Twee mannen hebben celstraf tegen zich horen eisen vanwege het op internet loslaten van zeer agressieve malware. Ook zouden zij computersystemen hebben gehackt en anderen daarbij hebben geholpen. Aan de aanhouding is uitvoerig politieonderzoek vooraf gegaan.

“De servers die de verdachten tegen betaling aanboden aan onbekend gebleven klanten, hebben de deur opengezet voor verdere computercriminaliteit.” Dat statement maakte de officier van justitie van het Landelijk Parket donderdagochtend in cybercrime-onderzoek 26Madera in de rechtbank Rotterdam. Zij eiste een gevangenisstraf van 15 maanden tegen een 29-jarige man uit Middelburg en zijn 26-jarige medeverdachte uit Veendam. Tegen hun Besloten Vennootschap (BV) eiste de officier van justitie een geldboete van 15.000 euro.
Het OM verwijt verdachten dat zij een zogenoemd botnet hostten. Dat is een verzameling geïnfecteerde computers (bots) die centraal bestuurd kunnen worden. Botnets vormen de infrastructuur voor diverse vormen van cybercriminaliteit, zoals voor het versturen van spam of het uitvoeren van DDoS-aanvallen. Hun botnet, genaamd Mirai, behield zijn schadelijke werking en bleef zich verder verspreiden.

Servers uit de lucht
Rechercheurs van Team High Tech Crime van de politie kwamen de servers op het spoor via informatie in april 2019, afkomstig van het Nationaal Cyber Security Centrum. Op 14 juni 2019 startte het Team High Tech Crime van de Landelijke Eenheid onder gezag van het Landelijk Parket onderzoek 26Madera. Na onderzoek kwamen ze uit bij een Nederlands hostingbedrijf dat gebruikmaakte van servers in een datacentrum in Nederland.
Op 1 oktober 2019 heeft de politie de servers van de zogenoemde, bulletproof hoster offline gehaald. Die servers werden gebruikt voor de aansturing van een versie van het botnet. Het uit de lucht halen gebeurde om de servers onderzoeken. Ook is de hardware in beslaggenomen en de bedrijfsvoering van de BV stilgelegd. De twee verdachten die donderdag terecht stonden, bleken achter de BV te zitten. Zij werden aangehouden en ingesloten.

Zeer agressief botnet
Over de betreffende bulletproof hoster werden ruim drieduizend meldingen gedaan van malwareverspreiding in een periode van een jaar. Ook is uit onderzoek gebleken dat dit botnet zeer agressief andere apparaten probeerde te infecteren, tot ruim een miljoen pogingen per maand op een apparaat.
Het offline halen van deze servers bij de bulletproof hoster door politie en OM, is de aansturing van het bestaande Mirai-botnet onmogelijk gemaakt. Ook zijn infecties van nieuwe apparaten door dit deel van het botnet voorkomen, aldus het OM.
Het OM beschouwt de verdachten als (enkele van) de hosters van het Mirai-botnet. ‘Hosten’ is het leveren van de mogelijkheid om websites of andere diensten op een server te plaatsen. Dit is de schakel tussen een datacentrum (het internet) en de eindgebruikers van het web (de bezoekers van websites). De aanbieder van deze dienst wordt een host, hoster of hosting provider genoemd.

Mirai-botnet
In deze strafzaak werden de aansturingsservers van een versie van het Mirai-botnet gehost. De gebruikte malware is Mirai-malware. Het is een virus met als kenmerk dat het zichzelf verder verspreidt via hacks en daarmee nieuwe systemen oftewel ‘botjes’ verzamelt.
Dit botnet is sinds 2016 actief en breidt zichzelf continu uit. Dat houdt in dat er de hele tijd hacks worden gepleegd op geautomatiseerde werken. Vaak betreft het hacks op zogenoemde Internet of Things-apparaten zoals routers, beveiligingscamera’s, Smart TV’s of slimme thermostaten. Die hacks dragen eraan bij dat Mirai steeds groter wordt. Zodra een apparaat besmet is, is het onderdeel van het virus; om diens apparaat-netwerk weer te scannen op zoek naar andere geautomatiseerde werken om deze ook te infecteren. Vervolgens kan er andere malware worden geïnstalleerd op de apparaten zodat er verder cybercriminaliteit kan worden gepleegd.

Sleutelpositie
Als bulletproof hoster hadden de verdachten in de strafzaak van vandaag, volgens het OM, net zo’n sleutelpositie. De officier van justitie vergeleek het handelen van verdachten met het aanbieden van een digitale infrastructuur om in alle anonimiteit digitaal bij elke woning of bedrijf in te breken. Hierdoor hoeft de (volgende) dader alleen nog maar een slachtoffer te verleiden om bijvoorbeeld te klikken op een bijlage. Of vervolgens bezittingen zouden worden vernield, gekopieerd, meegenomen of gegijzeld; daar bekommerden verdachten zich, volgens het OM, totaal niet om. Het enige belang dat zij zagen, was geld verdienen. Het OM meent hierom dat een zware strafeis gepast is.

Het strafproces gaat verder met de pleidooien van de verdediging. De rechtbank doet uitspraak op 25 februari 2021.