Een ddos'er betrapt

Op 1 februari 2018 arresteerde de politie een verdachte op verdenking van het uitvoeren van meerdere ddos-aanvallen. Het gaat om aanvallen in september 2017 gericht op de bank bunq, en eind januari 2018 op verschillende banken, overheidsinstanties en ook Tweakers. Na de aanvallen van september 2017 was bunq al dicht bij het identificeren van de dader. De verantwoordelijke meldde zich uiteindelijk vrijwillig bij de bank, waarbij hij zich verontschuldigde voor zijn handelen. Bunq besloot geen aanklacht in te dienen.

In november werd bunq wederom getroffen door een ddos die 'flink heftig' was, vertelt ceo Ali Niknam aan Tweakers. Bunq kwam toen wederom de aanvaller op het spoor, op basis van slordigheden in zijn handelen en verschillende tips uit de it-wereld, en besloot aangifte te doen bij de politie. De politie bevestigt dat het om dezelfde persoon ging. De maanden erna werd door de politie op basis van de informatie die door bunq overlegd was, een dossier opgebouwd.

Terwijl de politie aan het dossier werkte, vond eind januari weer een golf ddos-aanvallen plaats, waarbij eveneens Tweakers werd getroffen. Vanuit Tweakers werd toen een onderzoek gestart naar de identiteit van de aanvaller. Tegelijkertijd hield securitybedrijf RedSocks de situatie ook goed in de gaten, waarbij het probeerde te achterhalen wie de aanvaller was.

Zowel Tweakers als RedSocks heeft informatie over de aanvallen en identiteit van de dader gedeeld met het Team High Tech Crime van de politie, waarmee het dossier uiteindelijk kracht is bijgezet. Toen deze informatie op donderdag 1 februari vanuit beide partijen los van elkaar gedeeld werd met de politie, was de verdachte al eerder die dag in hechtenis genomen.

Wat volgt is een reconstructie van de ddos-aanvallen vanuit het perspectief van Tweakers en de wijze waarop de identiteit van de dader ontdekt werd.

Hoe een ddos'er tegen de lamp liep

Als systeembeheerder van Tweakers kijkt Kees Hoekzema niet op van aanvalspogingen op de servers die hij beheert. In de zestien jaar dat hij verantwoordelijk is voor de infrastructuur waar de site op draait, zijn ddos-aanvallen een bekend fenomeen geworden. Om de zoveel maanden signaleert hij pieken in het dataverkeer, duidelijk bedoeld om de servers en verbinding zo sterk onder druk te zetten dat de site onbereikbaar wordt. Vrijwel nooit met succes.

Toen Kees op maandag 29 januari wakker werd en zijn telefoon ontgrendelde, was hij dus niet direct gealarmeerd over de notificatie die hij zag. Monitoringsoftware op het netwerk had een grote toename in dataverkeer opgemerkt en direct een waarschuwing verstuurd, zoals dat wel vaker gebeurt. Dankzij verschillende maatregelen die bij Tweakers in de afgelopen jaren zijn genomen, hadden gebruikers geen hinder ondervonden en was het de aanvaller niet gelukt om de site geheel onbereikbaar te maken. De back-upsystemen hadden hun werk gedaan en de hostingprovider sloeg de aanval af door na ongeveer een uur ‘upstream’ het verkeer te stoppen.

Al snel werd echter duidelijk dat dit niet zomaar een aanval was. Hostingprovider True schatte de aanval op 25Gbit/s, waardoor de verbinding tussen True en Tweakers geheel werd dichtgetrokken. Dit was zonder twijfel een van de grootste ddos-aanvallen op Tweakers tot dat moment en de eerste die angstvallig dicht in de buurt kwam van de maximale hoeveelheid dataverkeer die door de infrastructuur opgevangen kan worden.

Eerder dat weekend was ABN Amro al getroffen door een ddos-aanval. Die zorgde ervoor dat de internetbankierendienst van de bank tijdelijk niet bereikbaar was. Gelijktijdig met de aanval op Tweakers zondagavond, werden ook de servers van ING en de Rabobank onder vuur genomen, met net als bij ABN Amro storingen en uitval tot gevolg. Hoewel het vanwege de timing plausibel leek dat de aanvallen door dezelfde dader waren uitgevoerd, was daar geen bewijs voor. Dat veranderde in de dagen erna.

