Takedown is een podcast van het Team High Tech Crime (THTC) van de Nederlandse politie. Het THTC houdt zich bezig met complexe, (inter)nationale cybercrimezaken en nieuwe vormen van hightech criminaliteit. De doelstelling van dit team? Het bestrijden van cybercrime om Nederland minder aantrekkelijk voor cybercriminelen en dus veiliger te maken.
In de serie Takedown spreken leden van het THTC met journalist Vivianne Bendermacher over hun specialistische werk. In een serie van zes afleveringen staat iedere keer één zaak centraal. De vierde aflevering draait om een reeks ddos-aanvallen op een bank, met een onverwachte wending … ‘onze eigen’ Kees Hoekzema, die al 23 jaar voor Tweakers werkt, raakte er zelfs bij betrokken.
Ddos-aanvallen op Bunq, andere Nederlandse banken en de Belastingdienst zorgden in 2018 voor een ernstige verstoring van het digitale betalingsverkeer. Aanvankelijk werd door de media gedacht aan buitenlandse hackers, maar die theorie werd door de politie in twijfel getrokken toen aanvallen zich uitbreidden naar ongebruikelijke doelen zoals … onze eigen website, Tweakers.net.
Beluister de podcast:
Eigen aanvallen als nieuws getipt op Tweakers
Kees Hoekzema, serverbeheerder bij Tweakers, ontving een anonieme e-mail die suggereerde dat de aanvallen niet van buitenlandse hackers kwamen. Later werd Kees zelfs benaderd door iemand die in een chat opschepte over de aanvallen. De persoon in kwestie leek jong en zich te willen bewijzen. Kees analyseerde de digitale sporen die de melder op Tweakers achterliet en ontdekte dat de aanvaller zijn eigen ddos-aanvallen als nieuws had getipt op Tweakers. Uiteindelijk wist Kees via browser- en IP-gegevens de identiteit van de jonge dader te achterhalen en informeerde hij de politie.
Team High Tech Crime nam de informatie over en onderzocht de zaak. Het team vond een link naar een eerdere ddos-aanval die in september 2017 plaatsvond bij de online bank Bunq en verrassend genoeg was uitgevoerd door een klant van de bank. Deze jonge dader was ontevreden over een beleidswijziging van de bank. Na afloop benaderde hij Bunq om zijn excuses aan te bieden, en uiteindelijk zou hij als alternatieve sanctie werkzaamheden voor een goed doel moeten verrichten. Na de aanvallen leek het alsof de jonge dader zijn leven had gebeterd. Maar tegen de verwachtingen in hield hij zich niet aan de afspraak en lanceerde hij opnieuw ddos-aanvallen.
Booter- en stresserdiensten
Destijds was het relatief eenvoudig om dergelijke aanvallen op te zetten, dankzij de komst van booter- en stresserdiensten. Deze diensten boden gebruikers eenvoudige, laagdrempelige manieren om krachtige ddos-aanvallen uit te voeren, zelfs zonder veel technische kennis. Booter- en stresserdiensten waren on-demand ddos-aanvalservices die illegaal werden aangeboden om websites en netwerken plat te leggen door IP-adressen te overbelasten met dataverkeer. De diensten begonnen in de vorm van basiswebsites, waar gebruikers bijvoorbeeld voor een bedrag van 18,99 dollar een 'beltegoed' van 1200 seconden met een geldigheidsduur van een maand konden afnemen. Hiermee was het mogelijk om met slechts één druk op de knop een aanval te lanceren. De aanvallen varieerden in omvang, van enkele tot honderden Gbit/s, afhankelijk van het betaalde bedrag. Booterdiensten boden klanten ook de mogelijkheid om op basis van het doelwit dat ze wilden aanvallen uit verschillende aanvalsvectoren te kiezen, zoals een Slowloris of Https-flood.
Verschillende soorten attacks
De term ddos-aanval wordt vaak als containerbegrip gebruikt, maar niet iedere aanval is hetzelfde. Verre van zelfs. Hieronder staat een overzicht met de verschillende typen aanvallen.
1. Aanvallen gericht op netwerkbronnen. Deze aanvallen proberen alle netwerkbandbreedte van een slachtoffer te verbruiken met illegitiem verkeer, resulterend in zogenaamde ‘netwerkoverstromingen’. Ze omvatten:
- UDP Flood: Gebruikt User Datagram Protocol (UDP) om massale hoeveelheden verkeer van vervalste IP-adressen te verzenden, wat leidt tot netwerkcongestie.
