Ga direct naar inhoud

Grootste botnet succesvol offline gehaald

Het politiekantoor van de Landelijke Eenheid (LE) in Driebergen ligt er verlaten bij op vrijdagnacht. De meeste politiemensen en OM’ers zijn aan het weekend begonnen, maar op de verdieping van Team High Tech Crime (THTC) is het nog niet zo ver. Daar verzamelt het team van het onderzoek naar het wereldwijd opererende botnet Qakbot zich. Vannacht, zo is de bedoeling, wordt het botnet offline gehaald. Voor “Operatie Duck Hunt”, zoals de actie internationaal wordt genoemd, werken THTC en twee Officieren van Justitie van het Landelijk Parket (LP) samen met de Franse en Duitse politie, en met de FBI.

Op het controlecentrum in Driebergen wordt een videoverbinding gelegd met Los Angeles, vanuit waar de operatie wordt aangestuurd door de FBI. Ook bij de LE is een Amerikaanse liaison-officier vanuit de ambassade aanwezig, die kletst met THTC-teamhoofden. “Dat toont de omvang van deze zaak wel aan”, zegt een LP-officier. “Een actie van deze schaal komt zelden voor”. Het gaat immers om een van de grootste verspreiders van malware ter wereld, die tientallen miljoenen slachtoffers heeft gemaakt. “Ik heb wel een zekere gezonde spanning”, zegt hij. “Een actie als dit kun je niet oefenen, dit moet in één keer goed gaan. Anders is de verdachte meteen verdwenen.”

KADER: Hoe Qakbot werkt

Qakbot (ook wel Qbot of pinkslipbot) is het grootste malwarenetwerk ter wereld. Als het virus eenmaal ongemerkt op een computer is geïnstalleerd, worden onder meer inloggegevens verzameld en kan de computer gebruikt worden om spam te versturen De belangrijkste mogelijkheid was het doorverkopen van de toegang tot de besmette computers en het (vervolgens) uitrollen van ransomware. Bij veel ransomware-aanvallen in Nederland en wereldwijd was Qakbot betrokken.

Het netwerk wordt aangestuurd door middel van de zogenoemde Command & Control-servers, ook wel C2-servers genoemd. Een aantal besmette computers fungeert als zogenaamde ‘supernode’, waarbij het betreffende stukje malware een extra aansturende taak heeft gekregen. Alle andere besmette computers halen hun ‘opdracht’ (namelijk: verzamel inloggegevens, verspreid je verder of installeer een bepaalde ransomware), een soort update, op bij de C2-servers via deze supernodes.

Het proces

Een groot scherm toont een wereldkaart met het FBI-logo en een rood stipje op Los Angeles. Ook Moskou, vanuit waar het botnet wordt bestuurd, licht rood op: dat is de C2-server, de ‘moedercomputer’. Vannacht neemt de FBI schakelt de C2 uit legt het netwerk plat, legt een van de officieren uit. Hij vertelt een verhaal vol technische vaktermen, onder goedkeurend knikken van de THTC-collega’s. “De FBI neemt de supernodes over en leidt het Qakbot-dataverkeer om naar een server in eigen beheer, bestuurd vanuit Los Angeles”, vertelt hij. “Vanaf dat punt worden de supernodes overgenomen en de ‘opdracht’ voor de andere bots aangepast naar: ‘vernietig jezelf’”. Op die manier vernietigt het netwerk zichzelf van binnenuit, legt hij uit.

Ondanks dat het zwaartepunt van het onderzoek in de VS ligt, heeft Nederland een aanzienlijk aandeel gehad in het voorstadium van de actie. “We hebben een rol gespeeld in het in kaart brengen van het botnet en het netwerk van servers die door Qakbot worden gebruikt”, zegt een officier. De C2-server draait dus in Rusland, maar wereldwijd worden diverse servers gebruikt om het netwerk aan te sturen, opdrachten te geven of om Qakbot verder te verspreiden. 22 van deze servers bevinden zich in Nederlandse datacentra. Die worden deze nacht in beslag genomen en daarmee offline gehaald.  

