Na Deadbolt en Genesis Market moest onlangs Qakbot eraan geloven. Mede dankzij het cyberproject Melissa werden deze internationale hackersgroepen opgerold. Arwi van der Sluijs, hoofd van het cybersecuritybedrijf Nederlands Forensisch Incident Response (NFIR), stond twee jaar geleden aan de wieg van Melissa. En niet alleen uit commerciële overwegingen. ‘Wij vinden van alles in honderden uren werk voor onze klanten. De bijvangst is informatie over boefjes, die we graag om niet delen met politie en OM.’
Directeur Arwi van der Sluijs van NFIR is een man met een mening. Bijvoorbeeld over het explosieve vraagstuk van ip-adressen en persoonsgegevens. ‘Wij vinden dat IP-adressen persoonsgegevens zijn als ze aan een persoon hangen, niet als ze aan een server hangen. Als de Autoriteit Persoonsgegevens dat gaat accepteren, wordt het veel gemakkelijker om dreigingsinformatie te delen.’
Het delen van dreigingsinformatie is waar het om draait bij het twee jaar geleden opgerichte cyberproject Melissa, waar naast NFIR, Northwave en FoxIT onder meer Deloitte, advocatenkantoor Kennedy Van der Laan, de politie en het OM bij betrokken zijn. Volgens Van der Sluijs is Melissa ‘een groot succes’ en daar valt iets voor te zeggen. Samen met partijen in de VS, Letland en vier andere landen hielp Melissa onlangs bij de verwijdering van de kwaadaardige software Qakbot op 700.000 besmette computers.
FBI
Waarom werkt een klein cybersecuritybedrijf als NFIR mee aan Melissa?
‘Goeie vraag. Het kost me tienduizenden euro’s per jaar aan beveiligde servers en software. Ook bedrijfstechnisch is het niet direct voordelig. We steken er een hoop tijd in. Ondertussen zien we het aantal incidenten flink afnemen bij onze zakelijke klanten. We hebben minder werk door het grote aantal nieuwe toetreders en door de oorlog in de Oekraïne. Hackers in Oekraïne en Rusland zijn meer op elkaar gericht en minder op het West-Europese bedrijfsleven. Daar komt nóg iets bij: het succes van Melissa bij het uitschakelen van invloedrijke hackersgroepen. Je zou dus kunnen zeggen dat ik me in mijn eigen voet schiet met deelname aan dit cyberproject. Maar we willen een bijdrage leveren aan een veiligere maatschappij. En het is ongelofelijk leuk werk voor it’ers. Het is de Champions League voor it, zou je kunnen zeggen.’
Wat is de toegevoegde waarde van Melissa? Er zijn al zoveel samenwerkingsverbanden voor cyberveiligheid.
‘Welke? Ik zit in het hart van de cyberellende en ken die samenwerkingsverbanden niet. Ik ken alleen Cyclotron, waarin het ministerie van Justitie en bedrijfsleven samenwerken. Maar goed, wat wij toevoegen: drie omgetrokken criminele organisaties in één jaar tijd. Onze deelnemers zijn begeistert om informatie te delen met politie en OM. Wel hopen we dat de politie iets opener gaat worden over wat ze met onze informatie hebben gedaan en in de toekomst ook feedback gaat geven.’
Hoe is Qakbot kaltgestellt?
‘Qakbot is een Russische groep die zich invreet, pc’s besmet en op elk moment kan besluiten om systemen op slot te zetten en losgeld te vragen of pc’s als bot te gebruiken om vandaaruit verder te springen. Wij wisten in eerste instantie niet dat we met Qakbot te maken hadden. We kwamen bij een klant een onbekend ip-adres tegen waar we last van hadden. Het bleek uiteindelijk te gaan om een belangrijk commando- en controlecentrum van Qakbot dat gehost werd in Amsterdam. Daarop vorderde de Officier van Justitie toegang tot de server. Pas een aantal weken geleden hoorden we dat onze interventie een doorbraak is geweest in het omtrekken van Qakbot, een wereldwijd netwerk met activiteiten in zeven landen. Wat mij overigens wel verbaasde is dat wij een tijd aan een onderzoek werkten zonder te weten dat het inmiddels een internationale zaak was geworden waarbij de FBI betrokken was. En de FBI bracht ook nog eens als eerste het resultaat naar buiten, direct gevolgd door het OM en de politie.’
