1. De jacht op de beruchtste hacker

Op de ochtend van 30 december 2016, een dag nadat Barack Obama Rusland sancties had opgelegd wegens inmenging in de presidentsverkiezingen, zat Tillmann Werner in Bonn aan het ontbijt. Werner, onderzoeker bij cyberbeveiligingsbedrijf CrowdStrike, verdiepte zich in de details. Hij klikte een link naar een officiële verklaring aan en zag dat het Witte Huis een kleine stoet Russen en Russische instanties op de korrel had genomen: 2 inlichtingendiensten, 4 hoge medewerkers, 35 diplomaten, 3 techbedrijven en 2 hackers. De meeste details waren in nevelen gehuld. Maar Werners ogen bleven haken aan de naam van een van de doelwitten: Jevgeni Michailovitsj Bogatsjev.

Werner wist dat Bogatsjev jarenlang ongestraft financiële instellingen over de hele wereld online had geplunderd. Hij wist hoe het was om het tegen hem op te nemen. Maar hij had geen idee welke rol Bogatsjev in de verkiezingshack kon hebben gespeeld. Bogatsjev onderscheidde zich van de anderen die door de sancties werden getroffen: hij was een bankrover, misschien wel de succesvolste ter wereld. Werner vroeg zich af wat hij in vredesnaam op die lijst deed.

Slavik

De strijd van Amerika tegen Ruslands grootste cybercrimineel begon in de lente van 2009. Speciaal agent en ex-marinier James Craig, nieuw op de FBI-vestiging in Omaha, Nebraska, stelde een onderzoek in naar een paar vreemde gevallen van onlinediefstal. Craig was net een half jaar in dienst, maar zijn baas zette hem vanwege zijn achtergrond op de zaak: hij werkte al jaren als IT’er bij de FBI.

Het grootste slachtoffer in de zaak was een dochteronderneming van betaalverkeerreus First Data, die in mei 450.000 dollar was kwijtgeraakt. Kort daarna was 100.000 dollar gestolen van een cliënt van de First National Bank in Omaha. Het rare was dat de diefstallen leken te zijn gepleegd vanaf de eigen IP-adressen van de slachtoffers, met hun eigen inlogcodes en wachtwoorden. Toen Craig hun computers onderzocht zag hij dat ze met dezelfde malware waren besmet, een Trojaans paard dat Zeus heette.

Craig ontdekte dat Zeus in kringen van onlinebeveiligers berucht was. De malware, die in 2006 voor het eerst opdook, gold zowel onder criminelen als beveiligingsexperts als een meesterwerk: hij werkte feilloos en was effectief en veelzijdig. Wie hem had gemaakt was een raadsel. De maker was alleen online bekend, waar hij zich bediende van het pseudoniem Slavik, de alias lucky12345 en nog een handjevol andere namen.

Zeus besmette computers op kenmerkende manieren: nepmails van de fiscus en van koeriersbedrijf UPS lieten de ontvangers een bestand downloaden. Stond Zeus eenmaal op hun computer, dan liet hij hackers voor God spelen: ze konden websites kapen en met zogeheten keyloggers gebruikersnamen, wachtwoorden en pinpasnummers onderscheppen. De truc staat bekend als ‘man-in-de-browser’-aanval. Terwijl jij achter je computer inlogt op een schijnbaar veilige site, manipuleert de malware de pagina’s voordat ze geladen worden en sluist je vertrouwelijke gegevens en banksaldo door. Pas wanneer je vanaf een andere computer inlogt zie je dat je geld verdwenen is.

Toen Craig aan zijn onderzoek begon was Zeus inmiddels de favoriete malware van de digitale onderwereld, zeg maar de Microsoft Office van de onlinefraude. Slavik was een zeldzaamheid in de malwarewereld: een echte professional. Hij kwam geregeld met een update van de Zeuscode en testte nieuwe functies. Op zijn product kon je voor verschillende soorten aanvallen en doelen eindeloos variëren. Een computer die met Zeus was besmet kon zelfs dienen als schakel in een botnet: een netwerk van geïnfecteerde computers die tezamen kunnen worden ingezet als spamserver, om DoS-aanvallen uit te voeren of nog meer nepmailtjes te versturen die de malware verder verspreiden.

Craig en zijn collega’s belden financiële instellingen en bedrijven die het slachtoffer waren geworden van cyberfraude. Sommige hadden werknemers ontslagen die ze onterecht van diefstal hadden verdacht

Kort voordat Craig in 2009 aan zijn klus begon had Slavik zijn koers verlegd. Hij was begonnen een selecte groep onlinecriminelen een variant van zijn malware te verstrekken, 
Jabber Zeus. Die ging vergezeld van 
een tool waarmee groepsleden ongemerkt met elkaar konden communiceren en aanvallen konden coördineren, zoals in Omaha. In plaats van zich bezig te houden met grootschalige besmettingscampagnes richtten ze zich op specifieke bedrijven en mensen die toegang hadden tot financiële systemen.

