appjecalendarcheckchevron-downchevron-leftchevron-rightchevron-upclosedownloaddragfacebookfast-backwardfast-forwardgoogle-plusiconinstagramlinkedinlistlisten-livelogo-nporadio1logo-tour-de-france mailmicrophonepauseperson-man-2person-woman-4phonepinterestplayplaylistplyr-nextplyr-prevquestionquotesearchsharesorter--up-and-down star--open-and-filled star-openstarthumbdownthumbuptwitterwatch-livewhatsappyoutubeplyr-captions-off plyr-captions-on plyr-enter-fullscreen plyr-exit-fullscreen plyr-fast-forward plyr-muted plyr-pause plyr-play plyr-restart plyr-rewind plyr-volume
Nu: Humberto
STER Advertentie

Hoe Russische Scarfaces jouw computer hacken met botnets

flickr
zaterdag 14 maart 2020 | NTR | Gerard Janssen

In de 3LAB-documentaire Rats & Slaves laat filmmaker Anthony van der Meer zien hoe de handel in gehackte computers werkt. Via computerfora krijgt hij toegang tot een verborgen wereld, de wereld van de botnets.  

Om deze video te tonen moet je toestemming geven voor social media cookies.

Januari 2018 verscheen op de website van het Russisch productiebureau Max\Max een filmpje van een luxueuze bruiloft. Een wit platform, versierd met witte bloemen, in een groot groen grasveld. Een glimlachende bruid met een uitbundige bruidsjurk. Lachende gasten dansen in een enorme zaal, bij een optreden van de bekende Russische zanger Leonid Agutin.

"De bruiloft van Maksim en Alyona", zo heet het filmpje. In een begeleidende tekst staat: "Zij zag haar bruiloft als een exclusieve luxueuze pioenroos, hij zag het daarentegen als modern en technologisch geavanceerd."

Onherkenbaar

De bruidegom zelf was onherkenbaar, alleen van achter gefilmd. Zijn gezicht komt niet een keer in beeld. En dat is niet voor niks. Zijn naam is Maksim Yakubets en hij is een 21ste-eeuwse crimineel. In 2019 loofde de FBI een bedrag van 5 miljoen dollar uit voor informatie die zou leiden tot zijn aanhouding.

Op YouTube circuleert een filmpje waarin hij met zijn Lamborghini rondjes slipt ergens op een parkeerterrein. In een ander filmpjes steekt hij zijn middelvinger omhoog naar de Russische politie. Hij heeft stapels bankbiljetten op zijn schoot of hij aait een jong leeuwtje. Het doet denken aan de beelden van een Mexicaanse drugsbaron. Een Russische Scarface.

Om deze video te tonen moet je toestemming geven voor social media cookies.
  

Maar het zijn geen drugs waarin Yakubets handelt. Hij heeft de leiding over een organisatie die Evil Corp genoemd wordt. En Evil Corp heeft de controle over legers van computers: botnets. Een botnet is een netwerk van computers waarop een 'bot' geïnstalleerd is, een autonoom computerprogrammaatje – een soort geheime app, diep in het reptielenbrein van een computer – dat zelfstandig om de zoveel tijd contact zoekt met een centrale computer: een command-and-control-server.

Nadat het eerste contact gelegd is, is de computer onderdeel van een botnet, een netwerk van computers die vanaf een C&C-server nu gebruikt kan worden door een 'botmaster'. Als een poppenspeler heeft een botmaster meerdere, soms duizenden computers onder controle, zombies worden ze ook wel genoemd. Een militaire vloot van computers. 

Als een poppenspeler heeft een botmaster soms duizenden computers onder controle

Het is niet heel moeilijk om een botnet te bouwen. Het belangrijkste is de 'bot' en een smoes, om iemand deze bot te laten installeren op zijn of haar computer. Dit kun je doen door net te doen of het een filmpje is, of door het te verstoppen in bijvoorbeeld een word-document, waarbij het slachtoffer wordt overgehaald om een extra 'iets' te installeren voordat het document gelezen kan worden. Ook kunnen computers geïnfecteerd worden door het bezoeken van websites, de zogenaamde drive by downloads

Hackers: zijn zijn nou zo slim, of wij zo dom?

 

Van kwaad tot erger

Via deze gekaapte computer kan de botmaster nu verder bewegen. Hij kan nieuwe phishingmailtjes sturen, bijvoorbeeld naar iedereen in de mailbox van het slachtoffer. Krijgt de botmaster toegang tot een computer in bijvoorbeeld een bankgebouw, dan is deze computer een mooi startpunt zijn om een botnet te maken van computers van andere mensen die bij deze bank werken, om zo het interne netwerk te infiltreren. 

Ben ik onbewust onderdeel van een botnet?

Als computers eenmaal deel uitmaken van je botnet, kun je makkelijk aanvullende programma's installeren, afhankelijk van je persoonlijke wensen. Zo kun je de computers van anderen voor jou laten werken. Door enorme hoeveelheden spam te versturen, door DDoS-aanvallen te plaatsen, door bitcoinminers te laten draaien, door wachtwoorden te verzamelen.

Ook kun je je bots massaal ergens op laten klikken om bijvoorbeeld een filmpje trending te maken, als was het maar om het advertentiegeld dat een veelbekeken video oplevert op te strijken. Ook online polls kan een botmaster makkelijk manipuleren.