Geen exclusief clubje
Tot nu toe moest per onderzoek geregeld worden dat uitwisseling van data aan vijf verschillende wetten voldeed, waaronder de AVG, Wet op de Rechterlijke Organisatie en Wet Beveiliging Netwerk- en Informatiesystemen. Nu is dat allemaal gekoppeld en daar profiteert Melissa van. Maar uitwisselen van data en koppelen van bestanden stuit op bezwaren bij burgers. Hoe verdedig je de legitimiteit van jouw werk tegenover critici?
‘Wij helpen zakelijke klanten na een hack zo snel mogelijk weer back to business te komen. In onze zoektocht vinden wij van alles. De bijvangst is dat we ook iets over boefjes vinden. Voor de politie zitten wij op een gouden punt: het eindpunt van een aanval. Wij kunnen honderden uren in projecten voor onze klanten steken. Die tijd hebben politie en OM niet. Formeel doen we aangifte van een mogelijk misdrijf, zoals iedere burger kan doen. Dat is onze maatschappelijke bijdrage.’
Hoe voorkomen bedrijven dat ze losgeld moeten betalen?
‘Door hun it goed op orde te hebben, met een backup die niet te bereiken is via internet. Maar de werkelijkheid is weerbarstig. Van onze gehackte klanten betaalt zon 30 procent losgeld. Dat is een keuze. Overheidsinstellingen betalen niet, zij kunnen zich dat veroorloven. Bedrijven moeten soms wel overstag gaan om hun bedrijf draaiende te houden. De vragen die ze aan ons stellen? Kan ik onderhandelen met de hackers? Kan ik ze vertrouwen?’
Wat kunnen we de komende tijd van Melissa verwachten?
‘Dat zijn lopende onderzoeken waar de politie niks over wil zeggen. Maar er zou zomaar een vervolg op Qakbot kunnen komen, misschien dit jaar nog. Daarnaast willen we verder professionaliseren. Binnenkort wordt ons convenant gepubliceerd voor do’s en don’ts van de deelnemers. Melissa is geen exclusief clubje. Partijen die aan de criteria voor data delen voldoen, mogen deelnemen.’
‘Helpdesk-medewerkster’ Melissa
Bij de start van de samenwerking waren de betrokken partijen twee dagen bij elkaar. Op een gegeven moment werd er gebrainstormd over de naam, vertelt Arwi van der Sluijs. ‘Tijdens die tweedaagse ging het over het hebben van contact met hackergroeperingen en de mate waarin ze georganiseerd zijn. Tijdens zo’n contact heb je soms te maken met een customer-contactcenter en meerdere deelnemers wisten zich te herinneren dat ze zaken deden met een dame die zich Melissa noemt. Het samenwerkingsverband heet dus naar de dame die we aan de ’telefoon’ kregen.’
Cybersec Netherlands
Aanstaande woensdag 1 en donderdag 2 november vindt in de Jaarbeurs in Utrecht de vakbeurs Cybersec Netherlands plaats. Kijk hier voor het complete inhoudelijke programma.
@redactie
Laatste zin intro luidt: “De bijvangst is informatie over boefjes, die we graag om niet delen met politie en OM.”
Delen ze nu wel of niet graag de bijvangst en wat is die bijvangst nu eigenlijk?
Graag “om niet” delen = graag “gratis” delen.
De bijvangst zal wel om tactische redenen niet geopenbaard worden.”Dat zijn lopende onderzoeken waar de politie niks over wil zeggen.”