Nederland bijna zonder internet door botnet
Opmerkelijk nieuws in de Telegraaf vandaag, want volgens de krant dreigde deze week een groot deel van het internet in ons land uit te vallen. De precaire situatie deed zich voor bij de afsluiting van het Bredolab botnet, dat vermoedelijk door de 27-jarige Armeniër George A. werd gerund. Volgens de krant van wakker Nederland wilde de Nationale Recherche A. bij zijn aankomst op Schiphol volgen. Pas als hij op het botnet was ingelogd, wilde het arrestatieteam hem aanhouden. Ze zouden de deur van zijn verblijf inbeuken en hem tegen de grond werken, voordat hij een "vernietigingscode" kon invoeren.
Uiteindelijk kwam A., die zijn botnet vanuit Leaseweb bestuurde, niet naar Nederland. Vanaf augustus zou politie de servers van A. hebben afgetapt, waarbij het om omvangrijkste interceptie ooit zou gaan. "In enkele weken tijd wordt drie keer zo veel internetverkeer getapt als bij de rest van de gehele Nederlandse politie in een jaar", aldus de Telegraaf. Met behulp van het Nederlands Forensisch Instituut (NFI) worden de bewijzen veiliggesteld.
Vergeldingsaanval
Vorige week gingen verschillende partijen tot het afsluiten van de C&C-servers over, iets wat A. in Moskou opmerkt. "Hij meende dat een criminele groep hem aanviel, die zijn netwerk wilde stelen", zegt de landelijk officier van justitie cybercrime, Lodewijk van Zwieten. A. heeft ook in Parijs verschillende servers staan en geeft hen opdracht om Leaseweb aan te vallen, wat hierdoor in de problemen zou zijn gekomen. "Hij opende een massale cyberaanval om alles stil te leggen. Hij wilde voorkomen dat zijn netwerk in andermans handen zou vallen. Dan vernietigde hij het liever", zegt Pim Takkenberg van de nationale recherche. "Het functioneren van een groot deel van internet in ons land staat op het spel", zo laat de Telegraaf weten.
In de namiddag zou Leaseweb de aanvallen van 220.000 bots niet meer aankunnen en dreigde verschillende populaire websites onbereikbaar te worden, waaronder Rabobank Nederland, het ministerie van VROM, Heineken, Hyves, Price Waterhouse Coopers, VNU Media, KPMG, het Nederlandse Politie Instituut en de AVRO.
Terughacken
Takkenberg merkt op dat men de servers in Parijs eventueel kon uitschakelen. "Mijn hand hing boven de rode knop. Het zou een laatste middel zijn. Maar Nederland mag geen computersystemen in een ander land stilleggen. We wisten niet welke kritische systemen daar konden uitvallen. Maar wat als Leaseweb onder de aanval zou bezwijken? Het was een groot dilemma", aldus Van Zwieten. Uiteindelijk grijpen de al eerder gewaarschuwde Franse autoriteiten in, door de servers "uit de muur te rukken."
Inmiddels wordt ook de kennis van de rechters, die weinig van cybercrime weten, bijgespijkerd, mocht de Armeniër ooit in Nederland verschijnen. Armenië heeft echter geen uitleveringsverdrag met Nederland.
Update 31/10 - Reactie LeaseWeb
Alex de Joode, Security Officer bij LeaseWeb, laat in een reactie weten:
"Als Security Officer van LeaseWeb ben ik nauw betrokken geweest bij deze operatie. De Telegraaf heb/lees ik niet dus daar kan ik geen commentaar op geven. Op het artikel hierboven wel.
De Armeense verdachte had twee botnets tot zijn beschikking, het Bredolab botnet (waarvan de kern bij LeaseWeb stond) en een ddos botnet dat in Parijs bij een grote dedicated hoster stond. Beide botnets waren door de KLPD in kaart gebracht en dus bekend.
De in het artikel genoemde ddos heeft plaatsgevonden, de verdachte zag dat een LeaseWeb ip bezig was zijn infrastructuur te hacken en hij heeft dat ip adres aangevallen. Zoals hierboven als is opgemerkt: LeaseWeb heeft uitgaand een peak traffic van ~746 Gbp/s en inkomend ~50Gbp/s. Verkeer koop je symmetrisch in: je ziet dat we dus nogal wat inkomende capaciteit over hebben (ddos gaat via het inkomende pad).
