Eind januari slaat de politie een grote slag in de strijd tegen cybercriminelen: botnet Emotet is ontmanteld. Hoe ging de politie te werk en wie hielp hen om dat gigantische netwerk binnen te dringen? Computable sprak met twee leden van het Team High Tech Crime van de Landelijke Politie, Marijn Schuurbiers (teamleider) en onderzoeksleider Peter (gefingeerde naam) en komt tot de volgende reconstructie.
In de zomer van 2019 maakt botnet Emotet een opvallende opmars. Dagelijks verschijnen er zo’n tweehonderd nieuwe malware-versies via het botnet. Dat is bijna drie keer meer dan in 2018 toen het ‘maar’ om zeventig varianten per dag ging. De criminelen achter het netwerk hebben waarschijnlijk de systemen flink geüpdatet en verspreiden alleen al in de eerste helft van 2019 dertigduizend verschillende infectie-varianten (cijfers GData).
De Nederlandse politie wordt gewaarschuwd door de Amerikaanse autoriteiten en besluit in juli 2019 in samenwerking met het Openbaar Ministerie een strafrechtelijk onderzoek te starten. Daarvoor werken ze nauw samen met internationale collega’s, securitybedrijven en de specialisten van Cryptoleamus. Dat is een groep cybersecurityspecialisten die via hun website en op Twitter informatie uitwisselt over ontwikkelingen rondom het Emotet-botnet.
De verschillende cyberspecialisten tekenen een geheimhoudingsverklaring en delen technische details over de ontwikkeling van het Emotet-botnet met de politie. Op haar beurt deelt de politie informatie uit het onderzoek. Die publiek-private samenwerking zal cruciaal blijken in het uiteindelijk opsporen en ontmantelen van het netwerk. Door de samenwerking met Cryptoleamus kan de politie vanuit het onderzoek bepaalde informatie delen. Bijvoorbeeld wat ze ziet in het netwerkverkeer van servers in het botnet. Vervolgens krijgt ze van die specialisten informatie over de malware-varianten en hoe het botnet technisch werkt. Het opsporingsteam benadrukt daarbij dat er geen persoonsgegevens van bijvoorbeeld verdachten worden uitgewisseld. De agenten brengen samen met Cryptoleamus de technische infrastructuur en de ontwikkelingen rondom het Emotet-bot in kaart.
Honderden servers
De politie heeft dan al vanuit internationale samenwerkingen een aantal taps uitstaan op de ‘command-and-control-kant’ en volgt die sporen via verschillende servers. Ook is er contact met leveranciers van securitysoftware. Die security-bedrijven hebben zicht op de malware. Analisten laten bewust systemen infecteren, bijvoorbeeld via digitaal lokaas, zogenaamde honeypots. Ze analyseren vervolgens het botnet door vanuit het eindproduct (de ransomware) terug te construeren naar het doel en de bron van dat product. Door die reverse engineering en opvolgende samenwerkingen versterken de eenheden elkaar om tot een totaalbeeld te komen.
De infrastructuur komt in beeld
In april 2020 komt door die gezamenlijke inspanningen en uitwisseling van informatie de infrastructuur achter Emotet zeer goed in beeld. Daaruit blijkt dat verschillende campagnes geografisch en qua modus operandi van elkaar gescheiden zijn en telkens anders ingezet worden.
Het botnet blijkt uit drie campagnes te bestaan, ook wel epochs genoemd. Het ene wordt op een bepaald tijdstip geüpdatet en de volgende op een ander tijdstip. Epoch 1, 2 en 3 hebben elk hun eigen slachtoffers, infrastructuur en encryptografische sleutels; een bot uit campagne 1 kon niet met campagne 2 of 3 communiceren.
Het blijkt dat de criminele organisatie achter Emotet de malware verspreidt via een omvangrijk en complex netwerk van honderden servers. Sommige servers worden gebruikt om grip te houden op geïnfecteerde slachtoffers en gegevens door te verkopen, andere om nieuwe slachtoffers te maken, en weer andere servers om politie en beveiligingsbedrijven op afstand te houden. Het verdienmodel van Emotet is de achterdeur openzetten voor andere partners zoals Trickbot en QuadBot. Vervolgens is de weg vrij voor ransomware-infecties.
