D66-Kamerlid Alexander Hammelburg heeft minister van Defensie Kajsa Ollongren en staatssecretaris Digitalisering Alexandra van Huffelen om opheldering gevraagd over de DDoS-aanval afgelopen dinsdag. Toen zou een Nederlandse server een coördinerende rol gespeeld hebben bij een aanval op Oekraïense websites.
Hammelburg wil weten hoeveel cyberaanvallen er sinds 2014 tegen Oekraïne zijn uitgevoerd. Daarnaast wil hij weten hoeveel hiervan via Nederland liepen. Ook wil hij antwoord op de vraag wat de risico’s voor Nederland zijn, als cyberaanvallen via Nederlandse servers lopen. Nog een vraag die hij stelt is wat Nederland doet om de aanvallen te stoppen.
Ook is het D66-Kamerlid benieuwd of er een link te leggen is tussen de cyberaanval en de steun die Nederland aan Oekraïne bood in de digitale oorlog tegen Rusland. Als laatste vraagt hij: “Zijn er, naast cyberaanvallen op Oekraïne via Nederland, ook andere landen die periodiek worden aangevallen via Nederland?”
Ollongren en Van Huffelen hebben drie weken om te reageren.
DDoS-aanval via Nederland
Deze vragen stelt Hammelburg aan de hand van een analyse van BNR afgelopen dinsdag. Zij vonden dat de ‘Distributed Denial of Service (DDoS)’-aanval werd uitgevoerd vanaf een command-and-control-server in Amsterdam. Hiermee legden hackers een groot deel van de websites van het Oekraïense ministerie en bankwezen plat.
Cybersecurity-expert Rickey Gevers vertelt BNR dat de aanval veel weg had van een zogeheten DNS amplification DDoS-aanval. Dit betekent dat aanvallers niet per se een leger aan individuele computers gebruiken om het netwerk plat te leggen. Ze zenden namelijk veel verzoeken via één of meerdere servers, die op hun beurt de computers coördineren. In dit geval servers uit Nederland. Het gevolg, aldus Gevers: “Vanuit het perspectief van de slachtoffers komt er dus heel veel verkeer vanuit Nederland.”
Nederland is echter niet het enige land waar servers misbruikt werden voor dit doel. De cybersecurity-expert wijst ook op servers in Rusland, China, Tsjechië en Oezbekistan. Deze aanvallen zijn echter afgeslagen, zo meldde de Oekraïense minister van Digitale Transformatie, Michaelo Fedorov, op Telegram.
Oekraïense bank beschuldigt Nederland
De oprichter van een van de getroffen banken trok direct na de aanvallen dinsdag aan de bel op Facebook: “Onze bank, en vele anderen, zijn aangevallen, met verschillende uitkomsten. We ontvangen aan de lopende band aanvallen uit Nederland.”
Ook cybersecurity-consultant van het Oekraïense Black Trident sluit niet uit dat er bewust is gekozen voor een server uit Nederland om de aanval te plegen. “Jullie hebben onlangs cybersteun aangeboden. Het zou kunnen dat hieraan gerefereerd wordt.” Gevers stelt echter dat dit absoluut niet hard te maken is, want “dit lijkt op een ‘normale’ DDoS-aanval. Eén die zowel voor landen als helaas ook voor kids bereikbaar is”.
De kans dat de aanval is opgezet door een tiener is echter erg klein. Oekraïners kregen namelijk ook sms’jes over geldautomaten die buiten werking zouden zijn, terwijl dit niet waar was. Deze combinatie van desinformatie en een DDoS-aanval lijkt te wijzen op een groter complot.
Ongekend grote aanval
Oekraïense instanties meldden dat ze de aanval goed hebben kunnen afweren. Wel was het volgens hen de grootste cyberaanval op het land ooit. BNR-verslaggever Geert Jan Hahn betwijfelt dit, omdat nog niet alles hierover bekend is. “Ze noemen het zelf een ongekende aanval. Met name de intensiteit waarop de aanvallen hebben plaatsgevonden, dus het was vrij heftig. Ze weten nog niet echt wat de schade is.”
Het is bovendien nog onbekend of het ging om een aanval van een natie of van een hackerscollectief. Wel is bekend dat de aanvallers het Mirai-botnet hebben gebruikt. Dit is een botnet dat ‘Internet of Things (IoT)’-apparaten gebruikt om de aanval uit te voeren. Denk hierbij aan alle apparaten die met het internet zijn verbonden, zoals je smart koelkast.
Nederlandse server intussen offline
De Nederlandse server die de criminelen gebruikten voor de aanval is op verzoek van de politie offline gehaald. Twee betrokken bedrijven bevestigen dit tegenover BNR.
Een van deze bedrijven, SKB Enterprise, is eerder betrokken geweest bij het extreemrechtse Vizier op Links. Deze organisatie intimideerde ‘linkse’ mensen. Hierbij ‘ontmaskerde’ het onder andere politici, wetenschappers en docenten door adres- en contactgegevens te publiceren. Als doxing nog niet voldoende was, werden personen echter ook aan de deur geïntimideerd.