Terwijl Slavik de kant van de georganiseerde misdaad opging snoeide hij drastisch in zijn malwarehandel. In 2010 kondigde hij online aan dat hij ‘met pensioen ging’ en vervolgens kwam hij met wat onder beveiligingsexperts bekendstaat als Zeus 2.1, een geavanceerde versie die wordt beschermd met een encryptiesleutel, waarmee elk exemplaar wordt gekoppeld aan één specifieke gebruiker. Prijskaartje: 10.000 dollar per exemplaar. Slavik werkte alleen nog maar met een ambitieuze groep elitehackers.

Andere financiële instellingen begonnen melding te maken van diefstal en fraude. Craig besefte dat hij achter een goed georganiseerd, internationaal crimineel netwerk aanzat. De cybercrime waar de FBI eerder mee te maken had gehad viel erbij in het niet.

Craigs eerste grote doorbraak in de zaak vond plaats in september 2009. Met behulp van experts achterhaalde hij een server in New York die een rol in het Zeus-netwerk leek te spelen. Dankzij een huiszoekingsbevel kon een forensisch FBI-team de data naar een harde schijf kopiëren, die naar Nebraska werden gestuurd. Toen een softwarespecialist ze onderzocht was hij zwaar onder de indruk. De schrijf bevatte tienduizenden chatsessies in het Russisch en het Oekraïens. Hij kon Craig melden dat hij de Jabberserver te pakken had.

Op de server stonden alle digitale activiteiten van de hele bende: een soort wegenkaart van de hele zaak. Cyberveiligheidsbedrijf Mandiant detacheerde een paar maanden lang een technicus in Omaha om de code van Jabber Zeus te ontrafelen. Slavisten uit het hele land hielpen de chatgesprekken te ontcijferen. De berichten bevatten verwijzingen naar honderden slachtoffers, van wie de persoonsgegevens overal in de bestanden opdoken. Craig en zijn collega’s belden financiële instellingen en bedrijven die het slachtoffer waren geworden van cyberfraude. Sommige hadden werknemers ontslagen die ze onterecht van diefstal hadden verdacht.

De zaak beperkte zich niet tot de virtuele wereld. In New York kwamen op een dag in 2009 drie jonge Kazachse vrouwen met een vreemd verhaal het plaatselijke FBI-kantoor binnen. Als werkzoekenden waren ze naar de VS gekomen, waar ze in een schimmig complot verwikkeld waren geraakt. Ze werden naar een bank gebracht door een man die zei dat ze er een rekening moesten openen. Ze moesten zeggen dat ze studeerden en op vakantie waren. Een paar dagen later bracht de man hen terug naar de bank, waar ze al het geld van hun rekening haalden. Ze kregen een klein deel en gaven de rest aan hem. De vrouwen bleken ‘geldezels’: ze moesten het online gestolen geld opnemen dat Slavik en de zijnen naar hun rekening hadden gesluisd.

In de zomer van 2010 hadden agenten die op de zaak zaten banken in de wijde omtrek van New York gewaarschuwd voor verdachte geldopnames en gezegd dat ze in zulke gevallen de FBI moesten inschakelen. Tientallen geldezels werden opgepakt, die tienduizenden dollars hadden opgenomen. De meesten waren studenten of kersverse immigranten. Een vrouw was geldezel geworden toen een baantje in een supermarkt niet doorging. ‘Het was of dit of stripper worden.’ De meeste opnames bedroegen ongeveer 9000 dollar, net onder het transactiebedrag dat banken aan de federale bank moeten melden. Een geldezel kreeg 5 tot 10 procent, een deel ging naar zijn of haar ronselaar, de rest naar het buitenland.

De Verenigde Staten bleken slechts een van de vele landen in een internationale fraudeoperatie, beseften de rechercheurs al snel. Vergelijkbare geldezelroutes werden gevonden in Roemenië, Tsjechië, het Verenigd Koninkrijk, Oekraïne en Rusland. De rechercheurs telden de gestolen bedragen op tot een totaal van ongeveer 70 tot 80 miljoen dollar, maar vermoedden dat het werkelijke bedrag veel hoger lag.

Banken riepen de FBI op een einde aan de fraude te maken en de verliezen tegen te gaan. In de zomer sloot de New Yorkse afdeling het net rond belangrijke ronselaars en breinen achter de fraude. Twee Moldaviërs werden gearresteerd in een hotel in Milwaukee. In Boston moest een verdachte die wilde vluchten van een brandtrap worden gered.

Intussen zette Craig zijn zaak tegen de Jabber-Zeus-bende voort. De FBI en het ministerie van Justitie hadden een gebied rond Donetsk, in Oost-Oekraïne, in het vizier, waar enkele spilfiguren rond Jabber Zeus zouden wonen. Aleksej Bron, alias ‘thehead,’ was gespecialiseerd in wereldwijd geldtransport. Ivan Viktorvitsj Klepikov (schuilnaam ‘petr0vich’) deed de IT, de webhosting en de domeinnamen van de bende. Vjatsjeslav Igorevitjs Pentsjoekov, bijnaam ‘tank’, bestuurde de hele operatie, waarmee hij de rechterhand van Slavik was. Ze spendeerden de enorme winsten aan dure auto’s, terwijl het in chatsessies vaak ging over buitensporige vakanties in Turkije, de Verenigde Arabische Emiraten en de Krim.