Ook in Frankrijk en Duitsland staan servers die van belang zijn voor Qakbot. Daarom zijn zij ook betrokken in de actie: op het scherm van de Duitse politie telt een klok af tot het moment van actie. Er heerst een goede sfeer: over en weer worden grapjes gemaakt over elkaars kantoorinrichting.

Om 01.00 Nederlandse tijd staat de overname van de uitschakeling van het botnet gepland, maar rond 00.30 begint de spanning al te stijgen in Driebergen. De FBI is namelijk ook bezig met het in beslag nemen van cryptovaluta die verdiend zijn met Qakbot. Op de videocall is een scherm te zien met een stijgende teller van inbeslaggenomen valuta, en bij het openen van elke nieuwe ‘wallet’ noemt de special-agent wat erin zat. Dat blijkt verrassend: “Deze heeft een groot bedrag!” zegt hij opgetogen. “Oh, deze heeft maar 1,67. Ach, het gaat om de boodschap.”

Zodra de FBI inderdaad om 01.00 bevestigt dat de supernodes zijn overgenomen, belt een officier samen met de onderzoeksleider met de politieteams die inmiddels aanwezig zijn in de Nederlandse datacentra: tijd om de servers in beslag te nemen. Op het scherm in Driebergen ziet het team de servers één voor één van groen naar rood springen. Daarna verschijnen op de kaart op het scherm steeds meer rode stipjes. Ontsmette computers. Iedereen kijkt gefascineerd toe naar hoe de rode stipjes zich verspreiden: van de VS naar Canada, Parijs, Sydney, New Delhi, Riyad… overal ter wereld begint het botnet zichzelf uit te schakelen. “Dit draait op deze manier nog weken door”, vertelt hij. “Zo’n botje kan zichzelf natuurlijk alleen uitschakelen als de computer aan staat. Het is dus afwachten tot iedereen zijn computer even opstart.”

Digitale server

Inmiddels worden de inbeslaggenomen servers binnengebracht: floppydisk-achtige schijfjes in een doos van piepschuim. Allemaal? “Er staan er nog twee online”, vertelt een officier. Op het scherm zijn inderdaad nog twee servers groen gemarkeerd. Dat zijn twee ‘digitale servers’, die niet fysiek in beslag te nemen zijn. “We kunnen wel de stekker van de hele machine eruit trekken”, zegt ze, “maar dan gaan onschuldige servers misschien ook offline, en dat willen we niet”. Daarnaast staan er duizenden machines in het betreffende zwaarbeveiligde datacentrum, en het is niet bekend op welke onze gezochte twee servers worden gedraaid. Er is dus een beheerder nodig om de deuren te openen, en de juiste machine aan te wijzen.

De beheerder zou de hele nacht bereikbaar moeten zijn, zegt de officier, maar blijkt ondanks belofte niet aanwezig. Via het hoofdkantoor van het datacentrum probeert een THTC-teamlid alsnog een beheerder ter plaatse te krijgen. Ruim tien minuten duurt het voordat het duidelijk is dat het menens is. We worden doorgeschakeld naar een leidinggevende, maar ook hij krijgt het niet voor elkaar: pas om 08.00 in de ochtend is er iemand bereikbaar. De laatste twee servers blijven noodgedwongen nog even draaien. [NB. inmiddels zijn ook die twee servers offline.]

Het is inmiddels halfvijf in de ochtend. De servers zijn naar het lab gebracht, er is ruim 8,5 miljoen dollar aan crypto in beslag genomen en op de kaart lichten nog steeds continu rode stipjes op. Het aantal onschadelijk gemaakte bots groeit door. De twee nog draaiende servers gooien geen roet in het eten; die worden morgenvroeg onmiddellijk offline gehaald, zonder schade voor andere gebruikers. Een goed moment om een bed op te zoeken.

Qakbot in cijfers:

Meer dan 7,5 miljard inloggegevens in bezit van Qakbot

8,6 miljoen dollar aan cryptocurrency in beslag genomen

22 Qakbot-ondersteunende servers in Nederland

700.000 geïnfecteerde computers tot dusver   in het afgelopen jaar, (waar van 200.000 in de VS)