Heeft u al een Rus in uw computer?

Foto: ANP

Wat zou u ervan vinden als criminelen meekijken met iedere handeling die u op uw computer verricht en daar een kopie van bewaren? Ik wil u niet bang maken, maar voor Nederlandse computers is het helaas de realiteit.

Afgelopen week mocht ik meekijken met beveiligingsonderzoeker Rickey Gevers van het bedrijf Digital Investigation naar zijn ontdekking. Het bedrijf, gespecialiseerd in digitale opsporing, wist de hand te leggen op een kopie van een groot moederschip van een botnet. Dit Pobelka-botnet van geïnfecteerde computers werd gebruikt om de gegevens honderdduizenden van voornamelijk Nederlandse computers te verzamelen. De data werden geïndexeerd en in een database bewaard.

Netjes toegankelijk
Nu de informatie in handen van Gevers was, kon ik zien wat criminelen zoal verzamelen. Met stijgende verbijstering zag ik:

  • de indeling van het netwerk van een grote multinational;
  • lopende zaken van een gerenommeerd advocatenkantoor en komende rechtszaken;
  • productontwikkeling van een technologisch hoogstaand bedrijf;
  • de productiviteit van een ambtenaar die zijn dag vooral op Facebook besteedt;
  • welke medewerker op een ministerie precies aan welke Kamervragen werkt;
  • welke software precies op welke computer staat, hoe de politie precies haar werk doet in een zaak;
  • informatie die op diverse redacties circuleert;
  • welke medewerkers in een ziekenhuis welke verslagen schrijven.

Van nervositeit stotterde ik, want ik vroeg me af wie er eigenlijk niet in de gaten werd gehouden door de criminelen.

Tot in detail is inzichtelijk wie op welk moment actief is. Beter dan een prikklok ooit zal kunnen, zie je wie wanneer actief is en hoe productief hij is. Wat je noemt de natte droom van iedere slavendrijver. Geen geheim blijft voor de criminelen verborgen, want ieder wachtwoord is keurig in de database opgeslagen. Van ieder document is een kopie beschikbaar. Al zou je de database onderscheppen, nog jaren blijft het risico dat gevoelige informatie naar buiten komt.

Gevers hoefde niet eens veel te doen om toegang te krijgen tot de informatie in leesbare vorm, aangezien de criminelen een nette website hadden gebouwd om netjes door de informatie te zoeken. Wie daar op inlogt kan op zijn gemak zoeken. Met een paar muisklikken komt het kleinste detail naar boven.

Miljoenen
Ik overdrijf niet als ik stel dat geïnfecteerde netwerken volledig zijn overgeleverd aan criminelen, die in een zwaar geautomatiseerd land als Nederland elk detail van de bedrijfsvoering kunnen zien. Dat is vele tientallen of honderden miljoenen waard en zeker ook interessant voor ons niet zo vriendelijk gezinde landen. Het functioneren van de Nederlandse overheid én bedrijfsgeheimen in één mooie database.

En dan moet u beseffen dat de 750Gb aan informatie die Digital Investigations in handen heeft slechts een klein deel vormt van alle informatie. Dit was slechts één van de vele netwerken. Bovendien worden de bestanden dagelijks opgehaald door de criminelen, die vermoedelijk in Rusland zitten. Veel oude documenten worden na veiligstellen gewist, zodat de schijven niet te vol raken. Een perfect backupsysteem van criminelen die met de dag meer documenten in handen krijgen.

Komkommernieuws
Dit botnet is uiterst professioneel opgezet. De software is geavanceerd en in staat zichzelf bij te werken en verborgen te blijven voor antivirussoftware. Kortom, de criminelen voeren een professionele operatie van gegevensdiefstal uit, waarbij Nederland bovengemiddeld veel aandacht krijgt.

Het Pobelka-virus blijkt onderdeel te zijn van het Citadel-netwerk. Misschien herinnert u zich deze naam nog van deze zomer. Toen bleken veel organisaties geïnfecteerd met het Dorifel-virus, een variant van dit netwerk, en beide zaken zijn duidelijk gelinkt. Toen onze crimefightende staatssecretaris Fred Teeven de zaak afdeed als komkommernieuws wees ik er al op dat het wel degelijk om zware criminaliteit gaat. Dat is nu gebleken.

Of ook u slachtoffer bent van deze criminelen kunt u controleren op een speciale website van Digital Investigation. De good guys vernietigen de gegevens en hebben mij laten tekenen voor geheimhouding van hetgeen ik heb gezien. De criminelen gaan ondertussen onvermoeibaar verder. Justitie stelt de zaak te onderzoeken, maar heeft het waarschijnlijk nog even te druk met Henk Krol achter tralies te krijgen.

UPDATE 15 februari: Donderdag kwam naar buiten dat de overheid laks is omgegaan met de gestolen informatie die in handen is van Digital Investigations.


  • Erik Loman

    Het gezamelijke PDF rapport “Cyberaanval op Nederland” met alle ins-en-outs van het Pobelka botnet.
    http://www.surfright.nl/nl/pobelka

  • E.I. Kipping

    Prima, verontrustend stuk weer van De Winter. Maar: lieve redactie, gooi er eens wat eindredactie tegenaan…

  • Carlo

    vreemd de ter beschikking staande tools om de botnet te verwijderen werken niet op mijn OpenSuse laptop.
    Zou ik al wel lid zijn van een andere botnet? ik hoop het toch wel anders ben ik met kerst zo alleen :-)

  • Mark

    Sensationeel geschreven of niet, ik heb wat mensen het adres naar de checker doorgegeven en er komen toch een aantal (niet onbelangrijke) bedrijven uit tevoorschijn die in de betreffende database voorkomen. Dit is een serieus probleem, dat aangekaart moet worden hoog in een organisatie.

  • http://www.bigwobber.nl/ Brenno de Winter

    Alle voorbeelden zijn helaas geen theorie, maar keiharde praktijk. Dat heb ik gezien en dat heb ik beschreven. Daar mag iedereen natuurlijk het zijne van denken, maar ik vrees dat je dan de problematiek echt onderschat.

  • J. Wervenbos

    Als criminele organisaties hiertoe in staat zijn, wat kunnen en verrichten geheime diensten dan niet zoal op dit vlak?