Grofweg vierentwintig uur na de eerste aanval, om maandagavond 21:08, werd een tweede aanval op het netwerk van Tweakers gedetecteerd. Deze was nog veel groter dan de eerste; volgens de netwerkafdeling van True kwam er meer dan 40Gbit/s binnen. Ook dit keer zat de verbinding tussen True en Tweakers op de maximale capaciteit.

Later die avond volgde nog een eigenaardig korte aanval. Ditmaal niet op de hoofdlocatie, maar op de back-uplocatie van Tweakers. Deze is speciaal bedoeld om in het geval van een verstoring op de hoofdlocatie, zoals stroomuitval of brand, een deel van het verkeer over te nemen, zodat de site gewoon beschikbaar blijft. Ook hier werd de verbinding weer maximaal belast. Omdat de verbinding naar deze locatie flink kleiner is, werd de aanval niet meteen opgemerkt tussen de andere aanvallen.

Terwijl Kees tot laat in de avond bezig was met analyse van het netwerk en voorbereidingen op een mogelijke nieuwe aanval, was de redactie van Tweakers nieuwsberichten aan het schrijven. Het aantal doelwitten van de ddos-aanvallen was die maandag namelijk sterk toegenomen. Niet meer gaat het alleen om banken, waarvan er overigens nog veel meer aan de initiële lijst van dat weekend toegevoegd werden, ook overheidsdiensten als DigiD en de Belastingdienst kregen het zwaar te verduren.

De Nederlandse media stortten zich ondertussen op het dadervraagstuk. Wie zit hier achter? Is het Iran? Noord-Korea? De Russen? Vooral dat laatste land krijgt op veel plekken de schuld. Niet lang voordat de aanvallen begonnen, kwamen de Volkskrant en Nieuwsuur namelijk met de grote onthulling dat het Nederland was dat Amerika van een grote hoeveelheid informatie had voorzien met betrekking tot de Russische pogingen de Amerikaanse verkiezingen te beïnvloeden. Het was de AIVD gelukt in te breken in de systemen van de Russische hackersgroep Cozy Bear, waarbij het zelfs toegang had tot de camera’s die registreerden wie de computerruimte in- en uitliep.

Uiteindelijk bleef het bij speculeren. Ook aan tafel bij het tv-programma Jinek, dat die maandagavond een deel van de uitzending aan het onderwerp besteedde, kwamen techjournalist Joost Schellevis en Tweede Kamerlid Kees Verhoeven tot de conclusie dat hoewel de dader best een natiestaat kan zijn, en Rusland daarbij niet ondenkbaar is, het net zo goed kan gaan om iemand die ‘zit te klooien achter zijn computer’. Dat ze daarmee heel dicht bij de waarheid zaten, beseften ze toen waarschijnlijk niet.

Door heel Nederland waren onderzoekers en instanties intussen bezig met een speurtocht naar de afzender van deze aanvallen. Ook bij de overheid was het alarmfase rood. Nationaal Coördinator Terrorismebestrijding en Veiligheid Dick Schoof stelde: “We zien dat aanvallen steeds geavanceerder worden. Het is daarom goed om te zien dat (financiële) instellingen de situatie goed en professioneel oppakken. Informatie wordt uitgewisseld en we staan in nauw contact met elkaar.”

Kees kwam dinsdagavond via Twitter in contact met beveiligingsonderzoeker Rickey Gevers, die zich op dat moment richtte op de aanvallen op de banken. Hij vroeg hem of hij al wist om wat voor soort ddos het hier ging. Gevers antwoordde dat het een zogeheten dns amplification attack was, waarbij hij kon zien dat Tweakers zich in hetzelfde rijtje doelwitten bevond als de banken. Het was nog steeds mogelijk dat het om twee losstaande aanvallen ging, maar de technische sporen begonnen langzaamaan te wijzen naar een enkele dader, die zowel Tweakers als de banken en overheidsinstanties aanviel.

Nog geen twintig minuten na de uitwisseling op Twitter kwam er weer een ddos binnen op de hoofdlocatie van Tweakers. Omdat provider True inmiddels maatregelen genomen had om het udp-verkeer richting Tweakers te limiteren, is moeilijk te zeggen hoe groot de aanval was. Uiteindelijk werd een maximale piek van 8Gbit/s gemeten. Kort daarna kreeg ook Rickey Gevers de aanval op de radar en tweette: “Ja hebbes! Dns amplification naar 213.239.154.30. Bijzonder dat jullie ook steeds in het rijtje staan hoor”. Kees reageerde dat hij het gek zou vinden als dit ‘de Russen’ zijn.