De botnets van Evil Corp zijn vooral berucht omdat ze gebruikt worden voor het beroven van banken en grote bedrijven. Met gestolen bank- en inloggegevens kunnen criminelen bij de bankrekeningen van grote bedrijven en geld overmaken naar rekeningen van geldezels: kleine criminelen of mensen met grote schulden, die het geld van hun rekening moeten halen en in ruil voor een beloning weer op een andere rekening moeten storten.

Verhuur aan digitale bankrovers

Maar veel makkelijker dan zelf banken beroven en de afhandeling te organiseren, is het om de bots te verhuren aan andere digitale bankrovers. In de gerechtsdocumenten is te lezen dat Yakubets een Engelsman toegang tot zijn botnet geeft, in ruil voor een startbedrag van 100.000 dollar. Vanaf dat moment moet hij de helft van zijn inkomsten betalen, met een minimum van 50.000 dollar per week.

In ruil daarvoor verleent Yakubets technische bijstand. Op dezelfde manier kun je toegang tot botnets kopen om ransomware te verspreiden. De leden van Evil Corp verhuren de middelen en geven technische ondersteuning. De hack op de universiteit van Maastricht is gedaan via het botnet van Evil Corp en de door hun ontwikkelde ransomware. 

Hoe makkelijk het kan zijn om toegang te krijgen tot een botnet, laat de documentairemaker Anthony van der Meer zien in zijn documentaire bij 3Doc. Van der Meer maakte eerder furore met de documentaire Find My Phone. Hij liet een telefoon stelen, waarop spy-ware stond. Zo kon hij de dief van een afstand volgen. De documentaire is inmiddels 7 miljoen keer bekeken. Tijdens de research die hij deed voor deze documentaire, kwam hij erachter dat het mogelijk was om toegang tot computers te kopen.

Om deze video te tonen moet je toestemming geven voor social media cookies.

Drie jaar deed Van der Meer onderzoek voor deze documentaire. Tijd die hij onder anderen nodig had om het vertrouwen te winnen op een forum van handelaars in criminele software. Van der Meer laat zien hoe makkelijk je een 'exploit kit' kunt huren, waarmee je zelf phishing mailtjes kunt sturen om zelf een botnet te bouwen. Zo'n kit kost 80 dollar per dag of 1400 dollar per maand.

Je kunt ook de hele code kopen voor 2500 dollar. Nog makkelijker is het om direct slaves te kopen, zoals de gekaapte computers op de fora genoemd worden. Voor 3200 dollar kun je 10.000 slaves kopen.

Voor 3200 dollar kun je 10.000 slaves kopen.

Van der Meer kon uiteindelijk voor 15 cent per stuk de beschikking krijgen over honderd computers, waarop de verkoper voor hem een Remote Acces Trojan (RAT) installeerde, een programma waarmee je een computer van afstand kunt bedienen. Reuze handig als je vanuit huis een computer op je kantoor wilt gebruiken. Ronduit angstaanjagend als iemand anders op deze manier jouw privécomputer kan besturen. 

Van der Meer laat zien hoe hij de camera’s van computers aan en uit kan zetten en hoe hij mee kan luisteren met de ingebouwde microfoons. Ook kan hij bij de persoonlijke documenten van de onwetende computerbezitters. Het is een koud kunstje om bijvoorbeeld een Paypal betaling te doen uit naam van een van je slaves.

Op de grens van het toelaatbare

Van der Meer begeeft zich in de documentaire op het randje van het toelaatbare. Computervredebreuk is een misdrijf. Vanuit ethische overwegingen hield hij een logboek bij waarin hij van minuut tot minuut aangaf wat hij bekeek. Dit, in combinatie met het feit dat hij journalistiek werk doet en het laten zien van deze verborgen wereld een maatschappelijk belang dient, kan verdedigd worden. Hoe dan ook beweegt hij zich op het randje van het toelaatbare. Anders gezegd: don’t try this at home.

De slaves die Van der Meer koopt zijn hoogstwaarschijnlijk niet van Evil Corp. De leverancier van de slaves gebruikte malware die bekend staat als Smokeloader. Maar het idee is hetzelfde. Van der Meer laat helder zien hoe een 'hacker' kant en klaar de gereedschappen kan kopen om botnets te bouwen of te gebruiken. 

Duistere Wereld

Hierbij moet je niet denken aan een computerwhizzkid met een zwarte hoodie. Evil Corp opereert in de duistere wereld waar de maffia en de inlichtingendiensten soms samenvallen. Wel duidelijk in beeld op het filmpje van de bruiloft is de vader van de bruid: Eduard Bendersky. Hij is een oud-officier van de FSB, de Russische geheime dienst. Nu heeft hij een bedrijf dat een Russische oliemaatschappij in Irak beschermt.

Het voedt de geruchten dat Evil Corp samenwerkt met de Russische inlichtingendiensten. Het is overigens niet alleen de Russische geheime dienst die profiteert van de botnets. Uit de Snowden files bleek dat ook de NSA een warme interesse heeft in de botnets. Niet alleen om ze plat te kunnen leggen, maar vooral ook om van te profiteren. Onder de codenaam quantumbot gebruiken ze technieken om hele botnets te kapen. Om zo ook gebruik te kunnen maken van de vele mogelijkheden die de botnets bieden.

Dit artikel verscheen ook in de VPRO Gids. 

NPO Radio 1 houdt je dagelijks op de hoogte over de laatste ontwikkelingen in de wetenschap  

Dagelijks tussen 17.00 en 18.30 uur in Nieuws en Co
Iedere werkdag van 02.00 tot 04.00 uur in Focus 
En wanneer je maar wil in podcast Focus Wetenschap

Correctie melden

STER Advertentie
Vorige pagina Back to top
NPO Radio 1