Securityproject Melissa hackt Russische hackers

Na Deadbolt en Genesis Market moest onlangs Qakbot eraan geloven. Mede dankzij cyberproject Melissa werden deze internationale hackersgroepen opgerold. Arwi van der Sluijs van cybersecuritybedrijf NFIR stond twee jaar geleden aan de wieg van Melissa. En niet alleen uit commerciële overwegingen. “In de honderden uren werk voor onze klanten, vinden wij cruciale data. De bijvangst is informatie over hackers, die we graag ‘om niet’ delen met politie en OM.”


Directeur Arwi van der Sluijs van NFIR is een man met een mening. Bijvoorbeeld over het explosieve vraagstuk van IP-adressen en persoonsgegevens. “Wij vinden dat IP-adressen persoonsgegevens zijn als ze aan een persoon hangen, niet als ze aan een server hangen. Als de AP (Autoriteit Persoonsgegevens, red.) dat gaat accepteren, wordt het veel gemakkelijker om dreigingsinformatie te delen.”

Het delen van dreigingsinformatie is waar het om draait bij het twee jaar geleden opgerichte cyberproject Melissa, waar naast NFIR, Northwave en FoxIT onder meer Deloitte, advocatenkantoor Kennedy Van der Laan, de politie en het OM bij betrokken zijn. Volgens Van der Sluijs is Melissa “een groot succes” en daar is iets voor te zeggen. Samen met partijen in de VS, Letland en vier andere landen hielp Melissa onlangs bij de verwijdering van de kwaadaardige software Qakbot op 700.000 besmette computers in zeven landen.

Waarom werkt een klein cybersecuritybedrijf als NFIR mee aan Melissa?

“Goeie vraag. Het kost NFIR tienduizenden euro’s per jaar aan beveiligde servers en software. Ook bedrijfstechnisch is het niet direct voordelig. We steken er een hoop tijd in. Ondertussen zien we het aantal incidenten flink afnemen bij onze zakelijke klanten. We hebben minder werk. Dat komt door het grote aantal nieuwe toetreders en door de oorlog in de Oekraïne. Hackers in Oekraïne en Rusland zijn meer op elkaar gericht en minder op het West-Europese bedrijfsleven. En daar komt nóg iets bij: het succes van Melissa zelf bij het uitschakelen van invloedrijke hackersgroepen. Je zou dus kunnen zeggen dat we in onze eigen voet schieten met deelname aan dit project. Maar we willen gewoon een bijdrage leveren aan een veiligere maatschappij. En het is voor IT´ers ook nog eens ongelofelijk leuk werk. Het is de Champions League voor IT, zou je kunnen zeggen.”

Wat is de toegevoegde waarde van Melissa? Er zijn al zoveel samenwerkingsverbanden voor cyberveiligheid.

“Welke? Ik zit in het hart van de cyberellende en ken die samenwerkingsverbanden niet. Ik ken alleen Cyclotron, waarin het Ministerie van Justitie en bedrijfsleven samenwerken. Maar goed, wat wij toevoegen: drie omgetrokken criminele organisaties in één jaar tijd. Onze deelnemers zijn begeistert om informatie te delen met politie en OM. Wel hopen we dat de politie iets opener gaat worden over wat ze met onze informatie hebben gedaan en in de toekomst ook feedback gaat terugkoppelen.”

Hoe is Qakbot kaltgestellt?

“Qakbot is een Russische groep die zich invreet, pc’s besmet en op elk moment kan besluiten om systemen op slot te zetten en losgeld te vragen of pc’s als bot te gebruiken om vandaaruit verder te springen. Tijdens een bijeenkomst van Melissa kwamen we een onbekend IP-adres tegen waar we last van hadden. Het bleek uiteindelijk te gaan om een belangrijk commando- en controlecentrum van Qakbot dat gehost werd in een Nederlandse stad waarvan ik de naam niet wil noemen. Daarop vorderde de Officier van Justitie toegang tot de server. Pas een aantal weken geleden hoorden we dat onze interventie een doorbraak is geweest in het omtrekken van Qakbot, een wereldwijd netwerk met activiteiten in zeven landen. De FBI bracht trouwens het nieuws naar buiten en is met de eer gaan strijken.”

Tot nu toe moest per onderzoek geregeld worden dat uitwisseling van data aan vijf verschillende wetten voldeed, waaronder de AVG, Wet op de Rechterlijke Organisatie en Wet Beveiliging Netwerk- en Informatiesystemen. Nu is dat allemaal gekoppeld en daar profiteert Melissa van. Maar uitwisselen van data en koppelen van bestanden stuit op bezwaren bij burgers. Hoe verdedig je de legitimiteit van jouw werk tegenover critici?