20 terabyte

In de herfst van 2010 was de FBI klaar om het netwerk te ontmantelen. Terwijl in Washington een persconferentie werd voorbereid reisde Craig per boemeltrein naar Donetsk, waar hij zich bij agenten van de Oekraïense veiligheidsdienst voegde om de huizen van tank en petr0vich binnen te vallen. De invallen duurden tot diep in de nacht; Craig ging pas om drie uur terug naar zijn hotel. Hij nam bijna 20 terabyte in beslag genomen data mee terug naar Omaha.

Met 39 arrestaties in 4 landen slaagden de rechercheurs erin het netwerk op te rollen. Belangrijke leden wisten echter te ontkomen. Slavik, het grote brein, bleef tevens de grote onbekende. Rechercheurs gingen ervan uit dat hij vanuit Rusland opereerde en getrouwd was. Meer wisten ze niet. De formele aanklacht tegen de maker van Zeus verwijst naar hem met zijn onlinepseudoniem. Craig had zelfs geen idee hoe zijn hoofdverdachte eruitzag: ‘We hebben duizenden foto’s van tank en petr0vich, maar niet één van Slavik.’ Niet lang daarna wiste Slavik zelfs de sporen die hij op internet had achtergelaten. Wie hij ook was, hij verdween van de radar. Na zich zeven jaar met de jacht op Jabber Zeus te hebben beziggehouden, stapte James Craig over op andere zaken.

Ongeveer een jaar nadat de FBI de groep rond Jabber Zeus had opgerold zagen, cybersecurityexperts dat een nieuwe variant van Zeus de ronde deed. De broncode van de malware was in 2011 op internet gelekt – wellicht doelbewust – waarmee Zeus in feite een open-sourceproject werd en de aanzet gaf tot een hele reeks nieuwe varianten. Maar de versie die de aandacht van de rechercheurs trok was anders: krachtiger en verfijnder, vooral als het ging om het opzetten van botnets.

Tot dan toe programmeerde een hacker die een botnet wilde maken één zogeheten command server die rechtstreeks opdrachten gaf aan besmette computers: ‘zombiecomputers’. Die verstuurden vervolgens spam, verspreidden malware of voerden DoS-aanvallen op sites uit. Botnets met zo’n ontwerp waren voor wetshandhavers en beveiligingsexperts relatief makkelijk te ontmantelen. Als je de command server in handen kreeg of het de hacker onmogelijk maakt ermee te communiceren, hielp je het botnet om zeep.

Op 12 november 2012 keek de FBI toe terwijl het GameOver-netwerk met één transactie 6,9 miljoen dollar stal, waarna het een dagenlange DoS-aanval op de benadeelde bank uitvoerde

De nieuwe Zeusvariant maakte echter gebruik van zowel traditionele command servers als communicatie tussen zombiecomputers onderling, waardoor hij heel lastig was uit te schakelen. Besmette pc’s hielden een telkens bijgewerkte lijst van andere besmette machines bij. Zodra een pc ‘merkte’ dat de verbinding met de command server werd verstoord viel hij terug op het contact met andere pc’s om een nieuwe te zoeken.

Het netwerk was ontworpen om ontmanteling tegen te gaan; zodra een command server offline werd gehaald kon de botnetbeheerder gewoon ergens anders een nieuwe installeren en de pc’s in het netwerk ernaartoe leiden. De nieuwe versie zou GameOver Zeus gaan heten, naar een van de bestandsnamen: gameover2.php. De naam getuigde van galgenhumor: zo’n ding op je computer betekende einde verhaal voor je bankrekeningen.

Voorzover bekend werd GameOver Zeus beheerd door een groep elitehackers met Slavik als leider. Hij was sterker dan ooit teruggekomen. Slaviks nieuwe bende werd de Business Club genoemd. Net als bij het Jabber-Zeus-netwerk waren banken het voornaamste doelwit, waar de club zich nog genadelozer op richtte dan zijn voorganger.

Het ging als volgt. Eerst stal GameOver Zeus de bankgegevens van een gebruiker, die werden onderschept zodra iemand met een besmette computer inlogde op een onlinerekening. Vervolgens haalde de Business Club de rekening leeg en maakte het geld over naar andere rekeningen in het buitenland. Was dat gebeurd, dan gebruikte de groep zijn machtige botnet voor een DoS-aanval op de getroffen financiële instellingen om bankemployees af te leiden en ervoor te zorgen dat het geld was veiliggesteld voordat klanten erachter kwamen dat het verdwenen was. Op 12 november 2012 keek de FBI toe terwijl het GameOver-netwerk met één transactie 6,9 miljoen dollar stal, waarna het een dagenlange DoS-aanval op de benadeelde bank uitvoerde.

Anders dan de Jabber-Zeus-bende richtte het geavanceerdere netwerk achter GameOver zich op bankdiefstallen met bedragen van zes of zeven cijfers. Daardoor was het niet meer nodig om geldezels geld te laten opnemen in kantoren in Brooklyn. In plaats daarvan gebruikte de bende de zwakte van het stelsel van onderling met elkaar verbonden banken door de grootschalige diefstallen weg te moffelen tussen het dagelijkse verkeer van biljoenen dollars. Rechercheurs hadden vooral aandacht voor twee gebieden in het verre oosten van China, dicht bij de Russische stad Vladivostok. Daar sluisden geldezels grote bedragen gestolen geld door naar rekeningen van de Business Club. Die strategie betekende een evolutie in de georganiseerde misdaad. Bankrovers lieten niet langer sporen in de VS achter. Ze konden alles vanaf een afstand doen, buiten de Amerikaanse wetgeving om.

De clubleden had het niet alleen op banken voorzien. Ze plunderden ook de rekeningen van andere dan financiële instellingen, non-profitorganisaties en zelfs privépersonen. In oktober 2013 begon Slaviks groep malware met de naam CryptoLocker te gebruiken, een vorm van ransomware die bestanden op een geïnfecteerde computer versleutelde en om dat ongedaan te maken de gebruiker dwong een vergoeding te betalen, zeg 300 tot 500 dollar. Het werd algauw een favoriete tool in de cybercrimewereld. Een gigantisch botnet inzetten om fraude te plegen in de wereld van de haute finance heeft als nadeel dat de meeste zombiecomputers niet aan vette zakenrekeningen verbonden zijn; Slavik en zijn kompanen werkten met tienduizenden voornamelijk inactieve zombiecomputers. Ook al leverde de ransomware geen grote bedragen op, de criminelen konden er munt uit slaan met verder inactieve besmette computers. Een beveiligingsfirma schatte dat in 2013 wereldwijd maar liefst een kwart miljoen computers met CryptoLocker waren besmet. Een onderzoeker bracht 771 ransom-gevallen in kaart die de bende van Slavik in totaal 1,1 miljoen dollar opleverden.

Dagelijks stegen de verliezen van banken, bedrijven en personen; de slachtoffers varieerden van een plaatselijke bank in het noorden van Florida tot een Indianenstam in de staat Washington. Eén geval van diefstal kon een bedrijf makkelijk de hele jaarwinst kosten, zo niet meer. GameOver vergde intussen steeds meer inspanningen van de particuliere cybersecurity-industrie. ‘Ik denk dat maar weinig mensen beseffen hoe gigantisch het was. Een diefstal van 5 miljoen leidt de aandacht af van honderden kleinere gevallen,’ zegt beveiligingsexpert Michael Sandee van het Nederlandse bedrijf Fox-IT. ‘Als een bank een spervuur van aanvallen te verduren krijgt – honderd transacties per week – ben je niet meer geïnteresseerd in het specifieke soort malware. Je moet gewoon het bloeden stelpen.’

Niet dat er geen poging werd gedaan. Tussen 2011 en 2014 probeerden cybersecurity-onderzoekers en bedrijven drie keer GameOver Zeus plat te leggen. Drie Europese beveiligingsexperts werkten in 2012 samen aan de eerste poging. Slavik sloeg die met gemak af. Vervolgens ondernam de Digital Crime-divisie van Microsoft in maart 2012 legale actie tegen het netwerk. Met een gerechtelijk bevel viel de Amerikaanse politie datacentra in Illinois en Pennsylvania binnen waar servers van Zeus stonden. 39 personen die aan het Zeus-netwerk waren gelieerd werden in staat van beschuldiging gesteld. (Slavik stond boven aan de lijst.) Maar het plan van Microsoft sloeg nog geen deuk in het pakje boter van GameOver. Het gaf Slavik inzicht in de kennis van de rechercheurs over zijn netwerk, zodat hij zijn tactiek kon verfijnen.

Botnetbestrijders vormen een klein clubje trotse beveiligingstechneuten: het zijn zelfverklaarde ‘internetbewakers’ die hun best doen om onlinenetwerken soepel te laten functioneren. Binnen die groep stond Tillmann Werner van CrowdStrike bekend om zijn flair en enthousiasme. In februari 2013 nam hij tijdens een grote conferentie van de cybersecurity-industrie live op een podium de besturing over van het Kelihos-botnet, een berucht malwarenetwerk dat werkte via spam voor Viagra. Maar Kelihos, wist Werner, was geen GameOver Zeus. Hij volgde GameOver sinds het ontstaan ervan en verbaasde zich over de kracht en de flexibiliteit.

In 2012 trok hij samen op met beveiligingsexpert Brett Stone-Gross – een Amerikaan uit Californië die net een paar maanden klaar was met school – en enkele onderzoekers om een plan te beramen om GameOver aan te vallen. Ze communiceerden via chats en bestudeerden de eerdere Europese poging om te bekijken waar die was mislukt.

