Onze politie zit echt niet stil

Ha Lydia
Ik heb het artikel gekopieerd en plak het hieronder.
Vr. groet
Angeliek

Daar zagen de infostelers hun systeem kapotgaan: de nieuwe aanpak van de politie tegen cybercrime

Niet meer alles inzetten op vervolging van cybercriminelen, maar hun digitale infrastructuur uitschakelen. Dat is de nieuwe aanpak van de politie. Een eerste succes is geboekt. Reconstructie van een operatie tegen ‘misschien wel de grootste dreiging van het moment’: infostelers.

Huib Modderkolk
is onderzoeksjournalist bij de Volkskrant met als specialisatie cybersecurity en inlichtingendiensten.

27 november 2024, 05:00

Vraag een willekeurige agent naar ‘klapdag’ en de ogen gaan glinsteren. Die dag, ook wel de actiedag geheten, vormt voor agenten de apotheose van een politieonderzoek. Een moment waar ze maanden- of jarenlang naar hebben uitgekeken. In alle vroegte komen ze opgewonden naar het bureau, trekken kogelvrije vesten aan, nemen wapens mee en een stormram, stellen zich daarna strategisch op in een stad of dorp en wachten op het sein om te doen waar ze al die tijd naartoe hebben geleefd: huizen binnenstormen en verdachten arresteren.


Maar toen op maandagochtend 28 oktober een van de grootste criminele dienstverleners ter wereld – die in enkele jaren miljoenen slachtoffers wereldwijd heeft gemaakt – de nekslag werd toegebracht, gebeurde dat zonder groots machtsvertoon.
Er reden geen arrestatieteams rond. Er waren geen invallen. De betrokken agenten van het Team Cybercrime Limburg, dat een internationaal opsporingsonderzoek leidde met specialisten uit de Verenigde Staten, België, Portugal en Australië, waren in alle rust naar kantoor gekomen. Ze hadden een bekertje koffie gepakt en waren onder het systeemplafond van politiebureau Venlo op barkrukken gaan zitten voor het hoogtepunt van Operation Magnus. Hun blik was niet gericht op een deur waar een schietgevaarlijke verdachte zich achter schuil kon houden. In plaats daarvan keken ze naar drie projectieschermen. ‘Een nogal atypische klapdag ja’, zegt een betrokken digitaal rechercheur.

De stille actiedag van 28 oktober is illustratief voor een nieuwe opstelling van de politie in de strijd tegen cybercriminelen: in het kat-en-muisspel met hackers verkiest zij het stukmaken van de digitale infrastructuur steeds vaker boven het tijdrovende en inefficiënte proces van strafvervolging. Hoe dat concreet gaat, blijkt uit een reconstructie van Operation Magnus – een internationale politieactie met in de hoofdrol cybercrimeteam van Limburg onder leiding van het Openbaar Ministerie. De Volkskrant sprak met vier hoofdrolspelers: een digitaal rechercheur, een officier van justitie, teamleider Metten Bergmeijer en Eset-directeur Dave Maasland.

Crimineel ecosysteem
Operation Magnus vindt zijn oorsprong ver buiten Venlo. Eind april 2023 houdt Dave Maasland, directeur van beveiligingsbedrijf Eset Nederland, in een hotel in San Francisco een besloten presentatie voor politiediensten en overheidspartijen. Onderwerp: de nieuwste digitale dreigingen. Maasland is in de Amerikaanse stad voor de RSA Conference, een beveiligingscongres waar jaarlijks tienduizenden cybersecurityspecialisten op afkomen. In een gehuurde ruimte in zijn hotel vertelt hij samen met het hoofd van de onderzoeksafdeling van Eset over een nieuwe trend: infostelers. ‘Misschien wel de grootste dreiging van dit moment’, zegt Maasland tegen de zaal.

Eset heeft net als beveiligingspartijen als Microsoft en Recorded Future de razendsnelle opmars van deze nieuwe vorm van malware waargenomen. De infosteler (in het Engels infostealer) zoekt naar inloggegevens en cookies op computers van slachtoffers. De malware is veelal verstopt in andere software die bijvoorbeeld gratis als download wordt aangeboden via videogames, YouTube, TikTok of GitHub en zo bij gedupeerden komt. Vervolgens haalt de infosteler wachtwoorden, financiële informatie en e-mails van de geïnfecteerde computer en stuurt die door naar de hacker. Die data zijn bijzonder waardevol: criminelen kunnen ze gebruiken om crypto van het slachtoffer te stelen, of diens bankrekening te plunderen.

In een mum van tijd, vertelt Maasland de toehoorders, is een crimineel ecosysteem ontstaan rond deze infostelers. Iedereen heeft daarin zijn eigen rol. Je hebt de makers, de zogenoemde operators, die de malware bouwen. Dat zijn de grote jongens die uit Rusland komen. Zij bieden hun malware te koop aan als een service. Andere criminelen, de affiliates, sluiten bij hen een abonnement af om de infosteler te mogen gebruiken. Voor 100 dollar per maand gaan ze aan de slag. En je hebt de afnemers – die de loggegevens kopen die de affiliates hebben buitgemaakt. Die afnemers kunnen eenlingen zijn, criminele bendes maar ook statelijke hackgroepen die op deze manier de toegang tot allerlei bedrijven kopen.

