Maxima-hackers blijken internet-vandalen · 20 december 2004
De hackers die drie jaar geleden de Maxima-chat platgooiden pleegden “duizenden strafbare feiten”, zo blijkt uit het OM-dossier dat AG in handen kreeg. Justitie werkte jarenlang aan het ontrafelen van het hackersnetwerk. Maar of het ooit tot een zaak komt? Een reconstructie.
Als er al een aanklacht komt zal die waarschijnlijk niet alleen de DDoS-aanval betreffen op de KPN-servers waarop de kroonprins en zijn aanstaande met internettend Nederland zou chatten. Deze groep internet-vandalen werd namelijk al langer door de KLPD digitaal gevolgd en getapt, en tijdens het onderzoek zijn “wereldwijd vele (duizenden) strafbare feiten” vastgesteld, zo valt in de processen-verbaal te lezen. Het OM-dossier rond Down Under en voorloper Xtreme Power (XP), dat meer dan 500 documenten en processen verbaal omvat, werd anoniem bij AG bezorgd. De term “script-kiddies”, jongelui die met bestaande hack-scripts hun digitale omgeving bestoken, gaat niet op: de leeftijden liepen uiteen van 17 tot 36 jaar. Maar van harde criminelen is nauwelijks sprake. Die “duizenden strafbare feiten” werden niet gepleegd met het oogmerk er flink aan te verdienen. Providers werden weliswaar “afgeperst”, maar de inzet was gratis schijfruimte. De DDos-attacks werden gelanceerd om chat-kanalen over te nemen, ruzies te beslechten, of om dezelfde ondoorgrondelijke redenen waarom vandalen op straat abriís en autospiegels slopen. De schade bij de weinige bedrijven die aangifte deden van een aanval, liep echter in de eurotonnen. Dat de totale schade een veelvoud moet bedragen, laat zich raden.
Op 22 januari 2002, een maand voor het huwelijk van kroonprins Willem-Alexander en zijn verloofde Maxima, mocht een geselecteerde groep van honderd Nederlanders chatten met het aanstaand bruidspaar. KPN, dat de koninklijke chat zou hosten, had de Rijksvoorlichtingsdienst gegarandeerd dat de chat vlekkeloos zou verlopen. Echter nauwelijks een minuut na het begin, bevroor het beeldscherm omdat in Terneuzen de 18-jarige Patrick R., nickname: Sargeant en leider van “hack-crew” Down Under, een aanval opzette vanaf enkele duizenden gehackte systemen op internet. Eerst richtte hij de stroom datapakketjes op de chatservers tot hij inzag dat een aanval op de router waar deze achter stonden nog effectiever was. KPN meldde later dat de router plat ging bij 126 miljoen “pakketjes”. Van het aanstaande koninklijk paar werd die dag niets meer vernomen op internet.
Enkele dagen later doet KPN aangifte bij de de Groep Digitaal Rechercheren van de KLPD. KPN heeft dan al begrepen dat ze het slachtoffer is geworden van een distributed denial of service (DDoS)-aanval. De KPN-ers hebben al wat rondgeneusd en wijzen de brigadier van de KLPD op de mogelijke betrokkenheid van ene ëlMikelí volgens hen “een van de grootste DDoS-kiddoís van Nederland”. De Dienst Rechercheonderzoeken, waar de ëdigitale rechercheursí voor werken, kent deze lMikel al langer. De 28-jarige Mike van der W. uit Almere is leider van de hackersgroep XP. Zijn gangen worden al enkele maanden gevolgd door de KLPD omdat vanuit Hamburg in mei 2001 een verzoek ëovername strafvervolgingí tegen Van der W. was binnengekomen bij het Landelijk Parket van het Openbaar ministerie. Een alerte systeembeheerder bij het bedrijf C&C in Hamburg had namelijk ontdekt dat op zijn server een Secure Shell (SSH)-daemon, een soort achterdeur, en een ërootkit: een verzameling tools waaronder het programma Stacheldraht waren geÔnstalleerd.