In januari 2013 waren ze zover: ze sloegen diepvriespizza’s in omdat ze rekening hielden met een langdurige belegering van Slaviks netwerk. (Tegen een botnet heb je volgens Werner maar één kans: ‘Het lukt of het lukt niet.’) Het idee was om het verkeer van het zombienetwerk van GameOver om te leiden naar een door de aanvallers beheerde server, een aanpak die ‘sinkholing’ wordt genoemd. Daarmee hoopten ze Slaviks communicatielijnen met het botnet af te snijden. In eerste instantie leek het te lukken. Niets wees erop dat Slavik terugvocht en Werner en Stone-Gross zagen dat steeds meer besmette computers met hun ‘sinkhole’ verbonden raakten.

Op het hoogtepunt van de aanval hadden ze 99 procent van Slaviks netwerk in handen. Maar ze hadden een kritiek onderdeel in de architectuur van GameOver over het hoofd gezien: een kleine deelverzameling besmette computers die in het geheim communiceerde met Slaviks command servers. Slavik kon daardoor een software-update naar zijn netwerk sturen en het beheer weer in handen krijgen. De onderzoekers zagen met lede ogen toe hoe een nieuwe versie van GameOver Zeus zich over het internet verspreidde en Slaviks netwerk zich begon te herconfigureren. ‘We begrepen meteen wat er gebeurde. We hadden het communicatiekanaal straal over het hoofd gezien,’ zegt Werner.

De list van de aanvallers – negen maanden werk – was mislukt. Slavik had gewonnen. In een onlinechat met een Pools beveiligingsteam kraaide hij dat alle pogingen om zijn netwerk over te nemen op niets waren uitgelopen. ‘Ik denk dat hij het onmogelijk achtte om zijn botnet te vloeren,’ zegt Werner. Stone-Gross en hij wilden niets liever dan een nieuwe poging ondernemen. Maar ze hadden hulp nodig.

Cybersquad

Het afgelopen decennium heeft het kantoor van de FBI in Pittsburgh zich opgewerkt tot grootste leverancier van cybercrimedagvaardingen, wat voor een belangrijk deel te danken is aan het hoofd van de ‘cybersquad’ aldaar, de voormalige vertegenwoordiger in meubelen J. Keith Mularski.

Mularski is een soort beroemdheid in cybersecuritykringen. Eind jaren negentig kwam hij bij de FBI werken. De eerste zeven jaar deed hij in Washington spionage- en terrorismezaken. In 2005 greep hij de kans aan om terug te keren naar zijn geboorteplaats, Pittsburgh, waar hij aan een nieuw cyberinitiatief werkte, hoewel hij weinig van computers wist. Mularski kreeg het vak in de praktijk onder de knie tijdens een undercoveroperatie van twee jaar. Daarmee werd jacht gemaakt op criminelen die zich op het onlineforum DarkMarket schuldig maakten aan identiteitsdiefstal. Onder de schuilnaam Master Splyntr – geïnspireerd op de Teenage Mutant Ninja Turtles – slaagde Mularski erin DarkMarket-beheerder te worden, waarmee hij zich in het middelpunt plaatste van een ontluikende criminele onlinecommunity. In die hoedanigheid chatte hij zelfs met Slavik en besprak hij een vroege versie van de Zeus-malware. Dankzij zijn toegang tot DarkMarket werden uiteindelijk zestig mensen op drie continenten gearresteerd.

De directeur van de FBI-vestiging in Pittsburgh besloot agressief in te zetten op de bestrijding van cybercrime. In 2014 fungeerden agenten uit Mularski’s team als aanklagers in enkele grote zaken. Twee van hen, Elliott Peterson en Steven J. Lampo, zaten de hackers achter GameOver Zeus op de hielen, terwijl hun collega’s werkten aan een zaak tegen vijf Chinese hackers die hadden ingebroken in computersystemen van Amerikaanse bedrijven.

De FBI zat al een jaar op de GameOver-zaak toen Werner en Stone-Gross aanboden om met het Pittsburghse team samen te werken aan de ontmanteling van Slaviks botnet. Samenwerking tussen overheid en industrie was toen nog nieuw. Tot dusver nam de overheid aanwijzingen vanuit het bedrijfsleven over zonder zelf informatie te delen. Maar het Pittsburghse team geloofde juist in samenwerking en wist dat Werner en Stone-Gross de besten in hun vak waren. ‘We grepen de kans met beide handen aan,’ aldus Mularski.

Beide partijen realiseerden zich dat ze, om het botnet neer te halen, tegelijk op drie fronten moesten werken. Ten eerste moesten ze er definitief achter zien te komen wie GameOver beheerde en een dossier voor gerechtelijke vervolging opbouwen; ook al waren er miljoenen dollars gestolen, de FBI noch de beveiligingsindustrie had ook maar één naam van een lid van de Business Club. Ten tweede moesten ze de digitale infrastructuur van GameOver zelf platleggen; daar kwamen Werner en Stone-Gross om de hoek kijken. Ten derde moesten ze de fysieke infrastructuur van het botnet uitschakelen door met dwangbevelen en hulp van buitenlandse overheden de servers in handen te krijgen. Was dat eenmaal gebeurd, dan moesten ze partners in de private sector zoeken om met software-updates en beveiligingspatches de geïnfecteerde computers op te schonen zodra het botnet was overgenomen.

Mularski’s team bracht een voor de Amerikaanse overheid ongekende samenwerking tot stand tussen de Britse National Crime Agency, overheidsfunctionarissen uit Zwitserland, Nederland, Oekraïne, Luxemburg en nog een stuk of tien andere landen plus experts van Microsoft, CrowdStrike, McAfee, Dell SecureWorks en andere bedrijven.

Op één foto poseerde Bogatsjev in een pyjama met luipaardprint, met een zonnebril op en in zijn armen een grote kat. Het onderzoeksteam besefte dat hij al op z’n tweeëntwintigste de eerste versie van Zeus had geschreven

Om Slaviks identiteit te achterhalen en informatie over de Business Club te verzamelen werkte de FBI samen met Fox-IT, het Nederlandse bedrijf dat vermaard was om zijn deskundigheid op het gebied van forensisch onderzoek binnen de cyberwereld. De Nederlanders trokken oude gebruikersnamen en e-mailadressen van de kring rond Slavik na om een idee te krijgen van de manier waarop de groep opereerde.

De Business Club bleek een los samenwerkingsverband van ongeveer vijftig criminelen, die ieder een soort entreegeld hadden betaald om achter de knoppen van GameOver te mogen plaatsnemen. Het netwerk werd beheerd via twee met wachtwoorden afgeschermde Britse websites, Visitcoastweekend.com en Work.businessclub.so. Toen rechercheurs toestemming kregen om een kijkje te nemen op de server van de Business Club, troffen ze een uiterst gedetailleerd logboek aan met alle fraudeoperaties van dat moment. ‘De professionaliteit spatte ervan af,’ volgens Michael Sandee. ‘Ze wisten beter dan de banken zelf wanneer er transacties tussen financiële instellingen plaatsvonden.’

Na maandenlang elke aanwijzing te hebben nagetrokken, kregen de medewerkers van Fox-IT op een dag een tip binnen over een e-mailadres dat mogelijk interessant was. Ze kregen dat soort tips wel vaker, ‘broodkruimels’ volgens Mularski. Maar deze leidde naar iets belangrijks: het team wist het adres te herleiden tot een Britse server die Slavik gebruikte om de sites van de Business Club te beheren. Nog meer speurwerk en huiszoekingsbevelen leidden de autoriteiten uiteindelijk naar Russische socialmediasites, waar het adres werd gelinkt aan een naam: Jevgeni Michailovitsj Bogatsjev. Die zei de onderzoekers in eerste instantie niets. Er waren nog weken onderzoek voor nodig eer bleek dat het de naam was van de maker van Zeus en de oprichter van de Business Club.

Slavik bleek een man van dertig die in Anapa woonde, een Russische badplaats aan de Zwarte Zee. Op foto’s genoot hij van een boottochtje met zijn vrouw. Het stel had een dochtertje. Op één foto poseerde Bogatsjev in een pyjama met luipaardprint, met een zonnebril op en in zijn armen een grote kat. Het onderzoeksteam besefte dat hij al op z’n tweeëntwintigste de eerste versie van Zeus had geschreven.

Maar de meest verbijsterende onthulling was dat iemand aan het roer van GameOver soms tienduizenden geïnfecteerde computers niet alleen had doorzocht op e-mailadressen van Georgische medewerkers van inlichtingendiensten en leiders van elite-eenheden van de Turkse politie, maar ook op geheime Oekraïense documenten. Wie het ook was, hij zocht naar geheime informatie over het conflict in Syrië en Russische wapenleveranties. Op een gegeven moment viel het kwartje. ‘Het waren spionageopdrachten,’ volgens Sandee.

GameOver was niet louter geavanceerde criminele malware, maar een verfijnde tool om inlichtingen te verzamelen. Voorzover de onderzoekers konden vaststellen was Bogatsjev de enige die van die functie van zijn botnet wist. Hij bleek onder de neus van ’s werelds succesvolste bankrovers een dekmanteloperatie te runnen. De FBI en het team van Fox-IT konden geen bewijs vinden van een verband tussen Bogatsjev en de Russische overheid, maar iets of iemand leek Slavik specifieke zoekopdrachten te verstrekken voor zijn gigantische zombiecomputernetwerk. Bogatsjev bleek van nut voor Russische inlichtingenoperaties.

In maart 2014 keken onderzoekers toe hoe een internationale crisis mede werd uitgevochten in de sneeuwbol van Bogatsjevs criminele botnet. Enkele weken na de Olympische Winterspelen in Sotsji vielen Russische troepen de Krim binnen en probeerden ze het oostelijke grensgebied van Oekraïne te destabiliseren. In aansluiting op de Russische campagne gebruikte Bogatsjev een deel van zijn botnet om politiek gevoelige informatie op geïnfecteerde Oekraïense computers te zoeken die de Russen kon helpen hun vijand te slim af te zijn.

