image

Nederland bijna zonder internet door botnet

zaterdag 30 oktober 2010, 13:06 door Redactie, 17 reacties

Opmerkelijk nieuws in de Telegraaf vandaag, want volgens de krant dreigde deze week een groot deel van het internet in ons land uit te vallen. De precaire situatie deed zich voor bij de afsluiting van het Bredolab botnet, dat vermoedelijk door de 27-jarige Armeniër George A. werd gerund. Volgens de krant van wakker Nederland wilde de Nationale Recherche A. bij zijn aankomst op Schiphol volgen. Pas als hij op het botnet was ingelogd, wilde het arrestatieteam hem aanhouden. Ze zouden de deur van zijn verblijf inbeuken en hem tegen de grond werken, voordat hij een "vernietigingscode" kon invoeren.

Uiteindelijk kwam A., die zijn botnet vanuit Leaseweb bestuurde, niet naar Nederland. Vanaf augustus zou politie de servers van A. hebben afgetapt, waarbij het om omvangrijkste interceptie ooit zou gaan. "In enkele weken tijd wordt drie keer zo veel internetverkeer getapt als bij de rest van de gehele Nederlandse politie in een jaar", aldus de Telegraaf. Met behulp van het Nederlands Forensisch Instituut (NFI) worden de bewijzen veiliggesteld.

Vergeldingsaanval
Vorige week gingen verschillende partijen tot het afsluiten van de C&C-servers over, iets wat A. in Moskou opmerkt. "Hij meende dat een criminele groep hem aanviel, die zijn netwerk wilde stelen", zegt de landelijk officier van justitie cybercrime, Lodewijk van Zwieten. A. heeft ook in Parijs verschillende servers staan en geeft hen opdracht om Leaseweb aan te vallen, wat hierdoor in de problemen zou zijn gekomen. "Hij opende een massale cyberaanval om alles stil te leggen. Hij wilde voorkomen dat zijn netwerk in andermans handen zou vallen. Dan vernietigde hij het liever", zegt Pim Takkenberg van de nationale recherche. "Het functioneren van een groot deel van internet in ons land staat op het spel", zo laat de Telegraaf weten.

In de namiddag zou Leaseweb de aanvallen van 220.000 bots niet meer aankunnen en dreigde verschillende populaire websites onbereikbaar te worden, waaronder Rabobank Nederland, het ministerie van VROM, Heineken, Hyves, Price Waterhouse Coopers, VNU Media, KPMG, het Nederlandse Politie Instituut en de AVRO.

Terughacken
Takkenberg merkt op dat men de servers in Parijs eventueel kon uitschakelen. "Mijn hand hing boven de rode knop. Het zou een laatste middel zijn. Maar Nederland mag geen computersystemen in een ander land stilleggen. We wisten niet welke kritische systemen daar konden uitvallen. Maar wat als Leaseweb onder de aanval zou bezwijken? Het was een groot dilemma", aldus Van Zwieten. Uiteindelijk grijpen de al eerder gewaarschuwde Franse autoriteiten in, door de servers "uit de muur te rukken."

Inmiddels wordt ook de kennis van de rechters, die weinig van cybercrime weten, bijgespijkerd, mocht de Armeniër ooit in Nederland verschijnen. Armenië heeft echter geen uitleveringsverdrag met Nederland.

Update 31/10 - Reactie LeaseWeb
Alex de Joode, Security Officer bij LeaseWeb, laat in een reactie weten:

"Als Security Officer van LeaseWeb ben ik nauw betrokken geweest bij deze operatie. De Telegraaf heb/lees ik niet dus daar kan ik geen commentaar op geven. Op het artikel hierboven wel.

De Armeense verdachte had twee botnets tot zijn beschikking, het Bredolab botnet (waarvan de kern bij LeaseWeb stond) en een ddos botnet dat in Parijs bij een grote dedicated hoster stond. Beide botnets waren door de KLPD in kaart gebracht en dus bekend.

De in het artikel genoemde ddos heeft plaatsgevonden, de verdachte zag dat een LeaseWeb ip bezig was zijn infrastructuur te hacken en hij heeft dat ip adres aangevallen. Zoals hierboven als is opgemerkt: LeaseWeb heeft uitgaand een peak traffic van ~746 Gbp/s en inkomend ~50Gbp/s. Verkeer koop je symmetrisch in: je ziet dat we dus nogal wat inkomende capaciteit over hebben (ddos gaat via het inkomende pad).

De ddos heeft gedurende 5 minuten plaatsgevonden, daarna zijn de servers door de al klaarstaande Franse politie offline gehaald. In die 5 minuten heeft de ddos een maximale capaciteit gehad van ~5Gbp/s, minder dan een pixel op onze stats. Zo'n ddos heeft nul-komma-nul (0,0) impact op ons netwerk, en dus ook 0,0 impact op klanten. Omdat het hackende ip op een 1Gbp/s poort aangesloten was zat die verbinding (switch -> server) tijdelijk vol, zoals gezegd heeft de ddos geen impact op klanten gehad.

Na 2 minuten hebben we via Remotely-Triggered Black Hole (RTBH) routing de aanval op het ip afgeslagen, en was er van de ddos niets meer te merken. En 3 minuten later waren de Franse servers offline.

Ik kan me voorstellen dat e.e.a. voor personen die hier niet vaak mee te maken hebben erg spannend is geweest, de impact voor LeaseWeb en dus voor het internet in Nederland was echter 0,0."

Reacties (17)
30-10-2010, 17:11 door Anoniem
Klinkt inderdaad als een telegraaf verhaal.
Behoorlijk overdreven.
En waneer zit Nederland nou zonder internet? Als Hyves en de AVRO hun site onderuit liggen?
Volgens mij moet je eerder AMS-IX plat leggen om dat doel te bereiken, en de losse links die talloze providers zelf het land uit laten lopen ;)

Maar opgeklopte verhalen, daar smult de massa van ;)
30-10-2010, 17:46 door Anoniem
Wat een onzin, alsof 'HEEL NEDERLAND' plat zou liggen door Leaseweb down..
30-10-2010, 18:11 door Eerde
Ik dacht al.... mijn Internetconnectie doet het bijna niet ... en het buurmeisje is 'een beetje zwanger' :(
(niet van mij)
30-10-2010, 19:10 door Bitwiper
Door Redactie: "Het functioneren van een groot deel van internet in ons land staat op het spel", zo laat de Telegraaf weten.
Dat lijkt me zwaar overdreven, maar feit is dat er veel te veel zombie-PC's bestaan en dat daar (tot aan de actie van vorige week) veel te weinig aan gedaan wordt.

[admin] De openingszin is iets aangepast, de Telegraaf stelt namelijk het volgende: "Een groot deel van het internet dreigde daardoor in ons land uit te vallen." [/admin]
30-10-2010, 19:12 door Anoniem
Het telegraaf-artikel was hemelschreiend slecht, maar dit is ook een prestatie van formaat.
30-10-2010, 20:33 door quikfit
Ik zit in het buitenland en vorige week kon ik een half uurtje op geen enkele Nederlandse site komen,eerst dacht ik dat mijn verbinding eruit lag maar mijn locale sites waren gewoon bereikbaar......
30-10-2010, 23:18 door Anoniem
Als ik het goed begrijp zijn waarschijnlijk twee van de drie doelen van de actie (tappen van internet verkeer, stilleggen botnet) redelijk gelukt. Maar het meest belangrijke (en het meest ideale, op heterdaad betrappen op NL grondgebied) dus mislukt.

Toen "besloten ze tot overstappen op plan B." Als ik dan zoek naar wat plan B was, dan lijkt dat op paniek voetbal en het uitlokken van een redelijk zware ddos aanval, die stopt op het moment dat de boef in het vliegtuig stapt, waarna de franse politie ook nog wat servers in Parijs losrukt.

Dat is zo'n beetje een B-film, van wat een goed geplande en tot op het laatste moment goed lopende actie lijkt. Jammer Jammer, heel Jammer

Twee vragen:
1. waarom zou deze verdachte naar NL komen?
2. ze hadden de verdachte al in een veel eerder stadium geïdentificeerd en plan A daarop afgestemd, waarom was plan B (als het al bestond) ook niet daarop gericht en parallel uitgevoerd?
31-10-2010, 00:27 door Anoniem
Er zijn weinig netwerken die LSW onderuit zullen krijgen... De infrastructuur bestaat uit meerdere core-routers, core switches etc. Een dergelijke aanval kan een gedeelte van Leaseweb onderuit krijgen, maar gelukkig is het niet de eerste DDos die bij LSW binnenkomt: er is genoeg kennis en kunde om dergelijke aanvallen op te vangen.

Rijkelijk overdreven dus, :)
31-10-2010, 01:40 door Anoniem
pfff. 220.000 bots...

je moet wel met wat meer aan komen zetten om Leaseweb plat te krijgen.
http://leasewebnoc.com/
gemiddeld inkomend verkeer: 50 Gbit
dat is 50.000Mbit.

Geloof dat ze 500 Gbit aankunnen.
31-10-2010, 11:28 door Anoniem
Zou Leaseweb dan eindelijk eens iets gaan doen om dit soort vervelende acties tegen te houden of te voorkomen?
Een mooi antiDDos systeem en een systeem dat in de gaten houdt of er machines zijn gehacked oid.
31-10-2010, 13:58 door adejoode
Als Security Officer van LeaseWeb ben ik nauw betrokken geweest bij deze operatie.

De Telegraaf heb/lees ik niet dus daar kan ik geen commentaar op geven. Op het artikel
hierboven wel.

De Armeense verdachte had twee botnets tot zijn beschikking, het Bredolab botnet (waarvan
de kern bij LeaseWeb stond) en een ddos botnet dat in Parijs bij een grote dedicated hoster
stond. Beide botnets waren door de KLPD in kaart gebracht en dus bekend.

De in het artikel genoemde ddos heeft plaatsgevonden, de verdachte zag dat een LeaseWeb ip
bezig was zijn infrastructuur te hacken en hij heeft dat ip adres aangevallen. Zoals hierboven als
is opgemerkt: LeaseWeb heeft uitgaand een peak traffic van ~746 Gbp/s en inkomend ~50Gbp/s.
Verkeer koop je symmetrisch in: je ziet dat we dus nogal wat inkomende capaciteit over hebben
(ddos gaat via het inkomende pad).

De ddos heeft gedurende 5 minuten plaatsgevonden, daarna zijn de servers door de al klaarstaande
Franse politie offline gehaald. In die 5 minuten heeft de ddos een maximale capaciteit gehad van
~5Gbp/s, minder dan een pixel op onze stats. Zo'n ddos heeft nul-komma-nul (0,0) impact op ons
netwerk, en dus ook 0,0 impact op klanten. Omdat het hackende ip op een 1Gbp/s poort aangesloten
was zat die verbinding (switch -> server) tijdelijk vol, zoals gezegd heeft de ddos geen impact op klanten
gehad.

Na 2 minuten hebben we via Remotely-Triggered Black Hole (RTBH) routing de aanval op het ip
afgeslagen, en was er van de ddos niets meer te merken. En 3 minuten later waren de Franse
servers offline.

Ik kan me voorstellen dat e.e.a. voor personen die hier niet vaak mee te maken hebben erg spannend
is geweest, de impact voor LeaseWeb en dus voor het internet in Nederland was echter 0,0.

Alex de Joode
Security Officer
LeaseWeb BV
31-10-2010, 14:33 door xy22
Door adejoode: Als Security Officer van LeaseWeb ben ik nauw betrokken geweest bij deze operatie.

De Telegraaf heb/lees ik niet dus daar kan ik geen commentaar op geven. Op het artikel
hierboven wel.

De Armeense verdachte had twee botnets tot zijn beschikking, het Bredolab botnet (waarvan
de kern bij LeaseWeb stond) en een ddos botnet dat in Parijs bij een grote dedicated hoster
stond. Beide botnets waren door de KLPD in kaart gebracht en dus bekend.