Met Stacheldraht worden computers opgenomen in een DDoS-netwerk waarna met 1 commando op afstand vanaf alle aangesloten pcís een enorme datastroom naar ÈÈn IP-adres wordt gestuurd: de DDoS-aanval. Het opbouwen van een dergelijk netwerk gebeurt grotendeels ëautomatischí: bulk-hacking. Met een ëauto-rooterí worden hele delen van internet automatisch gescand op pcís met beveiligingsfouten. Op ëlekkeí pcís wordt onmiddelijk een rootkit gezet. Vanzelfsprekend gaat de voorkeur uit naar machines met een snelle internetverbinding en dat zijn veelal servers bij bedrijven, onderwijsinstellingen en providers.
Sommige hackers zoals Sargeant knutselden een eigen versie van een bestaande rootkit in elkaar die ook door anderen gebruikt mocht worden. Deze rootkits (die van Sargeant was BOBkit genoemd) stuurden de bouwer stiekem een mailtje vanaf elke gehackte machine. De gegevens van alle gekraakte pcís werden verzameld op ërootlistsí, die weer geregeld werden doorgemaild naar companen. Verschillende leden van XP en DU hadden DDoS-netwerken van soms wel 8000 computers ëin de luchtí waarmee ze met een druk op de knop een aanval konden lanceren.
Op de server van C&C draaide een verouderde versie van SSH met een beveiligingslek dat was ontdekt door XP-lid Kruimel, de toen 16 jarige Michel K. uit Veenendaal, toen hij systemen scande omdat hij vandaar af anoniem op ICR-kanalen kon rondhangen. De systeembeheerder achterhaalde nog 14 computers die in het DDoS-netwerk waren opgenomen. Een daarvan was van de faculteit geneeskunde van de VU in Amsterdam. Via deze schakel kwam de Duitser terecht op de servers van providers Cavemen.nl en Hidalgo.Raptornet-IS.nl, die zogenaamde shell-accounts verhuren waarop een klant programmaatjes kan draaien. Via deze servers werd het DDoS-netwerk aangestuurd. Hij ontdekt het bestaan van XP en achterhaalde inlognamen en wachtwoorden van lMikel en Kruimel, en zelfs het Chello-account van lMikel.
Als de KLPD aan de slag gaat, wordt duidelijk dat Xtreme Power een ICR (Internet Relay Chat) “war-crew” is: een groep die zich bezighoudt met het veroveren en beheersen van IRC-kanalen. Een IRC-kanaal bestaat zolang er gebruikers zijn ingelogd: de eerste gebruiker heeft de ëoperator-rechtení en bepaalt bijvoorbeeld wie toegang heeft. Om een kanaal te behouden moet de groep ingelogd blijven. Daarvoor gebruiken lMikel c.s. veelal programmaatjes die draaien op de ëshell-accountsí. Het IRC-kanaal XP is de thuisbasis van de groep, maar ze zwerven door de hele IRC-wereld, waar ze niet bij iedereen even geliefd zijn. In het dossier zijn legio voorbeelden te vinden van IRC-kanalen die de XP-leden ëbannení, wat dan weer tot DDoS-aanvallen op die chatserver leidt. Vooral lMikel heeft de reputatie om bij de geringste aanleiding andere chatters te DDoSSen: “Pak je paraplu, het gaat regenen”, is zijn geliefde one-liner. Maar lMikel dreigt ook regelmatig met fysiek geweld. lMikel is eerder al met justitie in aanraking geweest onder andere wegens geweldpleging.
Ook de pcís van zijn eigen XP-companen werden met regelmaat platgelegd, zo blijkt uit de verhoren. Als zijn doopceel wordt gelicht op security.nl dreigt hij de auteurs ëde kankerkopjes in te beukení. In mei 2001 legt lMikel het bedrijfsnetwerk plat van een provider die de site “lamerlMikel” host waarop over zijn activiteiten wordt gerept en waarop ook een lijst met IP-nummers stond van gehackte computers. Hij dreigde de woning van de directeur van het bedrijf in brand te steken als die aangifte zou doen. De directeur koos eieren voor zijn geld omdat hij van anderen had begrepen dat lMikel “een gevaarlijke jongen was”.