De ddos heeft gedurende 5 minuten plaatsgevonden, daarna zijn de servers door de al klaarstaande Franse politie offline gehaald. In die 5 minuten heeft de ddos een maximale capaciteit gehad van ~5Gbp/s, minder dan een pixel op onze stats. Zo'n ddos heeft nul-komma-nul (0,0) impact op ons netwerk, en dus ook 0,0 impact op klanten. Omdat het hackende ip op een 1Gbp/s poort aangesloten was zat die verbinding (switch -> server) tijdelijk vol, zoals gezegd heeft de ddos geen impact op klanten gehad.
Na 2 minuten hebben we via Remotely-Triggered Black Hole (RTBH) routing de aanval op het ip afgeslagen, en was er van de ddos niets meer te merken. En 3 minuten later waren de Franse servers offline.
Ik kan me voorstellen dat e.e.a. voor personen die hier niet vaak mee te maken hebben erg spannend is geweest, de impact voor LeaseWeb en dus voor het internet in Nederland was echter 0,0."
Behoorlijk overdreven.
En waneer zit Nederland nou zonder internet? Als Hyves en de AVRO hun site onderuit liggen?
Volgens mij moet je eerder AMS-IX plat leggen om dat doel te bereiken, en de losse links die talloze providers zelf het land uit laten lopen ;)
Maar opgeklopte verhalen, daar smult de massa van ;)
(niet van mij)
[admin] De openingszin is iets aangepast, de Telegraaf stelt namelijk het volgende: "Een groot deel van het internet dreigde daardoor in ons land uit te vallen." [/admin]
Toen "besloten ze tot overstappen op plan B." Als ik dan zoek naar wat plan B was, dan lijkt dat op paniek voetbal en het uitlokken van een redelijk zware ddos aanval, die stopt op het moment dat de boef in het vliegtuig stapt, waarna de franse politie ook nog wat servers in Parijs losrukt.
Dat is zo'n beetje een B-film, van wat een goed geplande en tot op het laatste moment goed lopende actie lijkt. Jammer Jammer, heel Jammer
Twee vragen:
1. waarom zou deze verdachte naar NL komen?
2. ze hadden de verdachte al in een veel eerder stadium geïdentificeerd en plan A daarop afgestemd, waarom was plan B (als het al bestond) ook niet daarop gericht en parallel uitgevoerd?
Rijkelijk overdreven dus, :)
je moet wel met wat meer aan komen zetten om Leaseweb plat te krijgen.
http://leasewebnoc.com/
gemiddeld inkomend verkeer: 50 Gbit
dat is 50.000Mbit.
Geloof dat ze 500 Gbit aankunnen.
Een mooi antiDDos systeem en een systeem dat in de gaten houdt of er machines zijn gehacked oid.
De Telegraaf heb/lees ik niet dus daar kan ik geen commentaar op geven. Op het artikel
hierboven wel.
De Armeense verdachte had twee botnets tot zijn beschikking, het Bredolab botnet (waarvan
de kern bij LeaseWeb stond) en een ddos botnet dat in Parijs bij een grote dedicated hoster
stond. Beide botnets waren door de KLPD in kaart gebracht en dus bekend.
De in het artikel genoemde ddos heeft plaatsgevonden, de verdachte zag dat een LeaseWeb ip
bezig was zijn infrastructuur te hacken en hij heeft dat ip adres aangevallen. Zoals hierboven als
is opgemerkt: LeaseWeb heeft uitgaand een peak traffic van ~746 Gbp/s en inkomend ~50Gbp/s.
Verkeer koop je symmetrisch in: je ziet dat we dus nogal wat inkomende capaciteit over hebben
(ddos gaat via het inkomende pad).
De ddos heeft gedurende 5 minuten plaatsgevonden, daarna zijn de servers door de al klaarstaande
Franse politie offline gehaald. In die 5 minuten heeft de ddos een maximale capaciteit gehad van
~5Gbp/s, minder dan een pixel op onze stats. Zo'n ddos heeft nul-komma-nul (0,0) impact op ons
netwerk, en dus ook 0,0 impact op klanten. Omdat het hackende ip op een 1Gbp/s poort aangesloten
was zat die verbinding (switch -> server) tijdelijk vol, zoals gezegd heeft de ddos geen impact op klanten
gehad.
Na 2 minuten hebben we via Remotely-Triggered Black Hole (RTBH) routing de aanval op het ip
afgeslagen, en was er van de ddos niets meer te merken. En 3 minuten later waren de Franse
servers offline.
Ik kan me voorstellen dat e.e.a. voor personen die hier niet vaak mee te maken hebben erg spannend
is geweest, de impact voor LeaseWeb en dus voor het internet in Nederland was echter 0,0.
Alex de Joode
Security Officer
LeaseWeb BV
De Telegraaf heb/lees ik niet dus daar kan ik geen commentaar op geven. Op het artikel
hierboven wel.
De Armeense verdachte had twee botnets tot zijn beschikking, het Bredolab botnet (waarvan
de kern bij LeaseWeb stond) en een ddos botnet dat in Parijs bij een grote dedicated hoster
stond. Beide botnets waren door de KLPD in kaart gebracht en dus bekend.
De in het artikel genoemde ddos heeft plaatsgevonden, de verdachte zag dat een LeaseWeb ip
bezig was zijn infrastructuur te hacken en hij heeft dat ip adres aangevallen. Zoals hierboven als
is opgemerkt: LeaseWeb heeft uitgaand een peak traffic van ~746 Gbp/s en inkomend ~50Gbp/s.
Verkeer koop je symmetrisch in: je ziet dat we dus nogal wat inkomende capaciteit over hebben
(ddos gaat via het inkomende pad).
De ddos heeft gedurende 5 minuten plaatsgevonden, daarna zijn de servers door de al klaarstaande
Franse politie offline gehaald. In die 5 minuten heeft de ddos een maximale capaciteit gehad van
~5Gbp/s, minder dan een pixel op onze stats. Zo'n ddos heeft nul-komma-nul (0,0) impact op ons
netwerk, en dus ook 0,0 impact op klanten. Omdat het hackende ip op een 1Gbp/s poort aangesloten
was zat die verbinding (switch -> server) tijdelijk vol, zoals gezegd heeft de ddos geen impact op klanten
gehad.
Na 2 minuten hebben we via Remotely-Triggered Black Hole (RTBH) routing de aanval op het ip
afgeslagen, en was er van de ddos niets meer te merken. En 3 minuten later waren de Franse
servers offline.
Ik kan me voorstellen dat e.e.a. voor personen die hier niet vaak mee te maken hebben erg spannend
is geweest, de impact voor LeaseWeb en dus voor het internet in Nederland was echter 0,0.
Alex de Joode
Security Officer
LeaseWeb BV
Maar wil dat zeggen dat de OvJ Van Zwieten dit niet gezegd heeft of dat de telegraaf hem niet accuraat tussen aanhaling tekens heeft ge quote? :
(OvJ) Van Zwieten: "Mijn hand hing boven de rode knop. Het zou een
laatste middel zijn. Maar Nederland mag geen computersystemen in een
ander land stilleggen. We wisten niet welke kritische systemen daar
konden uitvallen. Maar wat als Leaseweb onder de aanval zou bezwijken?
Het was een groot dilemma."
Een aardig artikel met alle facetten van een actierijk verhaal; een buitenlandse crimineel, internationaal georganiseerde politieacties, sensationele quote's en natuurlijk het enige wat de henk en ingrid interesseert; Of hij de volgende ochtend zijn hyves kan bekijken, e.d..
Echt jammer in dit stuk is de flinke telegraaf saus. De details zijn er logischerwijs uit gehaald en het stuk is zo vereenvoudigd dat zelfs henk en ingrid het begrijpen. Dit maakt het stuk dreigender dan dat het daadwerkelijk is.
Als security professional vindt ik het wel mooi dat de security officer van leaseweb de tijd neemt om te reageren om dit artikel en zo het e.e.a. verduidelijkt met wat technische details. Daarnaast is het toch goed dat dit soort artikelen in de media terecht komen, zodat de gemiddelde burger ook op de hoogte raakt van de gevaren van cybercrime.
De Telegraaf heb/lees ik niet dus daar kan ik geen commentaar op geven. Op het artikel hierboven wel.
Loop even langs bij Robert. Die heeft het artikel wel voor je. Veel plezier :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
