkelijk te gebruiken, zonder al te veel voorkennis”, aldus Arnoud. Eind goed, al goed? Tot op zekere hoogte wel: de verdachte is aangehouden en onherroepelijk veroordeeld. En de ruim 20.000 euro aan cryptovaluta die tijdens de huiszoeking is gevonden - waarschijnlijk een fractie van wat in totaal met de handel is verdiend - is in beslag genomen en niet teruggegeven.
Zo beluister je de Takedown-podcast + geef je mening!
Takedown is te beluisteren via gesponsorde artikelen die in samenwerking met de Nationale Politie en Team High Tech Crime worden geschreven voor Tweakers, en via Spotify of jouw favoriete podcastplatform. Abonneer je direct op Takedown, want dan krijg je een melding als de volgende aflevering klaarstaat. Daarnaast zijn benieuwd wat jij van deze podcast vindt. Vul hier de korte enquête in en laat het ons weten.
Wil je nu meer weten over werken bij het THTC? Hier vind je een overzicht van alle IT-vacatures bij de politie.
Dit artikel is geen redactioneel artikel, maar gesponsord en tot stand gekomen dankzij de politie en Tweakers Partners. Tweakers Partners is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers events zoals meet-ups, Developers Summit, Testfest en meer. Bekijk hier het overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].
:strip_exif()/i/2006225226.jpeg?f=fpa)
:strip_icc():strip_exif()/u/2028996/crop65528461dbe7b_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/41502/breezah.jpg?f=community){kind=small}
:strip_exif()/u/72870/crop5db2a0081b965.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/406360/crop5f461aa891cd3_cropped.jpeg?f=community){kind=small}
/u/10064/leuk_he.png?f=community){kind=small}
/u/1568000/crop6111972429a47_cropped.png?f=community){kind=small}
:strip_exif()/u/1054535/crop5ac731bf7c11d_cropped.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/1205756/crop5d8c8e3da01d9_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/464574/crop5ef5b118724ae_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/371418/crop654940863f766_cropped.jpg?f=community){kind=small}