In september 2017 opgericht. In mei 2018 al 1 miljard dollar waard. De Amerikaanse scooterverhuurder Bird bereikte het snelst ooit de status van ‘unicorn’.
Ruim vijf jaar later is er van die status niets meer over. Woensdag vroeg Bird uitstel van betaling aan in de Verenigde Staten via een zogenoemde Chapter 11-procedure. Interim-topman Michael Washinushi blijft aan om de „financiële herstructurering” te leiden. Met hulp van een extra 25 miljoen dollar van investeerders probeert Bird, actief in 350 steden, nog te redden wat er te redden valt.
De werkzaamheden van Bird in Europa gaan voorlopig door. Bird, dat naast scooters ook elektrische steps verhuurt, was in Nederland onder meer actief in Amersfoort en Groningen. Op dit moment is er in Nederland geen scooter of fiets van Bird meer te huur.
In Nederland heeft Bird in Amsterdam, op het Rokin, wel zijn internationale hoofdkantoor gevestigd, waar echter al een jaar niemand meer werkt, zo blijkt uit navraag. Onduidelijk is hoeveel mensen er werkzaam zijn en of zij hun baan houden. Het bedrijf was donderdag niet bereikbaar voor verder commentaar.
In het Amsterdamse kantoor van Bird werkte al een jaar niemand meer
Grote investeringen
Waar ging het mis bij Bird? In 2018 profiteerde het bedrijf van het succes van verhuurder Airbnb en taxi-app Uber, op dat moment de grootste start-up ter wereld. Investeerders stapten massaal in bedrijven die de ‘deeleconomie’ vertegenwoordigden, het verhuren van producten voor algemeen gebruik. In het geval van Bird vergde dit grote investeringen. Het bedrijf schafte zelf scooters en fietsen aan en nam de reparatie daarvan voor eigen rekening.
Lees ook Elektrische deelscooter moet stad van auto’s verlossen
Bergafwaarts
Daarna ging het snel bergafwaarts met Bird, dat in 2022 op een omzet van 245 miljoen dollar een verlies van 359 miljoen dollar leidde. Bird bleek de kosten te hebben onderschat en kon de laatste jaren steeds moeilijker aan goedkope financiering komen. De pandemie raakte het bedrijf hard. Bird moest tijdens de lockdowns zijn activiteiten in de VS en Europa noodgedwongen stilleggen en ontsloeg 30 procent van het personeel.
Lees ook Amsterdam zet vol in op deelauto’s, deelscooters, deelbakfietsen
nog even in beeld was om het failliete fietsenmerk VanMoof te kopen, verloor deze week zijn Amerikaanse beursnotering. Het Nederlandse GoSharing trok zich eerder dit jaar terug uit tientallen gemeenten. En het Duitse Tier ontsloeg vorige maand 140 werknemers, bijna een kwart van het personeelsbestand.
Topman VanderZanden maakte de grootste problemen van zijn bedrijf niet meer mee. Hij verliet Bird in juni dit jaar om onduidelijke redenen. De oprichter meldde bij zijn vertrek „te gaan werken aan een aantal nieuwe ideeën”.
Portugal heeft voor de tweede keer de Nations League gewonnen. De ploeg van bondscoach Roberto Martínez versloeg Spanje in München na strafschoppen. Het duel was na negentig minuten in 2-2 geëindigd, in de verlenging werd niet gescoord. De Spanjaard Álvaro Morata was de enige voetballer die miste vanaf elf meter.
Portugal won in 2019 ook de eerste editie van het landentoernooi dat werd geïntroduceerd als vervanging van oefeninterlands. Het won toen in de finale van Nederland met 1-0. De Portugezen hadden woensdag Duitsland uitgeschakeld in de halve finales. Spanje bereikte de finale door een spectaculaire zege (5-4) op Frankrijk.
De eerste kans was voor de Portugees João Neves die via de grond naast schoot. Aan de andere kant schoot Nico Williams net over. In de 21e minuut was het wel raak. Martín Zubimendi rondde een zelf opgezette aanval af. De begeerde middenvelder van Real Sociedad profiteerde van een misverstand tussen Neves en doelman Diogo Costa.
Vijf minuten later stond het alweer gelijk. Nuno Mendes, vrijgelaten door de Spaanse verdediging, schoot raak in de verre hoek achter de Spaanse doelman Unai Simón. Kort voor rust namen de Spanjaarden weer de leiding via Mikel Oyarzabal, die na een pass van Pedri vrij voor Costa afrondde.
Spanje, met de in Nederland geboren Dean Huijsen centraal achterin, leek het duel onder controle te hebben, maar Cristiano Ronaldo maakte na ruim een uur gelijk. De 40-jarige aanvaller schoot raak uit een door de Spaanse verdediger Robin Le Normand van richting veranderde voorzet van Nuno Mendes.
De Portugezen claimden een strafschop toen Nuno Mendes door Le Normand werd gestuit. De Spaanse sterspeler Lamine Yamal keerde na het eerste deel van de verlenging niet meer terug. De 23 jaar oudere Ronaldo was eerder al gewisseld. Zij zagen vanaf de kant hoe de Spaanse invaller Pedro Porro met een schot van ver doelman Costa bijna verraste. Het was vrijwel de enige kans omdat de fut er bij de meeste spelers na een lang seizoen wel uit was. In de strafschoppenserie miste Morata de vierde, waarna invaller Rúben Neves het duel besliste.
De mannenfinale van Roland Garros is drie uur en negen minuten onderweg als Jannik Sinner, de nummer 1 van de wereld, drie matchpoints krijgt. De droomfinale lijkt na vier sets voorbij te zijn. Sinner is te stabiel, Alcaraz juist iets te onstuimig, de Italiaan is tot dat punt nét iets beter.
Maar twee uur en twintig minuten later is het toch de Spanjaard die zichzelf met een laatste briljante winner tot kampioen van het toernooi kroont. Dat doet hij na een bloedstollende vijfde set en een beslissende tiebreak waarin hij tennis speelde „van een andere planeet”, aldus commentator Marcella Mesker.
De vraag in het tennis was lange tijd of de sport waardige opvolgers zou voortbrengen van Roger Federer, