Met een ddos-aanval een netwerk als dat van Belnet platleggen, hoeft niet zo erg veel te kosten. Maar waar moet u als uitvoerder dan geld aan besteden?
De bevoegde Kamercommissie organiseerde onlangs een reeks hoorzittingen over de cyberveiligheid. Ons land werd recent getroffen door cyberaanvallen. De ddos-aanval waarmee cybercriminelen begin mei Belnet bestookten sprong daarbij in het oog.
Enkele duizenden euro’s
Miguel De Bruycker van de CCB (Centrum voor Cybersecurity België) legt uit hoe die ddos-aanval op Belnet technisch kon plaatsvinden. ‘Om die te organiseren, moet je geen overheidsdienst of inlichtingendienst zijn’, luidt het. ‘Het volstaat om enkele duizenden euro’s te investeren. Daarvoor moet je geen overgrote inlichtingendienst zijn.’
Marc Vael, ciso bij Esko en voorzitter van it-vereniging SAI, kan zich grotendeels vinden in dit bedrag. Maar wat bepaalt de hoogte van dat bedrag? ‘De grootte van het botnet dat je gebruikt’, stelt hij. ‘Een klein doelwit, bijvoorbeeld een klein bedrijf, is in dat opzicht goedkoper dan een overheidsnetwerk als Belnet.’
Competitieve markt
De markt voor ddos-aanvallen is competitief, maar de prijzen kunnen variëren, antwoordt Stefaan Hinderyckx, vicepresident security bij NTT, als we hem de vraag naar kostprijs voorleggen. ‘Op zich kan je inderdaad al voor een paar honderd dollar per dag een aanval laten uitvoeren.’
Die kostprijs hangt, volgens Hinderyckx, voor een stuk af van hoe goed het doelwit beveiligd is. ‘Daarbij zijn twee factoren doorslaggevend. Eerst en vooral moeten aanvallers de beveiligingsslaag in de cloud passeren, daarnaast ook nog de on-premise bescherming van de organisatie in kwestie. Vaak gaat het hier om gesofisticeerde securitytoepassingen die een gespecialiseerde kennis van de cybercriminelen vergen’, oppert hij. ‘Daar hangt natuurlijk een prijskaartje aan vast. En dan zal de prijs wel hoger liggen dan een duizendtal dollars.’
Ddos-as-a-service
Ook Hinderyckx oppert het fenomeen van ddos-as-a-service. ‘Cybercriminelen bieden op het dark web ddos-aanvallen aan als dienst. Daaraan is dan een organisatie verbonden, inclusief sla’s en klantenservice. Als je een ddos-aanval bestelt, betaal je daar dus ook voor mee.’
Toch betwijfelt Hinderyckx of het Belnet-incident het werk is van een student die dit voor een zacht prijsje heeft kunnen bewerkstelligen. ‘Het gaat om een complex incident dat meer dan tweehonderd organisaties heeft getroffen, waarvan sommige goed beveiligd’, oppert hij. ‘Nu zat er achter de ddos-aanval op ING in 2018 ook wel een student, dus op zich is het mogelijk. Maar of het waarschijnlijk is?’
Haast onmogelijk op te sporen
Veel vraagtekens dus. Volgens Miguel De Bruycker van CCB is er alvast geen enkele aanwijzing dat de cyberaanval op Belnet begin vorige maand vanuit China zou zijn gekomen. ‘Iedereen kan zo’n ddos-aanval organiseren’, was de teneur. Ook een vertegenwoordiger van de staatsveiligheid verklaarde dat er geen elementen zijn die ondubbelzinnig wijzen op de betrokkenheid van een zogenaamde staat actor.
Een van de redenen hiervoor is dat botnets intussen behoorlijk geraffineerd werken. Eigenlijk kan je spreken van een gevirtualiseerde botnet. ‘Er is geen rechtstreekse lijn tussen de zogenaamde command and control en het botnet. Daar zitten tegenwoordig tussenstations tussen’, aldus Marc Vael. ‘Zo kan je haast onmogelijk te weten komen wie aan de knoppen zit.’