Later op die avond stuurde hij een tweet waarin hij zich afvroeg of hij dit keer wel een Netflix-aflevering zou kunnen afkijken zonder gestoord te worden door notificaties uit het netwerk. Nog geen twee minuten later kwam weer een udp-ddos binnen, waarvan 12Gbit/sec de firewall van Tweakers wist te bereiken. Kees bekroop langzaam het gevoel dat de dader hem in de gaten hield.

Nog geen half uur later werd dat gevoel bevestigd door een e-mail die hij ontving van iemand die zich ‘DDoS’ noemt. “Jij snapt ook wel dat deze ddos-aanvallen (op Tweakers en de banken, en Digid/Belastingdienst) niet door de 'Russen' worden uitgevoerd ;)”, valt er in de mail te lezen. De e-mail is verstuurd via ProtonMail, een dienst met end-to-end-encryptie die het moeilijk maakt de afkomst te achterhalen. Of het hier om een grappenmaker of de dader ging, is dus niet te zeggen.

Kees besloot te toetsen of zijn tweets echt door deze persoon in de gaten gehouden werden en probeerde hem uit te lokken. Hij tweette: “Ah well, we starten gewoon nog een poging om deze episode af te kijken. Wish me luck!". Twintig minuten later kwam er weer een udp-aanval binnen. Hoewel er enige tijd zat tussen de tweet en de aanval, leek er een verband. Kees vroeg via een tweet of de aanvaller wilde stoppen. Binnen een minuut nam de aanval behoorlijk in kracht af. Zijn vermoeden werd verder bevestigd.

Blij dat het verkeer weer was teruggelopen, stuurde Kees een bedanktweet uit voor het stoppen van de aanval, samen met een eerste analyse van de aanvalsmethoden die gebruikt werden. Meteen daarop nam de ddos weer in kracht toe tot de eerdere hoeveelheid. De aanvaller leek er een spelletje van te maken. Wederom vroeg Kees via een tweet de aanvaller te stoppen en hij meldde daarbij dat de gebruikers van Tweakers' irc-chatkanaal de enigen zijn die er echt last van ondervinden.

Nog geen twee minuten later werd vanaf een computer ergens in Nederland een webbrowser geopend en richting irc.tweakers.net gestuurd, waar gebruikers via een html5-client in kunnen loggen op de irc-server. Dit is een beslissing die de aanvaller later duur zou komen te staan. Hij vulde zijn nickname in en klikte op ‘Connect’. Kees' vermoedens dat de aanvaller hem volgde, werden nogmaals bevestigd toen de gebruiker met de nickname ‘DDoS’ het chatkanaal binnenkwam.

Omdat het leek dat deze persoon op erkenning uit was, besloot Kees hem vriendelijk te benaderen. Een half uur lang chatten ze op haast gezellige wijze met elkaar over de aanvallen en gebruikte technieken. Gebruiker DDoS liet daarbij zien kennis te hebben van bepaalde zaken die alleen bij de dader bekend kunnen zijn. Gedurende het chatgesprek kondigde hij aan een nieuwe aanval te starten, waarna meteen een piek in netwerkverkeer waar te nemen was. Ook wist hij de eerdere aanvallen met een opmerkelijke mate van detail te omschrijven.

Aan het eind van het gesprek deed de aanvaller uit de doeken hoe hij de aanval had opgezet en het antwoord is minder spannend dan waar de dagen ervoor over gespeculeerd is. Het zou gaan om een ‘stresser’; een dienst waarmee bedrijven de ddos-vastheid van hun eigen netwerken kunnen testen, maar die natuurlijk net zo goed voor een echte ddos ingezet kan worden. De aanvaller zei bij zo’n dienst 40 euro uitgegeven te hebben om de capaciteit voor de aanval in te kopen; of hij daarbij doelde op alle aanvallen of alleen op degene die plaatsvond tijdens het gesprek, is niet bekend. Hij benadrukte nogmaals dat het niet ‘de Russen’ zijn geweest en claimde wederom de verantwoordelijkheid voor alle recente ddos'en in Nederland, niet enkel die bij Tweakers. Tegen elf uur ‘s avonds besloot Kees het voor gezien te houden en sloot hij de chat af, op een paar minuten gevolgd door DDoS. Op dat moment, zo bleek later uit de serverlogs, zakte de nog lopende aanval in. Tien minuten later was alles weer rustig op het netwerk.

