Tegelijk met het oprollen van de bende heeft de Nederlandse politie vier blokken van ip-adressen laten 'bevriezen' bij het in Amsterdam gevestigde RIPE. Die Europese beheerder van ip-adressen, heeft op last van de politie vier blokken van IPv4-adressen geblokkeerd. Dit houdt in dat de eigenaar van de ip-adressen geen wijzigingen kan doorvoeren in de registratiegegevens bij RIPE.

VS vroeg hulp

Persvoorlichter Wim de Bruin van het Landelijk Parket bevestigt tegenover Webwereld de link met de FBI-operatie. Technische details over de Nederlandse bijdrage moet hij nog navragen. Hij vertelt al wel dat de Amerikaanse politie de Nederlandse collega's om rechtshulp heeft gevraagd. Die bestaat uit het laten blokkeren van de verdachte ip-adressen.

“Er zijn in ieder geval geen Nederlandse huiszoekingen gedaan en geen Nederlandse verdachten. Anders hadden we het zelf ook naar buiten gebracht", voegt hij daaraan toe.

Verkeer onderscheppen

Security-expert Ronald Prins van forensisch bedrijf Fox-IT speculeerde al tegenover Webwereld dat deze actie mogelijk gerelateerd is aan het oprollen van de DNS-bende. “De DNS-servers draaiden op bepaalde ip-adressen. Nu zijn die vervangen door servers van de politie zelf."

De opgerolde malwarebende heeft wereldwijd vier miljoen pc's weten te besmetten. Dat is gedaan via malafide DNS-servers. Prins vertelt dat de RIPE-blokkering door de Nederlandse politie ervoor kan zorgen dat de besmette computers hun verbinding blijven houden. Alleen is dat dan niet meer met de malafide machines, maar met de politie-servers".

'Creativiteit van Nederlandse politie'

Prins: “Het is wel toevallig dat beide nieuwtjes vandaag naar buiten komen." Het blokkeren van wijzigingen aan de blokken is volgens hem uniek. “Het toont in ieder geval de creativiteit van de Nederlandse politie aan", vertelt hij Webwereld.

Ook netwerkexpert Paul van Brouwershaven, cto van Networking4all, geeft aan dat het bevriezen van de blokken ip-adressen nooit eerder is gebeurd. Hij heeft na nader onderzoek ontdekt dat de blokkade in ieder geval de ip-adressen van het Oekraïense bedrijf Promnet omvat. De website van dat RIPE-lid is op dit moment niet meer operationeel, maar nog wel terug te vinden in de cache van Google.

FBI-operatie

De FBI heeft na een twee jaar durend onderzoek zeven Oost-Europeanen gearresteerd. Ze worden verdacht van grootschalige DNS-oplichting waarmee een buit van ruim tien miljoen euro is binnengehaald. De oplichters hebben vier miljoen computers in honderd landen besmet met malware. Deze computers zijn bij het bezoeken van populaire websites omgeleid naar malafide advertentiepagina's. Het gaat om 15.000 populaire sites en diensten, waaronder Netflix en iTunes.

“De FBI heeft ons gevraagd mee te werken aan het onderzoek", vertelt KLPD-woordvoerder Jos Klaren. Het korps heeft daarvoor de landelijke High Tech Crime Unit ingeschakeld. Dat onderdeel van het korps is gespecialiseerd in cybercriminaliteit. “We maken er geen geheim van dat we vaker samenwerken met de Amerikaanse autoriteiten. Dat gebeurt met regelmaat." Hij wilde verder geen details geven. De Bruin van het Landelijk Parket heeft dat later wel gedaan.

Multinational bende

Het malafide DNS-netwerk werd gerund door zes Esten en één Rus. De servers van het netwerk bevinden zich in New York en Chicago. De High Tech Crime Unit is de enige buitenlandse autoriteit die in een statement van de FBI wordt bedankt voor medewerking.

Jasper Bakker heeft bijgedragen aan dit artikel.