OM eist 15 maanden tegen host van agressief Mirai-botnet

“De servers die de verdachten tegen betaling aanboden aan onbekend gebleven klanten, hebben de deur opengezet voor verdere computercriminaliteit.” Dat statement maakte de officier van justitie van het Landelijk Parket vanmorgen in cybercrime-onderzoek 26Madera in de rechtbank Rotterdam. Zij eiste een gevangenisstraf van 15 maanden tegen een 29-jarige man uit Middelburg en zijn 26-jarige medeverdachte uit Veendam. Tegen hun Besloten Vennootschap (BV) eiste de officier van justitie een geldboete van 15.000 euro.

Het OM verwijt verdachten dat zij een botnet hostten, vanuit hun IP-adressen en servers hacks pleegden en het plegen van hacks door derden faciliteerden. Het botnet, genaamd Mirai, behield zijn schadelijke werking en bleef zich verder verspreiden.

Servers uit de lucht

Rechercheurs van Team High Tech Crime van de politie kwamen de servers op het spoor via informatie in april 2019, afkomstig van het Nationaal Cyber Security Centrum. Op 14 juni 2019 start het Team High Tech Crime van de Landelijke Eenheid onder gezag van het Landelijk Parket onderzoek 26Madera. Na onderzoek kwamen ze  uit bij een Nederlands hostingbedrijf dat gebruikmaakte van servers in een datacentrum in Nederland.

Op 1 oktober 2019 heeft de politie servers van de, zogenoemde, bulletproof hoster offline gehaald, die gebruikt werden voor de aansturing van een versie van het botnet. Het uit de lucht halen, gebeurde om de servers onderzoeken. Ook is de hardware in beslaggenomen en de bedrijfsvoering van de BV stilgelegd.

De twee verdachten die vandaag terecht staan, bleken achter de BV te zitten. Zij werden aangehouden en ingesloten.

Een botnet is een verzameling geïnfecteerde computers (bots) die centraal bestuurd kunnen worden. Botnets vormen de infrastructuur voor diverse vormen van cybercriminaliteit, zoals bijvoorbeeld voor het versturen van spam of het uitvoeren van DDoS-aanvallen.

Zeer agressief botnet

Over de betreffende bulletproof hoster werden ruim drieduizend meldingen gedaan van malwareverspreiding in een periode van een jaar. Ook is uit onderzoek gebleken dat dit botnet zeer agressief andere apparaten probeerde te infecteren, tot ruim een miljoen pogingen per maand op een apparaat.

Het offline halen van deze servers bij de bulletproof hoster door politie en OM, is de aansturing van het bestaande Mirai-botnet onmogelijk gemaakt. Ook zijn infecties van nieuwe apparaten door dit deel van het botnet voorkomen.

Verdachten

Het OM beschouwt de verdachten als (enkele van) de hosters van het Mirai-botnet. ‘Hosten’ is het leveren van de mogelijkheid om websites of andere diensten op een server te plaatsen. Dit is de schakel tussen een datacentrum (het internet) en de eindgebruikers van het web (de bezoekers van websites). De aanbieder van deze dienst wordt een host, hoster of hosting provider genoemd.

Mirai-botnet

In deze strafzaak werden de aansturingsservers van een versie van het Mirai-botnet gehost. De gebruikte malware is Mirai-malware. Het is een virus met als kenmerk dat het zichzelf verder verspreidt via hacks en daarmee nieuwe systemen oftewel ‘botjes’ verzamelt.

Dit botnet is sinds 2016 actief en breidt zichzelf continu uit. Dat houdt in dat er de hele tijd hacks worden gepleegd op geautomatiseerde werken. Vaak betreft het hacks op zogenoemde Internet of Things-apparaten zoals routers, beveiligingscamera’s, Smart TV’s of slimme thermostaten. Die hacks dragen eraan bij dat Mirai steeds groter wordt. Zodra een apparaat besmet is, is het onderdeel van het virus; om diens apparaat-netwerk weer te scannen op zoek naar andere geautomatiseerde werken om deze ook te infecteren. Vervolgens kan er andere malware worden geïnstalleerd op de apparaten zodat er verder cybercriminaliteit kan worden gepleegd.

Sleutelpositie

Als bulletproof hoster hadden de verdachten in de strafzaak van vandaag, volgens het OM een sleutelpositie. De officier van justitie vergeleek het handelen van verdachten met het aanbieden van een digitale infrastructuur om in alle anonimiteit digitaal bij elke woning of bedrijf in te breken. Hierdoor hoeft de (volgende) dader alleen nog maar een slachtoffer te verleiden om bijvoorbeeld te klikken op een bijlage. Of vervolgens bezittingen zouden worden vernield, gekopieerd, meegenomen of gegijzeld; daar bekommerden verdachten zich, volgens het OM, totaal niet om. Het enige belang dat zij zagen, was geld verdienen. Het OM meent hierom dat een zware strafeis gepast is.

Uitspraak

Het strafproces gaat verder met de pleidooien van de verdediging. De rechtbank doet uitspraak op 25 februari 2021.