- ICMP Flood: Overweldiging van een server met Internet Control Message Protocol (ICMP)-verkeer, leidend tot denial-of-service.
- IGMP Flood: Gebruikt Internet Group Management Protocol (IGMP)-berichten om een netwerk of router te overbelasten.
- Amplification Attacks: Maken misbruik van de ongelijkheid tussen verzoek- en antwoord-omvang in communicatieprotocollen, zoals bij Smurf- en Fraggle-aanvallen (ICMP- en UDP-amplificatie) en DNS -amplificatie.
2. Aanvallen gericht op serverbronnen. Deze aanvallen putten de verwerkingsmogelijkheden of het geheugen van een server uit. Ze omvatten:
- TCP/IP Weaknesses: Maakt misbruik van ontwerpfouten in het TCP/IP-protocol door controlebits verkeerd te gebruiken, waardoor de doelserver zonder computerbronnen komt te zitten.
- TCP SYN Flood: Misbruikt het TCP-handshake-mechanisme met vervalste IP-adressen, wat leidt tot overbelasting van de server.
- TCP RST Attack: Verstoort actieve TCP-verbindingen door TCP RST-pakketten te vervalsen.
- TCP PSH+ACK Flood: Overweldigt de TCP-stackbuffer van de doelserver met PUSH- en ACK-vlagverzoeken.
3. 'Low and slow'-aanvallen. Deze aanvallen richten zich op specifieke kwetsbaarheden, met kleine hoeveelheden verkeer die normaal lijken, maar uiteindelijk een servercrash veroorzaken. Een voorbeeld is de Sockstress-aanval, die TCP-stack-kwetsbaarheden exploiteert om een denial-of-service-toestand te creëren door de TCP-venstergrootte te manipuleren.
4. SSL-gebaseerde aanvallen.
- SSL Attacks: Richten zich op het Secure Socket Layer (SSL)-protocol dat wordt gebruikt in netwerkcommunicatie. Deze aanvallen kunnen het misbruiken van het SSL-handshakemechanisme, het verzenden van afvaldata of het uitbuiten van SSL-sleutelonderhandelingsprocessen omvatten. SSL-gebaseerde aanvallen zijn moeilijk te detecteren en worden beschouwd als 'asymmetrisch' vanwege de onevenredigheid van de benodigde verdedigingsmiddelen ten opzichte van de aanvallen.
- Https Floods: Richten zich op SSL/TLS-versleuteld HTTP-verkeer, waardoor complexiteit aan ddos-aanvallen wordt toegevoegd. Omdat SSL-verkeer versleuteld is, is het voor de meeste mitigerende technologieën moeilijk om deze aanvallen te inspecteren en te filteren.
- THC-SSL-DOS: Een tool ontwikkeld door The Hacker’s Choice voor het uitbuiten van SSL-kwetsbaarheden. Hij put serverbronnen uit door tijdens een SSL-handshake constant de versleutelingssleutel te heronderhandelen.
5. Aanvallen gericht op applicatiebronnen.
- Application Protocol Attacks: Richten zich op verschillende applicatieprotocollen zoals HTTP, Https, DNS, SMTP, FTP en voip, door hun zwakke punten uit te buiten om ddos-aanvallen te lanceren. Deze aanvallen omvatten zowel overstromingen als 'low and slow'-aanvallen.
- HTTP Flood: Omvat schijnbaar legitieme HTTP GET- of POST-verzoeken in hoge volumes, wat detectie moeilijk maakt. Hulpmiddelen zoals High Orbit Ion Cannon vergemakkelijken deze aanvallen.
- DNS Flood: Overweldigt een DNS-server met een hoog volume aan verzoeken, wat leidt tot een crash.
- Slow HTTP GET/POST Requests: Gebruikt onvolledige of langzaam verzonden HTTP-verzoeken om serverbronnen uit te putten.
- Regular Expression DoS (ReDoS) Attacks: Maakt misbruik van kwetsbaarheden in reguliere expressiebibliotheken om serverbronnen te verbruiken.
- Hash Collisions DoS Attacks: Richt zich op hash-tabelkwetsbaarheden in applicatieframeworks, wat leidt tot resource-intensieve botsingresoluties en het vertragen van de verwerkingsreactie.
