Cyberaanvallen op Oekraïne via server van bedrijf uit Wormer
Oekraïense banken werden vorige week aangevallen door een Russisch botnet. Een hostingbedrijf uit het Noord-Hollandse Wormer verhuurde een van de servers die daarvoor werden gebruikt.
Vorige week waren een aantal websites van Oekraïense banken en overheidsinstanties meerdere uren offline. Volgens de veiligheidsdiensten van de VS, het VK en Oekraïne gaat het waarschijnlijk om aanvallen door de Russische inlichtingendienst, de GRU. Die gebruikte daarvoor een botnet, een netwerk van geïnfecteerde computers die worden aangestuurd door zogenaamde command-and-control-servers.
Opvallend is daarbij dat de botnet werd aangestuurd door onder andere een server op Nederlands grondgebied. Ironisch genoeg gebeurde dat twee weken nadat premier Rutte aanbood om Nederlandse cyberspecialisten naar het land te sturen, een hulpaanbod dat Oekraïne inmiddels heeft geaccepteerd.
De server werd gehost door SKB Enterprise, een bedrijf van de 22-jarige Sijmen Karel Bakker. Zijn bedrijf hostte eerder de website van het radicaal-rechtse Vizier op Links.
Server offline gehaald
Bakker wil desgevraagd niets zeggen over de kwestie. Hij vertelde gisteren wel al aan NRC dat de politie hem vorige week een bericht stuurde over de server. Hij zelf zegt van niets te weten. “De server stond wel een tijdje online, maar er was geen gekkigheid mee. Na de melding hebben we hem gelijk offline gehaald.”
De ondernemer wil niet zeggen wie de klant van de server was. Als de politie die informatie opvraagt, zal hij die wel met hen delen.
Hoe werkt een botnet?
Een botnet werkt door computers en servers te infecteren met software die de rekenkracht van de machines gebruikt voor vaak kwaadaardige doeleinden. Daarbij kunnen duizenden apparaten worden gebruikt als ‘zombienetwerk’ om cyberaanvallen uit te voeren.
Het is voor onderzoekers door de gedistribueerde aard van zulke aanvallen vaak moeilijk om te achterhalen wie er verantwoordelijk voor is. Volgens NRC speelde de server van SKB-Enterprise 'een centrale rol' bij het aansturen van het botnet.
Dat betekent echter nog niet dat de server de enige command-and-control-server was. Bij de aanval zouden ook servers in onder andere Rusland, China en Oezbekistan zijn gebruikt.