Domino-effect
Dat dit geen kinderspel is, blijkt uit een hack begin dit jaar in de Verenigde Staten. Het medische bedrijf Change Healthcare werd toen volledig platgelegd met gijzelsoftware. Doordat hun netwerk uitviel – waarmee verzekerings- en facturatiegegevens werden gedeeld – konden zorginstellingen maandenlang niet goed functioneren en werd zorg door de hele VS uitgesteld. Daar bleef het niet bij: de criminele hackers stalen ook nog eens de medische data van meer dan honderd miljoen mensen, het grootste medische datalek in de VS ooit. Change Healthcare zag zich genoodzaakt 20 miljoen euro over te maken aan de criminelen om de controle over het eigen netwerk terug te krijgen. De gestolen patiëntendata kreeg het bedrijf evenwel niet terug. Tijdens een hoorzitting in het Amerikaanse Congres bleek dat de hack kon ontstaan doordat criminelen gestolen inloggegevens gebruikten – data die waren buitgemaakt door een infosteler.

Zo kunnen infostelers een domino-effect in gang zetten: doordat de malware bij miljoenen computers inloggegevens steelt en criminelen die data doorverkopen, kunnen in die berg gegevens zitten om bij bedrijven binnen te komen en zo nieuwe slachtoffers maken. Beveiligingsbedrijf RecordedFuture neemt op het hoogtepunt 250 duizend nieuwe infecties per dag waar. Zeker een op de honderd Nederlanders is al eens slachtoffer geweest. Hun gestolen data leiden tot nieuwe hacks: die bij Ticketmaster bijvoorbeeld. Ook de hacks bij Uber en Maastricht Airport zijn het gevolg van een infosteler. Onlangs, vertelt een bron in de cybersecuritywereld, is een ict-partij gehackt waar criminelen vervolgens de inloggegevens aantroffen van diverse Nederlandse overheidspartijen in het sociale domein.

In het hotel in San Francisco laat Maasland technische details zien van twee van de grootste infostelers: RedLine en Meta. RedLine beweert zelfs opgeslagen wachtwoorden uit Google’s internetbrowser Chrome te kunnen halen. Een slide geeft geografisch weer vanaf welke computers de infosteler slachtoffers maakt; van de duizend geïdentificeerde servers blijkt zo’n 60 procent in Rusland, Duitsland en Nederland te staan. Een aanwezige politieman van het Nederlandse Team High Tech Crime (THTC) steekt daarop zijn hand op. ‘Hebben wij die lijst?’, vraagt hij. Maasland: ‘Dat denk ik niet.’ Kan hij die misschien ontvangen, vraagt de man.

Een maand later, het is eind mei 2023, beginnen digitaal specialisten van het Team Cybercrime Limburg met de lijst van Eset in de hand een eerste verkennend onderzoek. Voor de specialisten zijn infostelers haast net zo onbekend als voor het grote publiek. Waar dienen de IP-adressen voor en zijn ze nog actief? Hoe werken infostelers? Hoe ziet hun technische infrastructuur eruit? De digitale rechercheurs lezen openbare onderzoeken en testen welke IP-adressen in Nederland actief zijn.
Na twee maanden doet de politie een zogeheten Siena-verzoek bij Europol: zijn er andere landen ook bezig met RedLine? Teamleider Metten Bergmeijer: ‘Je wilt elkaar niet in de wielen fietsen.’ De Amerikaanse FBI blijkt actief met het identificeren van een van de makers en in België loopt een onderzoek naar een afnemer van de malware. Bergmeijer: ‘We zaten alle drie op een andere plek in de keten.’ Op 15 september komen de drie landen, aangevuld met
Groot-Brittannië en Australië, samen en begint Operation Magnus officieel. Het Nederlandse politieteam, belast met het in kaart brengen van de technische infrastructuur van RedLine, krijgt de leiding. De landen zullen elkaar op de hoogte houden van het verloop en belangrijke inzichten delen.
Een klassieke fout van hackers
De eerste stap voor het Limburgse team is het bevragen van de IP-adressen. Daaruit volgt dat twee panels – plekken waar de kopers van de infosteler inloggen en de malware downloaden – en een cruciale hoofdserver van RedLine in Nederland staan. De rechercheurs vorderen kopieën van de twee panels om te begrijpen waar ze naar kijken. Direct stuiten ze op een probleem: de verbindingen naar en van de panels zijn versleuteld. En zonder zicht op die communicatie kunnen ze onmogelijk verder. Een digitaal specialist stort zich erop en heeft geluk. De hackers blijken een klassieke fout te hebben gemaakt: de sleutel om de encryptie ongedaan te maken, is verstopt in de broncode. Teamleider Bergmeijer: ‘Dat bleek een cruciale doorbraak. Toen we die communicatie eenmaal ontsleuteld hadden, zagen we hoe de panels werkten.’
Ze ontdekken dat die belangrijke schakels zijn in het criminele ecosysteem: ze dienen voor de authenticatie en communicatie tussen de malwaremakers en hun afnemers. De politie heeft nu een idee van de technische werking van RedLine en komt erachter dat er sterke overeenkomsten zijn met een andere infosteler, Meta. Een betrokken rechercheur: ‘Feitelijk is het dezelfde malware.’ Het team bouwt de infrastructuur na in een lab in Venlo. Op basis van enkele technische karakteristieken voeren de rechercheurs een internetscan uit naar de belangrijkste machine binnen dit ecosysteem, de zogeheten DBcontroller. Wereldwijd blijken er slechts twee te zijn: beide in Nederland.
Nu de infrastructuur in zicht is, volgt de laatste fase. Een rechercheur infiltreert onder valse naam in besloten groepen van RedLine en Meta op het socialemediaplatform Telegram. Hij doet zich voor als koper en via een automatisch proces – de communicatie binnen de Telegramgroep verloopt via bots – ontvangt hij de infostelers. Bijkomend voordeel is dat de politie vanaf dat moment zicht heeft op de honderden afnemers van de infostelers die in dezelfde Telegramgroep zitten. Via die chatapps ontvangen zij ondersteuning en cruciale updates van de malware.