De politie
We kennen de politie allemaal als het ‘blauw op straat’, maar ook online zet de dienst zich in voor veiligheid in de maatschappij. De specialisten van Team High Tech Crime (THTC) van de Landelijke Eenheid onderzoeken complexe, (inter)nationale cybercrimezaken en nieuwe vormen van hightech crime. Het doel? Nederland veiliger en minder aantrekkelijk voor cybercriminelen maken. Wil jij onderdeel uitmaken van dit team of een van de andere cybercrimeteams van de politie? Bekijk hier de mogelijkheden.
50 euro aan credits voor ddos-aanvallen
Terug naar de uiteindelijke aanhouding. Team High Tech Crime analyseerde de aanvallen en logbestanden van slachtoffers en zag al snel dat de aanvallen vermoedelijk werden uitgevoerd door dezelfde dader. De combinatie van bewijs en eerdere interacties met de dader maakten het relatief eenvoudig om hem te identificeren. Ook in dit onderzoek werd duidelijk dat vrijwel alle THTC-onderzoeken een sterk internationale component kenden. Zo werd rechtshulp gevraagd aan Zwitserland om data bij Protonmail te vorderen.
Team High Tech Crime trad binnen in de woning van de verdachte, waarna hij werd gearresteerd, de woning werd doorzocht en zijn digitale apparatuur in beslag werd genomen. Toen rechercheurs met de gegevensdragers van de verdachte - (netwerk)schijven, USB-disks, computers, telefoons en tablets - aan het werk gingen, lag het bewijs direct voor het oprapen. Het kwam naar boven bij analyses van bestanden, de browsergeschiedenis, chatlogs en locatiegegevens. Hoewel de verdachte tijdens de ondervragingen koeltjes bleef en geen bekentenis aflegde, was er genoeg bewijs om hem te vervolgen.
Pas in het laatste verhoor bekende de verdachte de aanvallen, nadat nieuwe informatie uit een ander onderzoek naar een stresserdienst bekend werd. Daaruit bleek dat hij bij de betreffende dienst voor een bedrag van slechts rond de 50 euro credits had gekocht om zijn aanvallen uit te voeren. Binnen een ander onderzoek (operation PowerOFF) had het THTC inmiddels gebruikersdata van de stresserdienst veiliggesteld, en daarmee kon het team zowel de verdachte als de doelwitten van deze aanvallen identificeren. Uiteindelijk kreeg de dader een taakstraf en begeleiding opgelegd, waarna hij zijn leven leek te verbeteren. Er werden afspraken gemaakt waarbij hij voor een goed doel werkzaamheden zou verrichten. Dat werk is echter nooit tot uitvoer gekomen. Hij vond wel een baan, verhuisde en startte een relatie. Kees Hoekzema van Tweakers merkte op dat de jongeman Tweakers.net nog steeds gebruikte, maar nu als gewone bezoeker.
Zo beluister je de Takedown-podcast + geef je mening!
Je kunt Takedown beluisteren via deze serie artikelen die in samenwerking met de Nationale Politie en Team High Tech Crime op Tweakers worden gepubliceerd, maar ook via Spotify of welk podcastplatform je ook verkiest. Door je te abonneren op Takedown ontvang je een notificatie zodra er een nieuwe aflevering beschikbaar is.
Daarnaast zijn we - als je deze podcast voor het eerst hoort - benieuwd wat jij ervan vindt. Vul hier een korte enquête in en laat het ons weten. Wil je meer lezen over werken bij het THTC? Hier vind je een overzicht van alle IT-vacatures bij de politie.
Dit artikel is geen redactioneel artikel, maar gesponsord en tot stand gekomen dankzij de politie en Tweakers Partners. Tweakers Partners is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers events zoals meet-ups, Developers Summit, Testfest en meer. Bekijk hier het overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].
:strip_exif()/i/2006225226.jpeg?f=fpa)
/u/8/oog3.png?f=community){kind=small}
:strip_icc():strip_exif()/u/98843/tmpgeel601.jpg?f=community){kind=small}
/u/25932/icon.png?f=community){kind=icon}
:strip_icc():strip_exif()/u/745575/crop5de1181b59fc4_cropped.jpeg?f=community){kind=small}
/u/58518/crop55c9fb6f4244f_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/86654/krat_toren.jpg?f=community){kind=small}
/u/12436/p1_normal.png?f=community){kind=small}
:strip_icc():strip_exif()/u/53213/crop579918c57678f.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/247341/803235p.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/10338/crop57713508e4db5_cropped.jpeg?f=community){kind=small}