In diezelfde periode steekt een groep kleinere ISPís waaronder het eerder genoemde Raptornet IS, die met regelmaat met XP te maken krijgen, de koppen bij elkaar. Uit hun e-mailcorrespondentie blijkt dat ze de buik vol hebben van “dit soort terroristische organisaties die providers dagenlang plathouden, hun bedrijfsvoering onmogelijk maken en ze op hoge kosten jagen”. Zij menen dat de mensen van XP verantwoordelijk zijn voor 85 procent van alle DDoS-attacks in Nederland. Uit de aangifte die een van hen, CB3ROB BBS dat zich specialiseert in het aanbieden van Unixshellís en webhosting, uiteindelijk in januari 2002 bij de KLPD doet, blijkt dat de aanvallen al met regelmaat sinds maart 2000 plaatsvinden. In de periode kort voor de aangifte werden de servers zelfs anderhalve week uit de lucht gehouden. De directeur schat de schade op een halve euroton. Overigens geeft hij aan dat hij de leden van XP kent: als klant. Ook vanaf de servers van CB3ROB BBS zijn aanvallen opgestart weet de directeur. Uit de stukken valt op te maken dat er meer providers zijn die de “DDoS-vandalen” op hun servers dulden in de hoop gevrijwaard te blijven van aanvallen.
Maar niet alleen de kleine internet-ondernemers beklagen zich over lMikel en de zijnen. De vereniging van ISP, de NLIP, meldt zich bij de KLPD omdat de hausse aan DDoS-aanvallen een ernstig probleem vormt. De providers wijzen lMikel aan als aanstichter. Xs4All doet aangifte van een aanval op 3 februari 2002 op een van de servers waarop websites van zakelijke klanten zijn ondergebracht. Uiteindelijk raken alle driehonderd machines, waarop de sites van 250 klanten staan, twee uur lang onbereikbaar. De telefoontap registreert die middag een gesprek van lMikel waarin hij zegt dat hij “vanmorgen Xs4All op zijn reet heeft gelegd”.
UPC wordt rond Kerst 2001 door de KLPD gewaarschuwd dat er “een Linux-bak gehackt is in het netwerk van Chello Rotterdam”. Op het moment van het telefoontje hadden de beheerders van het Chello-netwerk al geconstateerd dat een van de twee proxy-servers in Rotterdam uit de lucht was. Bij controle van de nog werkende proxy ontdekten zij dat verschillende bestanden waren overgeschreven en dat er een 5 MB groot systeembestand op de machine was gezet: een sniffer. Een sniffer ësnuffeltí aan passerende IP-pakketjes en stuurt interessante data, zoals inlognamen en wachtwoorden, maar evengoed creditcardnummers, in de vorm van logfiles naar degene die de sniffer beheert. Op de proxy-servers van Chello winkelden verschillende hackers, zo blijkt uit het verhoor van de 19 jarige Marcel H. uit Culemborg, bijgenaamd Orangehaw.
Op proxy2 stond de ërootkití van 17 jarige Karim B. uit Den Haag, bij XP bekend onder de nick ëMaceí. Ene Sickness, die niet bij XP hoorde en volgens Orangehaw een zestien- of zeventien-jarige Hagenaar moest zijn, had er echter ook al een sniffer op geÔnstalleerd. Op 10 december loggen Mace en Orangehaw nog een keer in op proxy2 omdat de sniffer niet goed functioneert. Enkele dagen later gaat de machine plat, begrijpt ook Orangehaw, want de sniffer stuurt hem geen logfiles meer. Orangehaw is verbaasd als de brigadier die hem verhoort vertelt dat op proxy1 ook een sniffer van Mace is aangetroffen. De UPC-technici overhandigen logfiles waaruit valt op te maken vanaf welk IP-adres de hackers hebben ingelogd.
De KLPD ontvangt eind 2002 een tweetal floppyís van hun collegaís in de VS met daarop alle e-mailberichten die tussen maart 2001 en maart 2002 van en naar het e-mailadres orangehaw@hotmail.com zijn verstuurd. Behalve hacktools en “exploits”, programmaatjes om beveiligingslekken uit te buiten, bevatte de mailbox ook een bericht van een XP-collega, de 21-jarige Michael W. uit Goor, ofwel ëXinoyí, met daarbij gevoegd een lijst met creditcardnummers en vervaldata.