Wegens de bijzondere aard van de situatie werden de volgende dag verschillende mensen binnen Tweakers bij de kwestie betrokken. Logfiles werden doorgespit en verzameld, juridische mogelijkheden en beperkingen bekeken en uiteindelijk werd op donderdag 1 februari contact gezocht met de politie, bij wie het verhaal werd neergelegd.

Op dat moment was er nog weinig concrete informatie over de dader bekend. Hoewel het zeer aannemelijk was dat de irc-gebruiker DDoS achter de aanvallen op Tweakers zat, bleven zijn claims over de betrokkenheid bij de andere aanvallen niet meer dan dat: claims. En omdat hij een vpn-verbinding gebruikte om op irc te komen en mailde via Protonmail, waren er geen duidelijke digitale aanknopingspunten.

Dat veranderde op het moment dat Kees zich realiseerde dat gebruiker DDoS geen losse irc-client draaide, maar gebruikmaakte van de webclient op irc.tweakers.net. Daardoor was het mogelijk om het ip-adres van de gebruikte VPN in combinatie met de gebruikte useragent op te zoeken in de accesslogs van de server. Op die manier werd inzichtelijk wat deze gebruiker, of in ieder geval gebruikers met dit ip-adres, nog meer gedaan hebben op de site. Die informatie bevestigde het beeld van een aanvaller die een kick krijgt van alle commotie die zijn werk veroorzaakt. Zo bleek gebruiker DDoS, terwijl hij op irc het eerder genoemde gesprek met Kees had, het artikel ‘Belastingdienst en banken waren dinsdagavond opnieuw doelwit van ddos-aanvallen’ op te vragen en meerdere malen te refreshen. Vermoedelijk om de nieuwe reacties te lezen.

Ook bleek uit de logs dat vanaf dit ip-adres gecontroleerd werd hoeveel ongelezen notificaties er op de site waren, wat betekent dat de aanvaller een account heeft op Tweakers. Omdat hij daarna uitlogde, was een deel van de sessie-informatie meteen verwijderd, en dat maakte het achteraf niet mogelijk om het gebruikte Tweakers-account gemakkelijk te achterhalen.

Op dat moment was bekend dat de aanvaller een gebruikersaccount heeft en daarmee leek zijn identiteit binnen handbereik. Om te achterhalen om welke van de 830.948 accounts het ging, dook Kees verder de logfiles in. En dan bleek dat hoogmoed toch echt voor de val komt en onze dader in zijn drang naar erkenning zichzelf verraden heeft.

Wat bleek: vanaf hetzelfde sessie_id zijn maar liefst vijftien nieuwstips over de aanvallen ingestuurd via het formulier dat daarvoor op de site staat. In dit geval is er één ding heel relevant aan die simpele tipfunctie: die kan alleen gebruikt worden door ingelogde gebruikers. Kees had nu niet alleen een anonieme sessie_id, maar ook een bijpassend gebruikersaccount. Nu werd de zoektocht een stuk eenvoudiger. Verder onderzoek wees uit dat deze gebruiker een aantal minuten nadat Kees op dinsdagavond het irc-gesprek sloot en naar bed ging, het profiel van Kees op de site bekeken had. Ook bleek dat deze gebruiker interesse had in de zelden bezochte serverstatistiekenpagina van Tweakers, waar een succesvolle ddos in de grafieken te zien zou moeten zijn. Tot slot correspondeerde de naam in het gebruikersprofiel met een Twitter-account dat sinds kort een volger was van Kees - zoals hij zelf al vermoedde. Kees stuurt een mailtje naar betrokken collega’s met een simpel: “I've got him.”

Vanaf dan ging de bal snel rollen. Nog op donderdagavond werd de politie op de hoogte gesteld van deze ontwikkelingen en vrijdag werd een achttien pagina’s tellende aangifte opgesteld door twee rechercheurs van het Team High Tech Crime.

Op dat moment was bij Tweakers nog niets bekend over hoe lang het onderzoek naar de dader al liep, de betrokkenheid van bunq en het feit dat ook RedSocks de dader op de hielen zat. Dat alles bleek toen de politie maandag naar buiten bracht dat een verdachte was opgepakt in verband met de ddos-aanvallen en daarbij alle betrokken partijen bedankte voor hun hulp.

De verdachte wordt dinsdag 6 februari voorgeleid aan de rechter-commissaris. In het kader van het onderzoek is onder meer zijn woning doorzocht, waarbij zijn computer en 'andere digitale gegevensdragers' in beslag zijn genomen. Volgens Gert Ras van Team High Tech Crime kan een celstraf van maximaal zes jaar opgelegd worden.