Takedown is een podcast van het Team High Tech Crime van de Nederlandse politie. Het THTC houdt zich bezig met complexe, (inter)nationale cybercrimezaken en nieuwe vormen van hightech criminaliteit. De doelstelling van dit team? Het bestrijden van cybercrime, om Nederland minder aantrekkelijk voor cybercriminelen en dus veiliger te maken. In de serie Takedown spreken leden van het THTC met journalist Vivianne Bendermacher over hun specialistische werk. In deze serie van zes afleveringen staat iedere keer één zaak centraal. Deze zesde en laatste aflevering betreft een van de meest omvangrijke onderzoeken waar het Team High Tech Crime aan heeft gewerkt: het uit de lucht halen van het omvangrijke botnet Emotet.
In juli 2019 ontdekten het Openbaar Ministerie en de politie een verontrustende ontwikkeling in de Nederlandse cyberwereld: er was een nieuwe, geavanceerde versie van het Emotet-botnet opgedoken. Daan, projectleider bij het THTC, werd al snel bij deze zaak betrokken. Het Emotet-botnet, dat bekendstond als ‘The King of Malware’, was een geavanceerd netwerk dat criminelen gebruikten om onopgemerkt malware te installeren op systemen van nietsvermoedende bedrijven en individuen. Het botnet was berucht als systeem om wachtwoorden uit browsers en e-mailprogramma's te stelen, en zeer moeilijk te verwijderen.
De complexiteit van Emotet was aanzienlijk. Het bestond uit drie command-and-control-servers (C&C) met daaronder meerdere lagen van proxyservers. Deze architectuur maakte het traceren en ontmantelen van het netwerk bijzonder moeilijk. Elke C&C-server beheerde duizenden geïnfecteerde computers, en binnen een bedrijf kon Emotet al met slechts één geïnfecteerde machine aanzienlijke schade aanrichten.
Beluister de podcast:
Hoe werkt een botnet?
Aan de basis van een botnet staat malware die is ontworpen om zichzelf te verspreiden en computers te infecteren zonder dat de gebruikers ervan dit weten. De programmeertaal waarin de malware wordt geschreven, kan variëren, maar veelgebruikte talen zijn C, C++, Python en Perl. De malware verspreidt zich via verschillende methoden, waarover zo meteen meer. Zodra een apparaat is geïnfecteerd, wordt het een 'bot'. De geïnfecteerde apparaten communiceren met een centrale server, die de C&C-server wordt genoemd. Deze server wordt gebruikt door de cybercriminelen achter de aanval, om commando's naar de geïnfecteerde apparaten te sturen.
Doordat steeds meer apparaten geïnfecteerd raken, groeit het botnetwerk. De ‘botmaster’ beheert het botnet en kan het updaten of wijzigen om detectie te vermijden of nieuwe functionaliteiten toe te voegen.
Enkele van de manieren waarop botnets groeien door computers te infecteren, zijn:
- Uitbuiting van kwetsbaarheden: botnetmalware scant systemen en apparaten op veelvoorkomende kwetsbaarheden. Denk bijvoorbeeld aan iot-apparaten zoals slimme huishoudelijke apparaten en ermee verbonden apparatuur. Deze kunnen ook als bots fungeren wanneer ze zijn geïnfecteerd met malware. Zo infecteerde de Mirai-botnet 600.000 Linux-beveiligingscamera's, wat leidde tot een massale ddos-aanval die een internetstoring veroorzaakte in de helft van de oostkust van de VS.
- Kwaadaardige websites en klikfraude-campagnes: computers kunnen worden geïnfecteerd door schadelijke websites te bezoeken of op frauduleuze links te klikken in e-mails of socialemediaberichten.
- Inbreuk op e-mailaccounts: botnetmalware kan een e-mailaccount gebruiken om de infectie naar andere computers te verspreiden. Deze methode - waarbij sprake is van een zogeheten spambotnet - wordt bij veel grote botnets gebruikt en werd ook bij het Emotet-botnet toegepast.
- Zelfverspreidende functionaliteit: sommige botnets hebben een zelfverspreidende functionaliteit waarmee ze ofwel naar vooraf geconfigureerde commando-en-controle-instructies (C2), ofwel naar specifieke apparaten zoeken.