Met pensioen

Het team liet een voorlopige theorie en ontstaansgeschiedenis op het ontstaan van Bogatsjev’s spionageactiviteiten los. Blijkbaar verklaarde een band met de overheid waarom Bogatsjev wegkwam met zoiets misdadigs, maar die wierp ook nieuw licht op een paar mijlpalen in het bestaan van Zeus. Het systeem dat Slavik gebruikte voor zijn inlichtingenqueries dateerde ongeveer van het moment in 2010 waarop hij deed alsof hij ‘met pensioen’ ging en de toegang tot zijn malware exclusief maakte.

Mogelijk was Slavik ergens in dat jaar op de radar van de Russische geheime diensten verschenen en stelde de staat bepaalde eisen in ruil voor toestemming om zonder rechtsvervolging fraude te mogen plegen – uiteraard buiten Rusland. Om daar efficiënt en in het diepste geheim aan te kunnen voldoen, haalde Bogatsjev de teugels rond zijn criminele netwerk aan.

De ontdekking dat Bogatsjev waarschijnlijk banden met inlichtingendiensten onderhield maakte de operatie om GameOver uit te schakelen riskant, vooral als het ging om samenwerking met Rusland. Verder verliep alles voorlopig volgens plan. Nu de rechercheurs Bogatsjevs identiteit kenden kon hij eindelijk als brein achter GameOver Zeus worden aangeklaagd. Amerikaanse openbare aanklagers haastten zich om gerechtelijke bevelen uit te vaardigen met als doel het netwerk over te nemen. Negen van de vijfenvijftig medewerkers van het Amerikaanse openbaar ministerie in Pittsburgh zaten op de zaak. Het team vroeg internetproviders de proxyservers van GameOver over te mogen nemen zodat ze die op het juiste moment konden ‘omzetten’ om Slavik het beheer afhandig te maken. Intussen stonden het Amerikaanse ministerie van Binnenlandse Veiligheid, de Carnegie Mellon University en enkele antivirusbedrijven klaar om klanten te helpen de macht over hun geïnfecteerde computers terug te geven.

Aan het einde van de lente van 2014, terwijl pro-Russische troepen in Oekraïne vochten, stonden de troepen onder leiding van de Amerikanen klaar om GameOver over te nemen. Ze troffen al een jaar voorbereidingen. ‘Tegen die tijd kenden de onderzoekers de malware beter dan Slavik,’ zegt Elliott Peterson, een van de FBI-agenten die de operatie leidden. Mularski liep met het team alles nog eens door: ‘We zijn er juridisch, praktisch en technisch toe in staat.’ Enkele tientallen medewerkers, die communiceerden via ruim zeventig internetproviders, en nog eens tien handhavende instanties – van Canada en het Verenigd Koninkrijk tot Japan en Italië – zetten zich schrap om de aanval op vrijdag 30 mei in te zetten. Het Witte Huis was over het plan ingelicht en wachtte de resultaten af.

De week voorafgaand aan de aanval was het een en al chaos. De code die Werner had geschreven bleek nog niet klaar en de laatste gerechtelijke bevelen waren nog niet binnen. En het dreigde ook nog eens bijna mis te gaan.

Het team wist al maanden dat het GameOver-botnet werd beheerd via een server in Canada. Maar enkele dagen voor de aanval kwam het erachter dat er een tweede server in Oekraïne stond. De schrik sloeg iedereen om het hart. ‘Als je niet eens weet dat er een tweede server is,’ zegt Werner, ‘hoe weet je dan of er niet ook een derde is?’

Op donderdag sprak Stone-Gross zorgvuldig de tijdens de aanval te volgen procedure met alle internetproviders door. Op het laatste moment haakte er een af, bang dat hij zich de woede van Slavik op de hals zou halen. Vervolgens kwamen Werner en Stone-Gross erachter dat een van de partners, McAfee, per ongeluk een blogbericht over de aanval had gepost.

Nadat het bericht was verwijderd kon de aanval beginnen. Canadese en Oekraïense autoriteiten legden de command servers van GameOver een voor een plat. Werner en Stone-Gross leidden de zombiecomputers intussen om naar de uitgekiende sinkhole, waarmee ze de toegang van de Business Club tot zijn systemen blokkeerden. Urenlang leek de aanval geen effect te hebben; de onderzoekers speurden intensief naar bugs in hun code.

“Het was een cyberversie van een man-tegen-mangevecht,” volgens de Pittsburghse aanklager David Hickton. “Fantastisch om naar te kijken”

Rond enen had de sinkhole nog maar ongeveer honderd computers aangesproken, een minuscuul percentage van het botnet, dat was uitgegroeid tot minstens een half miljoen computers. Een hele stoet medewerkers keek in een vergaderzaal mee over de schouders van Werner en Stone-Gross terwijl ze hun code bugvrij maakten. ‘We willen jullie niet onder druk zetten, hoor,’ drong Mularski op een gegeven moment aan, ‘maar het zou wel fijn zijn als jullie de boel aan de praat kregen.’