“Wij helpen zakelijke klanten na een hack zo snel mogelijk weer back to business te komen. In onze zoektocht vinden wij cruciale data. De bijvangst is dat we ook gevoelige informatie over hackers vinden. Voor de politie zitten wij op een gouden punt: het eindpunt van een aanval. Wij kunnen honderden uren in projecten voor onze klanten steken. Die tijd hebben politie en OM niet. Dat is onze maatschappelijke bijdrage.”

Hoe voorkomen bedrijven dat ze losgeld moeten betalen?

“Door hun IT goed op orde te hebben, met een back-up die niet te bereiken is via het internet. Maar de werkelijkheid is weerbarstig. Van onze gehackte klanten betaalt zo’n 30 procent losgeld. Dat is een keuze. Overheidsinstellingen betalen niet, zij kunnen zich dat veroorloven. Bedrijven moeten soms wel overstag gaan om hun bedrijf draaiende te houden. De vragen die ze aan ons stellen? Kan ik onderhandelen met de hackers? Kan ik ze vertrouwen?”

Wat kunnen we de komende tijd van Melissa verwachten?

“Dat zijn lopende onderzoeken waar de politie niks over wil zeggen. Maar er zou zomaar een vervolg op Qakbot kunnen komen, misschien dit jaar nog. Daarnaast willen we verder professionaliseren. Binnenkort wordt ons convenant gepubliceerd met de do’s en dont’s voor deelnemers. Melissa is geen exclusief clubje. Partijen die aan de criteria voor data delen voldoen, mogen participeren.”

recente artikelen

gepubliceerd in diverse (vak)media

TASC: nieuw aanvalsplan voor technische talenten

Techniekschool TASC is het Amsterdamse antwoord op het tekort aan vakkrachten. Directeur Odilon Romero: “We hebben nu 140 leerlingen. Dat moeten er 500 worden.”

Lees artikel »

Diedert de Wagt's frisse kijk op geopolitiek krachtenspel

Tien jaar werkte geschiedkundige Diedert de Wagt aan ‘Bij gebrek aan beter’, een analyse van de onbekende kant van het officiële geopolitieke verhaal.

Lees artikel »

Camera's op bouwplaats tarten privacy personeel

Camera's op bouwplaatsen zijn ingeburgerd voor monitoring van diefstal en koppelingen met bedrijfsnetwerken. Mooi maar er is een keerzijde: privacyrisico's voor personeel.

Lees artikel »

Extreem veel IT'ers raken overwerkt en opgebrand

Uit recente studies blijkt dat IT'ers vijf keer meer kans hebben op een burn-out dan andere professionals. Gaat de IT-sector ten onder aan het eigen succes? "Durf eens te falen."

Lees artikel »

Nanoknutselen in de cleanroom van TU Delft

Het Else Kooi Lab van de TU Delft is een cleanroom van wereldformaat. Op 20 maart mocht de pers naar binnen. "De volgende stap? Deeltjes isoleren op atomair niveau op één chip."

Lees artikel »

Hoe gaan we dat doen, samenwerken met bots?

Volgens leiderschapsgoeroe Joseph Folkman stelt AI nieuwe eisen aan managers. Ze moeten kunnen samenwerken in hybride teams met bots en mensen die (soms) meer weten dan zij.

Lees artikel »

“Wat gezondheid is mag iedereen zelf bepalen”

Noord-Limburg wil de gezondste regio van Nederland worden en heeft grootse plannen. Het klinkt aantrekkelijk maar een burgerraadslid uit Horst aan de Maas heeft felle kritiek.

Lees artikel »

Securityproject Melissa hackt Russische hackers

Na Deadbolt en Genesis Market werd onlangs de hackersgroep Qakbot opgerold, mede dankzij het cybersecurityproject Melissa. Arwi van der Sluijs is er trots op en vertelt.

Lees artikel »

Pfas-zaak Dordrecht zet forever chemicals op radar

Het gevaar van pfas voor de volksgezondheid is niet meer te bagatelliseren door de recente rechtszaak tegen Chemours in Dordrecht. Maar pfas is here to stay. Hoe nu verder?

Lees artikel »

Het wonder van geperst, verhit en gefilterd gras

Start-up Grassa claimt meer eiwit uit gras te kunnen halen dan de koe. Gras is niets minder dan een wonderplantje volgens directeur Rieks Smook: "Er kan zoveel méér met gras."

Lees artikel »