Gecoördineerde aanpak
De drie C&C-servers stonden oorspronkelijk in Rusland. Een belangrijke ontdekking was dat twee centrale proxyservers eind 2020 naar Nederland waren verhuisd. Dit bood het Nederlandse team een unieke kans om het netwerk te doorgronden. In plaats van de servers onmiddellijk uit te schakelen, koos men ervoor om eerst een tap te plaatsen. Daarmee werden waardevolle inzichten verkregen in de werking van het botnet en konden slachtoffergegevens worden achterhaald.
Al voor het onderzoek was gestart, bleek uit info van onder meer de cybersecurity-industrie dat Emotet een wereldwijd probleem vormde. Dat was mede de reden voor het THTC om Emotet in onderzoek te nemen. Uit de tap bleek dat dit botnet slachtoffers over de hele wereld maakte. Deze slachtoffers werden - uiteraard zonder dat ze het zelf wisten - gebruikt om voor nog meer spam te zorgen. De interessantste slachtoffers werden door de cybercriminelen eruit gepikt en onderzocht, om vervolgens te worden afgeperst middels ransomware.
Het botnet zorgde voor initiële toegang tot netwerken. Die toegang werd vervolgens verkocht aan andere criminele groeperingen, die voornamelijk actief waren met ransomware. Een voorbeeld van de gevolgen hiervan was te zien bij een Duits ziekenhuis waar door een aanval de verlichting in de operatiekamers uitviel.
De ontdekking van deze achterliggende opzet onderstreepte de noodzaak van internationale samenwerking. Onder leiding van Esther Baars van het Openbaar Ministerie werd Eurojust benaderd voor een gecoördineerde aanpak. Talloze landen, waaronder Oekraïne, de Verenigde Staten, Duitsland, Frankrijk en Canada werden bij de operatie betrokken.
De internationale samenwerking was niet zonder uitdagingen. Juridische en technische overeenstemming tussen de betrokken landen was noodzakelijk. Elk land had zijn eigen wettelijke beperkingen en mogelijkheden, wat samenwerking complex maakte.
Cryptolaemus to the rescue
In de strijd tegen het beruchte Emotet-botnet speelde een unieke samenwerking tussen wetshandhavingsinstanties en de cybersecurity-industrie een cruciale rol. Een groep cybersecurity-experts werkte intensief samen om Emotet te bestrijden. Deze experts waren voornamelijk afkomstig uit de VS en actief onder de naam Cryptolaemus, afgeleid van een kever die luizen eet en daarmee verwijzend naar de oorspronkelijke naam van Emotet, Mealybug. De groep speelde een sleutelrol in het verstrekken van cruciale inzichten over de werking van het botnet.
Cryptolaemus was uniek omdat het een groep vrijwilligers betrof die overdag voor cybersecuritybedrijven werkten. Hun expertise in het ontleden van malware en het volgen van de activiteiten van Emotet was van onschatbare waarde. Ze konden nieuwe samples van Emotet snel identificeren en analyseren. De essentiële informatie die dit opleverde over updates en gedragingen werd doorgestuurd naar de autoriteiten.
Deze informatie-uitwisseling was cruciaal voor het opsporingsteam. Hoewel wetshandhavingsinstanties uitstekend waren in opsporing en het verzamelen van bewijs, hadden ze hulp nodig bij het technische aspect van het analyseren van malware. Cryptolaemus vulde dit kennisgat door het delen van inzichten over nieuwe versies van Emotet en de manieren waarop het botnet zich verspreidde.
Ondanks de complexiteit en uitdagingen wist de gecombineerde inspanning van technische experts, juristen en opsporingsinstanties uit verschillende landen - met bijzondere bijdragen van Duitsland, Frankrijk, Canada en de Amerikaanse FBI - uiteindelijk tot een strategie te leiden voor de effectieve takedown van Emotet.
De politie
We kennen de politie allemaal als het ‘blauw op straat’, maar ook online zet de dienst zich in voor veiligheid in de maatschappij. De specialisten van het Team High Tech Crime (THTC) van de Landelijke Eenheid onderzoeken complexe, (inter)nationale cybercrimezaken en nieuwe vormen van hightech crime. Het doel? Nederland veiliger en minder aantrekkelijk voor cybercriminelen maken. Wil jij onderdeel uitmaken van dit team of een van de andere cybercrimeteams van de politie? Bekijk hier de mogelijkheden.