Volgens de website die de groep onderhield bestond XP uit leader lMikel, lords Stamp, Sargeant en Kruimel en een aantal advisors en een 15-tal gewone ëmembersí. De terminologie doet meer structuur vermoeden dan waarvan sprake was, zo valt uit het dossier op te maken. De KLPD concludeert dan ook dat van XP en Down Under niet is vastgesteld dat het om een “criminele organisatie zou gaan met gestructureerd samenwerkingsverband van enige duurzaamheid”. Veeleer was er sprake van een groep personen met een wisselende samenstelling maar wel met een gelijk interessegebied die op enkele momenten samenwerkte in het plegen van strafbare feiten. Het lijkt erop dat XP vooral een soort ëdigitale hangplekí was van waaruit rottigheid wordt getrapt.
Dat valt ook op te maken uit de beschrijving die een beveiligingsmedewerker van een ICT-bedrijf die om op de hoogte te blijven ook in de IRC-kanalen inlogde, gaf van de contacten. “Stamp en Mace waren vrienden op het ICR-kanaal, waarmee ik bedoel dat ze kennelijk steeds meer contact met elkaar kregen. Dat uitte zich in het gebruik van dezelfde exploits.” Sommige XP-leden speelden urenlang on line computerspelletjes met elkaar, anderen logden samen in op andere IRC-kanalen waarna verbale ruzies eindigden met een DDoS-aanval. Zoals blijkt uit de transscriptie van een uitstapje van Orangehaw en de 19-jarige Tommy H. uit Haarlem, ofwel Stamp, naar IRC-kanaal #hit2000 in juli 2001. Stamp vraagt: “Hoe unpack je tar?” En dat komt hem op een schimp te staan want “dat gaat om het meest simpele basic unixcommando dat er bestaat”. “Als je tar niet snapt hoor je niet eens rond te hangen op unix-systemen”, aldus ene ë@safumufhí. Als ook ene ësyncjeí er zich mee bemoeit en stamp dom noemt, wordt het hem teveel. “Nu word ik pissi”. “De meeste hooligans zijn niet intelligent”, zegt Syncje nog. “Syncje wat ben je stil”, vraagt Stamp even later met een :› achter zijn naam. Syncje wordt ge-DDost. Als Stamp met een ëbaní gedreigd wordt, meldt Stamp “ik packet wel ff door, de hele chat leeg”. “JAAAAA”, tikt orangehaw.
Sargeant begon in december 2001 zijn eigen gezelligheidsvereniging, Down Under Crew, met een vriend uit Breda, Henk S. Zij hebben dan goede voornemens, vertelt S. de KLPD. Met de BOBKit die Sargeant heeft gebouwd willen ze ongevraagd on line systemen ëtesten op beveiligingí om de eigenaars daarna in te lichten. De BOBkit wordt op de website van de groep geparkeerd en alle leden mogen hem gebruiken voor hun on line hobby. De BOBkit stuurt de gegevens van elk gehackt systeem naar een mailadres waarna ze op een uitdijende rootlist bij worden geschreven. Al snel komen er meer mensen bij de groep, waaronder Kruimel, Xinoy en Orangehaw. Op een onduidelijke manier raken ook twee IJslanders verzeild bij Down Under. Kort daarna doet het fenomeen DDoS-attack zijn intrede op het barre IJsland. De 22-jarige Patrick van K. uit Helmond, ofwel ëBeastí, ooit oprichter van XP en een van de meer technisch begaafdere hackers, sluit zich ook bij DU aan op voorwaarde dat lMikel ook mee mag doen. Sargeant verklaart tijdens zijn verhoor dat hij daar eigenlijk weinig voor voelde maar dat hij akkoord ging omdat Beast zoveel kennis inbracht.