Emotet
Emotet-malware is in 2014 voor het eerst ontdekt als een ‘banking Trojan’ en ontwikkelt zich in de loop der jaren tot een allesomvattende oplossing voor cybercriminelen. De infrastructuur fungeert als een soort primaire deuropener voor computersystemen op wereldwijde schaal. Zodra de toegang tot stand is gebracht, worden deze achterdeurtjes verkocht aan andere criminele groepen om verdere illegale activiteiten te ontplooien, zoals gegevensdiefstal en afpersing via gijzelsoftware (ransomware).
Dat werkt via een volledig geautomatiseerd proces waarin de malware via geïnfecteerde e-mailbijlagen op de computers van de slachtoffers wordt afgeleverd. Via verschillende lokmiddelen worden gebruikers verleid om bijlagen in mails, zoals facturen, verzendberichten en informatie over corona te openen. Vaak is de kwaadaardige code verstopt in macro’s in Word-bestanden.
Emotet faciliteert dus andere cybercriminelen om verschillende soorten malware, zoals banking trojans of ransomware, te installeren. Dit type aanval wordt een ‘loader’-operatie genoemd. Onder meer de gijzelsoftware TrickBot en Ryuk maakten gebruik van het Emotet-netwerk. Emotet verkocht dus als Primary Acces Broker niet louter de gebruikersnaam en wachtwoorden om ergens binnen te komen, maar bood extra diensten aan waarmee derden gemakkelijker hun eigen malware konden plaatsen.
Interpol
Via het Nationaal Cyber Security Center in Nederland deelt de politie vanaf april maandelijks en later tweewekelijks gedetailleerde informatie over Emotet-dreigingen met de cyberdesk van Interpol. Bij deze internationale politieorganisatie zijn 180 landen aangesloten en deze partij fungeert als draaischijf voor het delen van politie-informatie.
Door geautomatiseerde analyses in het netwerk is van slachtoffers te achterhalen wanneer en hoe vaak de routes via hun proxyservers naar de command en control servers lopen. Daarbij staat de politie voor een dilemma. Er gaat meestal wat tijd overheen voordat een bedrijfsnetwerk wordt binnengedrongen en de infectie met ransomware daadwerkelijk plaatsvindt. Ze moeten dan de afweging maken tussen zo veel mogelijk in kaart brengen hoe de cybercriminelen te werk gaan, om het zicht op hun acties te verbeteren, en het waarschuwen van het bedrijf dat gevaar loopt dat criminelen hun data gijzelen. De cyberagenten kiezen er voor om zo snel mogelijk die waarschuwingen te doen. Ze doen dat wel via heimelijke kanalen, zodat het onderzoek afgeschermd blijft.
Cruciale misstap criminelen
In september 2020 zetten de criminelen achter Emotet een stap die ze duur komt te staan. Ze verplaatsen twee van de drie command- en controlservers, die tot dan toe in Rusland staan, naar Nederland.
Dat biedt de politie, die tot dan toe alleen passief via taps meekijkt, de mogelijkheid om via de hackwet (zie kader), toegang te krijgen tot de servers en deze over te nemen. Dat gebeurt door ’s nachts, als de criminelen achter Emotet minder actief zijn, via remote acces binnen te dringen. Een zeer complexe operatie, waar tientallen politie-experts aan meewerken.
Door die toegang krijgt de politie een kijkje in de keuken. Het onderzoeksteam ziet wat verdachten doen, wie de onderdelen aanstuurt en hoe de criminelen te werk gaan. Eenmaal binnen krijgt de politie zicht op hoe het botnet beheerd en bestuurd wordt. Ze ziet hoe nieuwe infectiecampagnes worden gestart, hoe van bestaande infecties uiteenlopende inlogcodes worden gestolen en welke servers betrokken zijn om de Emotet-fabriek draaiende te houden.