Ontmanteling
Wat volgde, was een technisch ballet van juridische en opsporingsmanoeuvres, waarbij internationale samenwerking essentieel bleek. Duitsland, Frankrijk, Canada en de FBI werkten nauw samen met het Nederlandse team. Er werd speciale toestemming verleend om de wettelijke hackbevoegdheid te mogen gebruiken, en het team zette een gedurfde stap die cruciaal bleek: het tijdens de stille uren binnendringen van de twee Nederlandse servers. Deze operatie gaf toegang tot de begeerde private sleutel, zonder dat de beheerders het doorhadden.
Eenmaal binnen kon het THTC het botnet volledig in kaart brengen en kreeg het team zicht op de miljoenen slachtoffers. Dit gaf de mogelijkheid om de infrastructuur te ontmantelen, het botnet duurzaam te vernietigen en slachtoffers te waarschuwen.
De samenwerking tussen wetshandhavingsinstanties en de Duitse autoriteiten leidde tot de ontwikkeling van goodware waarmee Emotet in quarantaine kon worden geplaatst. Deze software-update zou in feite de controle over het botnet overnemen door de geïnfecteerde machines te instrueren om zich te verbinden met door de autoriteiten gecontroleerde servers. Hierdoor werd het botnet effectief geneutraliseerd.
De uiteindelijke takedown van Emotet
De takedown werd zorgvuldig gepland. Elke beweging moest synchroon verlopen: van de aanhouding van een verdachte tot het uitschakelen van de infrastructuur. Op de dag waarop dit moest gebeuren, kwamen teams van over de hele wereld samen bij Europol. De Duitse collega's waren klaar met hun software-update, het Nederlandse team stond klaar om hem uit te rollen naar de slachtoffers, en een internationaal arrestatieteam stond in Oekraïne op het punt om de beheerder van het botnet aan te houden.
De operatie was een succes. Emotet-servers werden neergehaald en miljoenen slachtoffers wereldwijd werden bevrijd van het botnet. De communicatie verliep transparant en snel, waardoor de cybergemeenschap kon helpen bij de verdere bescherming tegen Emotet.
Deze internationale samenwerking heeft het verschil gemaakt. Het THTC-team werd geprezen door de directeur van de FBI, en wordt beschouwd als een van de beste opsporingsteams ter wereld. Niet alleen vanwege de technische knowhow, maar ook om de internationale samenwerking en de resultaten die het team boekt. Hoewel Emotet na negen maanden een comeback probeerde te maken, werd het botnet nooit de bedreiging die het ooit was. De rol van Cryptolaemus benadrukte het belang van samenwerking tussen de publieke en private sector als het om cyberbeveiliging gaat.
Vul de enquête in & hier beluister je de Takedown-podcast
Je kunt Takedown beluisteren via deze artikelen die in samenwerking met de Nationale Politie en het Team High Tech Crime op Tweakers worden gepubliceerd, maar ook op Spotify of welk podcastplatform je ook verkiest.
De vorige vijf afleveringen vind je hier terug:
Aflevering 1
Aflevering 2
Aflevering 3
Aflevering 4
Aflevering 5
Daarnaast zijn we nog steeds benieuwd naar wat jij van deze podcast vindt en vinden we het leuk als je hier een korte enquête invult. Wil je nu meer weten over werken bij het THTC? Dan vind je hier een overzicht van alle IT-vacatures bij de politie.
Dit artikel is geen redactioneel artikel, maar gesponsord en tot stand gekomen dankzij de politie en Tweakers Partners. Tweakers Partners is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers events zoals meet-ups, Developers Summit, Testfest en meer. Bekijk hier het overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].
:strip_exif()/i/2006225226.jpeg?f=fpa)
:strip_icc():strip_exif()/u/910715/crop5c0063dd0e2a0_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/464574/crop5ef5b118724ae_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/1493414/crop614b02975caa1_cropped.jpg?f=community){kind=small}