Eindelijk begon het dataverkeer naar de sinkhole te lopen. Aan de andere kant van de wereld kwam Bogatsjev online. De aanval verstoorde zijn weekend. Misschien was hij eerst niet erg onder de indruk omdat hij eerdere aanvallen eenvoudig had afgeslagen. ‘Hij keek de kat uit de boom, want wist niet wat we hadden gedaan,’ herinnert Peterson zich. Maar toen gordde Bogatsjev zich opnieuw aan voor de strijd om het beheer over zijn netwerk te behouden. Hij testte het, leidde verkeer om naar nieuwe servers en probeerde de strategie van het team te ontrafelen. ‘Het was een cyberversie van een man-tegen-mangevecht,’ volgens de Pittsburghse aanklager David Hickton. ‘Fantastisch om naar te kijken.’

Het team kon de communicatie van Bogatsjev zien zonder dat hij het wist en schakelde zijn Turkse proxyserver uit. Vervolgens zagen ze dat hij via het anonieme Tornetwerk opnieuw online probeerde te komen in een wanhopige poging de schade te beperken. Ten slotte, nadat hij urenlang het ene na het andere gevecht had verloren, zweeg Slavik. De aanval werd hem te veel. ‘Hij moet hebben beseft dat justitie erachter zat en het niet zomaar een aanval van experts was,’ zegt Stone-Gross.
Het team in Pittsburgh haalde de hele nacht door. Zondagavond, bijna zestig uur later, wist het dat het had gewonnen. Op maandag 2 juni maakten de FBI en het ministerie van Justitie bekend dat het botnet was uitgeschakeld en dat tegen Bogatsjev een aanklacht op veertien punten was ingediend.

In de weken daarna namen Slavik en het team nog een paar keer de wapens op – Slavik voerde een tegenaanval uit toen Werner en Stone-Gross een presentatie hielden op een conferentie in Montreal – maar uiteindelijk won het team. Twee jaar later duurt het succes nog steeds voort: het botnet is niet opnieuw opgebouwd, hoewel wereldwijd nog zo’n vijfduizend computers met Zeusmalware zijn besmet. De sinkholeserver slokt al hun dataverkeer op.

Nasleep

Ongeveer een jaar na de aanval is zogeheten account-takeover-fraude nog steeds aan de orde van de dag. Onderzoekers en rechercheurs gingen er al langer vanuit dat tientallen bendes verantwoordelijk zijn voor grootschalige cybercrime tussen 2012 en 2014. Bijna alle diefstallen waren echter gepleegd door de Business Club. ‘Toen ik met dit werk begon zaten ze overal,’ zegt Peterson, ‘maar het is maar een klein netwerk, dat gemakkelijker is uit te schakelen dan je zou denken.’

In 2015 zette het Amerikaanse ministerie van Buitenlandse Zaken een premie van 3 miljoen dollar op het hoofd van Bogatsjev, de hoogste van de VS voor een cybercrimineel ooit. Hij is nog steeds op vrije voeten. Volgens bronnen bij Amerikaanse inlichtingendiensten gelooft de overheid helemaal niet dat Bogatsjev heeft deelgenomen aan de Russische campagne om de Amerikaanse verkiezingen te manipuleren. De regering-Obama zou hem onderdeel van de sancties hebben gemaakt om druk op de Russische overheid uit te oefenen. Ze hoopte dat de Russen Bogatsjev wilden overdragen als teken van goede wil, want het botnet waarmee hij succes had bestaat niet meer. Of misschien was de bijbedoeling dat iemand die 3 miljoen zou willen cashen door de FBI te tippen.

Maar de ongemakkelijke waarheid is dat Bogatsjev en andere Russische cybercriminelen ver buiten het bereik van Amerika liggen. De grote vragen in verband met de GameOver-zaak – Wat is de precieze relatie tussen Russische inlichtingendiensten en Bogatsjev? Klopt het dat hij zo’n 100 miljoen dollar heeft buitgemaakt? – werpen hun schaduw vooruit op de uitdagingen die de onderzoekers van de verkiezingsfraude staan te wachten.

Ook Mularski’s team en de cybersecurity-industrie staan nieuwe uitdagingen te wachten. De tactieken waar Bogatsjev in pionierde zijn gemeengoed geworden. Ransomware verspreidt zich steeds sneller. De botnets van nu – zoals Mirai, een netwerk van besmette Internet-of-Things-apparaten – zijn nog gevaarlijker dan de zijne.
Geen mens weet intussen wat Bogatsjev bekokstooft. In Pittsburgh komen regelmatig tips binnen over zijn vermeende verblijfplaats. Niets wijst erop dat hij weer actief is. Nog niet.

Auteur: Garrett M. Graff

Wired
Verenigde Staten, maandblad, oplage 750.000

Wired bericht in print en online over de verbanden tussen technologische ontwikkelingen en cultuur, politiek en economie. Absolute referentie voor internationale technologie. Spraakmakende covers, ongeëvenaarde inhoud.