Updates klaarzetten
Samen met Duitsland bouwt de politie een nieuwe command-and-control-infrastructuur. Er wordt een update klaargezet die slachtoffers (botjes) automatisch ophaalt en connect naar een nieuwe politie-infrastructuur. Daarop kan de oude definitief offline worden gehaald. Op deze manier laat de politie het Emotet-botnet gecontroleerd uitdoven en de overgebleven slachtoffers monitoren en waarschuwen.
Het hackingteam heeft de verdachten uit de servers buitengesloten en stuurt vervolgens updates uit naar de geïnfecteerde machines. Of beter gezegd, de update-bestanden staan klaar op de servers. De bots zijn namelijk zo geprogrammeerd dat zij zelf automatisch nieuwe updates ophalen. De politie zet in op disruptie van het proces, sloopt de infrastructuur en laat het hele netwerk imploderen. Ook worden vele backups in beslag genomen voor nader onderzoek.
Hackwet
Om de servers van Emotet binnen te dringen, is gebruikgemaakt van de Wet Computercriminaliteit III, ook wel de terughackwet genoemd. Die wet die in 2019 van kracht werd, moet de pakkans van cybercriminelen vergroten. De politie krijgt alleen onder strenge juridische voorwaarden toestemming om systemen binnen te dringen. Daarvoor wordt gebruikgemaakt van artikel 126 nba in het Wetboek van strafrecht.
Daarin staat aan welke eisen het ‘heimelijk binnendringen’ van systemen door de politie, ofwel het terughacken, moet voldoen en wat de voorwaarden zijn omdat middel in te zetten. Het moet bijvoorbeeld gaan om delicten waar minimaal vier jaar gevangenisstraf op staat. Zodra het gaat om acht jaar of meer, worden de bevoegdheden verder verruimd. Het Team High Tech Crime van de Landelijke Eenheid van de politie werkt op dit gebied samen met cybercrime-officier Martijn Egberts van het Landelijk Parket.
De bevoegdheden gelden alleen op eigen grondgebied. Inmiddels hebben steeds meer andere landen vergelijkbare wetgeving. Daardoor is het mogelijk om cybercriminelen internationaal aan te pakken, ongeacht waar zij hun misdrijven plegen. Een hindernis is wel dat internationale rechtshulpverzoeken niet altijd succesvol zijn. Het is de vraag of ze worden opgevolgd en als dat al zo is, dan duurt het vaak lang voordat dat gebeurt.
Geen aanhoudingen
Na het ontmantelen van het botnet kan de opsporing van de criminelen achter Emotet beginnen. In Oekraïne zijn al huiszoekingen geweest. De politie dan dicht bij de eerste aanhoudingen, al zullen die waarschijnlijk buiten Nederland plaatsvinden.
Hoewel er nog geen aanhoudingen zijn verricht, is de politie toch al tevreden over de actie. Allereerst doordat het botnet uit de lucht is gehaald, maar ook omdat Nederland volgens de betrokken agenten minder aantrekkelijk wordt en de criminelen hun servers elders zullen stallen. Daarmee is het gevaar niet geweken. Maar wel verminderd. Uit wetenschappelijk onderzoek blijkt dat een verplaatsingseffect vaak ook een verminderingseffect met zich meebrengt. Daarbij bestaat de kans dat criminelen Nederland niet alleen minder geliefd zal worden als toevluchtsoord voor criminele infrastructuren, maar ook als doelwit.
Team High Tech Crime
Het Team High Tech Crime van de Landelijke Eenheid van de politie telt 160 leden. Meer dan de helft van dat team komt van buiten de politie. Het gaat om securityspecialisten en ict’ers die vanuit andere organisaties en bedrijven instromen. Er is ook een apart team dat zich richt op de bestrijding van kinderporno.
Er zijn op dit moment ruim vijftig openstaande ict-vacatures bij de politie, waarvan tien in het vakgebied opsporing. De overige veertig zijn ict-functies op het vlak van applicatieontwikkeling, beheer en data-analyse enzovoort. Bekijk hier de vacatures op de wervingssite: ‘Zonder it’ers zijn we nergens.’ van de politie.