Hoe alles nu op die 22 januari 2002 in zijn werk is gegaan, valt ook na lezing van de procesen verbaal niet met zekerheid te zeggen. Sargeant geeft toe dat hij de DDoS-attack op de KPN-servers heeft uitgevoerd met een aanval vanuit respectievelijk 800 en 2500 gehackte systemen, maar hij zegt in eerste instantie niet geweten te hebben op welk doelwit de aanval gericht was. Tijdens een van de verhoren verklaart hij dat hij net thuis kwam van rijles en achter zijn pc schoof, toen ene ëdr0kzí die ook weleens rondhing bij XP en DU, hem vroeg bepaalde IP-adressen aan te vallen. Sargeant doet dat zonder morren want “in de scene waarin ik mij bevond was het heel gewoon om te voldoen aan dat soort verzoeken. Dr0kz hielp mij ook regelmatig.” Pas tijdens de aanvallen, tijdens een chatsessie, vertelde dr0kz Sargeant dat hij het koninklijk paar had geddost. Zegt Sargeant.
Volgens de 17-jarige Frank G. uit Naaldwijk, ofwel dr0kz, was het Sargeant die kort voor de aanvang van de chat contact met hem zocht via IRC en hem vroeg of hij zin had om mee te helpen om de chatsessie plat te gooien. Dr0kz, die achter de pc zit ten huize van zijn oma en opa, voelt hier naar eigen zeggen niet voor. Driekwartier later meldt Sargeant zich weer: hij had problemen om een aanval aan de gang te krijgen. Hij twijfelde of de IP-nummers die hij onder vuur nam de juiste waren, aldus dr0kz tijdens het verhoor. Dr0kz voert een ëtracerouteí voor Sargeant uit en helpt hem daarmee aan de eerste van de reeks IP-nummers waarmee de chatservers met internet verbonden zijn. De KLPD confronteert dr0kz met een telefoontap waarin Sargeant tegen Kruimel zegt dat hij in opdracht van dr0kz heeft gehandeld. Sargeant was bang geworden en probeerde de schuld op hem af te schuiven, meent dr0kz, die nu wel inziet dat hij Sargeant dat IP-adres niet had moeten geven. “Ik ben niet tegen het koningshuis. Ik vind Alexander en Maxima wel een leuk stelletje.”
En dan is er nog een getuige die verklaart dat lMikel achter de aanval zat. Een vrouw uit het hoge noorden die al enkele jaren in de IRC-kanalen, waaronder XP en DU, verkeerde, meldt dat lMikel in de kanalen al enkele dagen voor de bewuste 22 januari sprak over het verstoren van de chatsessie. Tijdens het ultieme moment hield zij zowel RTL5 in het oog als kanaal XP. Op RTL5 kon de tv-kijker mee kijken met een van de geselecteerde chatters. Op haar pc zag ze dat een MACK-list, de gegevens van een target, werd doorgegeven met de opdracht die in te voeren. Volgens de vrouw gaf lMikel toen het sein voor de aanval “NU!!!”
Op het tv-scherm zat de geselecteerde chatter even later naar een zwart computerscherm te staren. lMikel was echter naar eigen zeggen aan het werk tijdens de aanval, als taxichauffeur.
Op 9 april 2002 viel de politie binnen in twee bedrijfspanden en een zestal woningen, onder andere in Terneuzen en Almere. In de laatste woning troffen ze ook een hennepkwekerij aan. In Amsterdam namen ze de servers van provider Cavemen mee. Het bedrijf is inmiddels opgedoekt omdat de klanten na deze huiszoeking en masse naar de concurrent overstapten.
De negen verdachten werden in de daarop volgende maanden uitgebreid verhoord. De politie heeft maandenlang telefoons en internetverkeer van de verdachten (en bijvoorbeeld Cavemen) getapt en vastgelegd. Logfiles van IRC-kanalen in beslag genomen, de harde schijven en SIM-kaarten van de verdachten meegenomen, en de logbestanden van de gehackte systemen geanalyseerd. Inmiddels is bijna drie jaar verstreken sinds de Maxima-chat, zonder dat duidelijk is of justitie vervolgt of seponeert. De ëredelijke termijn waarbinnen vervolging dient plaats te vindení, waarover het Europese Verdrag voor de Rechten van de Mens spreekt, lijkt daarmee wel bereikt. Het OM meldde desgevraagd nog voor de jaarwisseling de knoop door te hakken.
Gepubliceerd in Automatisering Gids van 17 december 2004.
* * *