De in het artikel genoemde ddos heeft plaatsgevonden, de verdachte zag dat een LeaseWeb ip
bezig was zijn infrastructuur te hacken en hij heeft dat ip adres aangevallen. Zoals hierboven als
is opgemerkt: LeaseWeb heeft uitgaand een peak traffic van ~746 Gbp/s en inkomend ~50Gbp/s.
Verkeer koop je symmetrisch in: je ziet dat we dus nogal wat inkomende capaciteit over hebben
(ddos gaat via het inkomende pad).

De ddos heeft gedurende 5 minuten plaatsgevonden, daarna zijn de servers door de al klaarstaande
Franse politie offline gehaald. In die 5 minuten heeft de ddos een maximale capaciteit gehad van
~5Gbp/s, minder dan een pixel op onze stats. Zo'n ddos heeft nul-komma-nul (0,0) impact op ons
netwerk, en dus ook 0,0 impact op klanten. Omdat het hackende ip op een 1Gbp/s poort aangesloten
was zat die verbinding (switch -> server) tijdelijk vol, zoals gezegd heeft de ddos geen impact op klanten
gehad.

Na 2 minuten hebben we via Remotely-Triggered Black Hole (RTBH) routing de aanval op het ip
afgeslagen, en was er van de ddos niets meer te merken. En 3 minuten later waren de Franse
servers offline.

Ik kan me voorstellen dat e.e.a. voor personen die hier niet vaak mee te maken hebben erg spannend
is geweest, de impact voor LeaseWeb en dus voor het internet in Nederland was echter 0,0.

Alex de Joode
Security Officer
LeaseWeb BV


Dank je voor de reactie! Een interessante aanvulling (ook omdat de Telegraaf meestal niet de meest subtiele/nauwkeurige krant is qua berichtgeving).
31-10-2010, 16:44 door monica8
Beste Alex, bedankt voor je uitleg!

Maar wil dat zeggen dat de OvJ Van Zwieten dit niet gezegd heeft of dat de telegraaf hem niet accuraat tussen aanhaling tekens heeft ge quote? :

(OvJ) Van Zwieten: "Mijn hand hing boven de rode knop. Het zou een
laatste middel zijn. Maar Nederland mag geen computersystemen in een
ander land stilleggen. We wisten niet welke kritische systemen daar
konden uitvallen. Maar wat als Leaseweb onder de aanval zou bezwijken?
Het was een groot dilemma."
31-10-2010, 17:46 door Anoniem
Respect voor Leaseweb om deze Schurk te Ontmantelen !
31-10-2010, 21:48 door way
Toen ik deze ochtend de telegraaf opensloeg bij mijn schoonfamilie, zelf lees ik die glossy niet, dacht ik een artikel te gaan lezen over zaken waarmee de gemiddelde security professional dagelijks mee geconfronteerd wordt.

Een aardig artikel met alle facetten van een actierijk verhaal; een buitenlandse crimineel, internationaal georganiseerde politieacties, sensationele quote's en natuurlijk het enige wat de henk en ingrid interesseert; Of hij de volgende ochtend zijn hyves kan bekijken, e.d..

Echt jammer in dit stuk is de flinke telegraaf saus. De details zijn er logischerwijs uit gehaald en het stuk is zo vereenvoudigd dat zelfs henk en ingrid het begrijpen. Dit maakt het stuk dreigender dan dat het daadwerkelijk is.

Als security professional vindt ik het wel mooi dat de security officer van leaseweb de tijd neemt om te reageren om dit artikel en zo het e.e.a. verduidelijkt met wat technische details. Daarnaast is het toch goed dat dit soort artikelen in de media terecht komen, zodat de gemiddelde burger ook op de hoogte raakt van de gevaren van cybercrime.
01-11-2010, 00:28 door Anoniem
Door adejoode:
De Telegraaf heb/lees ik niet dus daar kan ik geen commentaar op geven. Op het artikel hierboven wel.
Alex,

Loop even langs bij Robert. Die heeft het artikel wel voor je. Veel plezier :)
01-11-2010, 12:47 door Anoniem
"minder dan een pixel op onze stats"

way to go Alex!

hzlz
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.