Nederlandse Wikileaks-inval blijkt Bredolab-actie
Gepubliceerd: Donderdag 9 december 2010
Auteur: Andreas Udo de Haes
De DDoS-aanval van Anonymous op Mastercard werd opgezet vanuit een site die in Haarlem draaide. Maar het rechercheonderzoek betreft alleen de confiscatie van 143 servers van het Bredolab-botnet.
Gisteravond meldde de NOS dat de Nationale Recherche een grootschalig onderzoek was begonnen naar de aanval op de internetsite van MasterCard, geïllustreerd met beelden van een politiebus en een team rechercheurs op het terrein van het Haarlemse datacenter Evoswitch, waar de grootste hoster van Nederland zit, Leaseweb.
Inbeslagname 143 Bredolab-servers
Eerder was gebleken dat de cyberguerilla's van Anonymous Operation of (AnonOps) een site hadden gehost op die locatie. Die groep heeft gisteren zowel de site Mastercard als Visa met een DDoS-aanval platgelegd, uit wraak dat zij betalingen aan Wikileaks blokkeren.
De politiebus en 'rondspeurende' rechercheurs die de NOS vastlegde hebben niets met AnonOps te maken. "De Nationale Recherche was bij LeaseWeb om een aantal van de 143 'Bredolab' servers veilig te stellen, er is geen verband met 'anonops.net', meldt Alex de Joode, Security Officer van LeaseWeb desgevraagd.
De website AnonOps stond wel in het netwerk van LeaseWeb, maar draaide bij een reseller, aldus De Joode. "LeaseWeb heeft geen bemoeienis gehad met een eventuele 'takedown'. We weten dus niet of de website vrijwillig door de betreffende klant is weggehaald of door de reseller."
Viraal paniekoffensief
Niet lang na de DDoS-aanval startte AnonOps een offensief met als doel paniek te zaaien over vermeend gelekte creditcardnummers van Mastercard, in de hoop dat mensen massaal hun creditcard zouden opzeggen.
Er werd opgeroepen om het bericht over een megalek van miljoen Mastercard-nummers viraal te verspreiden, onder meer door Google te misleiden via automatisch gegenereerde zoekacties op "Mastercard deemed unsafe".
Tevens werd er een lijst met vermeende creditcardnummers upgeload naar PasteBin. Mastercard stelt via zijn webcareteam dat de nummers nep zijn en klantgevevens veilig.
Wel is door de DDoS het betalingsverkeer van Mastercard kortstondig verstoord. Dit omdat de site van Mastercard en de verificatiedienst SecureCode op dezelfde infrastructuur draaien.
DDoS is 'digitale sit-in'
Rond 21.00 Nederlandse tijd werd via het Twitter aangekondigd dat Visa.com een uur later zou worden aangevallen. En inderdaad lag de site van de grootste creditcardmaatschappij ter wereld meteen toen de aanval begon offline. Zowel Twitter als Facebook blokkeerden vervolgens de accounts van Anomymous Operation, maar al snel doken alternatieve accounts op.
In een verklaring stelt Anonymous dat het geen wraakzuchtige intenties heeft maar strijd voor vrijheid in het algemeen en vrijheid van meningsuiting in het bijzonder. De DDoS-aanvallen zijn feitelijk een digitale variant van de sit-in, stelt de groep. "Onze methoden lijken wellicht bruut tegen de entiteiten waartegen we campagne voeren, maar onthoud dat zij door het steunen van censuur iedereen een fundamenteel mensenrecht ontzeggen."
Het KLPD, Openbaar Ministerie en Evoswitch waren niet direct bereikbaar voor commentaar.