Voor het sluitstuk van de operatie staan de Limburgse specialisten in contact met het Digital Intrusion Team, kortweg DIGIT. Het is het enige team in Nederland dat, bij verdenking van ernstige strafbare feiten, legaal mag hacken. De politiehackers richten zich op de hoofdserver van RedLine en Meta, daarop staat de broncode van de infosteler en het volledige klantenbestand. In augustus, vijftien maanden na het begin van Operation Magnus, dringen politiehackers deze binnen en kopiëren de inhoud. De database, inclusief enkele gigabytes aan gebruikersnamen en wachtwoorden van de kopers, verstrekken ze aan het Limburgse cybercrimeteam.
In de VS heeft de FBI ondertussen een verdachte in beeld: Maxim Roedometov, een Russische twintiger uit Krasnodar. Hij zou aan het hoofd staan van de criminele organisatie. En ook België meldt een succes: daar is een koper van de malware geïdentificeerd. De Belgische politie onderhoudt namens de drie landen het contact met Telegram. Sinds de arrestatie van baas Pavel Doerov in Parijs eind augustus heeft Telegram, dat zich altijd doof hield voor opsporingsverzoeken, een aanspreekpunt in België. In het contact met de politie laat het bedrijf verrassenderwijs weten open te staan voor het verwijderen van de Telegramgroepen waar de infostelers worden verhandeld.

‘Ze komen van alle kanten!’
En dan volgt de klapdag. Een officier van justitie, enkele digitaal rechercheurs en teamleider Bergmeijer kijken op maandag 28 oktober naar drie schermen op het bureau in Venlo. De eerste actie is te zien op de monitor met actieve computerservers van RedLine en Meta: om 04.00 uur gaan de hoofdservers offline. Een uur later volgt de arrestatie van de afnemer in België. En daarna volgt de ontknoping: de politie zal zich kenbaar maken in de Telegramgroep en zo de kopers van de malware de stuipen op het lijf jagen. Daarvoor heeft de vormgever van het Limburgse bureau een zelfgenoegzaam filmpje in elkaar geknutseld met als ondertoon: we weten alles van je, vrees ons.

Geamuseerd volgen de agenten de verbaasde reacties van de criminelen in de Telegramgroep als de politie in hun midden blijkt te zijn. ‘Ze komen van alle kanten!’, roept een van hen uit. ‘Is dit echt of een slechte grap?’, vraagt een ander. ‘Hoe is hij in de chat gekomen?’ Daarna wordt het stil in de groep. De bekendste infostelers RedLine en Meta zijn uitgeschakeld. De Telegramgroepen gaan offline. De Limburgse politie houdt niemand aan.
Teamleider Bergmeijer een maand later: ‘Vijf jaar geleden zetten we in op ieder incident om bij een verdachte te komen. Nu kijken politie en justitie anders: hoe kunnen we een deel van het cybercrimemodel de nek omdraaien? We pakken hun communicatie, hun verdienmodel en hun infrastructuur. Dat is veel efficiënter.’ Eset-directeur Dave Maasland, die aan de basis stond van het politieonderzoek, begrijpt die opstelling. ‘De politie heeft de definitie van succes in een onderzoek herzien: hun nieuwe filosofie is disruptie. Daarmee breek je met het idee dat cybercriminelen onaantastbaar zijn.’

Voor mij was dit ook een eye-opener, Rileen.
En ik denk dat we best wel een beetje trots mogen zijn op dat cybercrime-team in Limburg. Die 'jongens' hebben er toch maar mooi voor gezorgd dat een hele criminele bende de nek werd omgedraaid zodat ze (voorlopig althans) geen nieuwe slachtoffers meer kunnen maken.
Voorkomen is nog altijd beter dan genezen.

Ja, hopelijk gaan we nu wat minder negatief denken over de politie die naar onze mening weinig of niks kan doen met onze aangiftes, terwijl er achter de schermen juist hard gewerkt wordt om dit soort fraude de kop in te drukken.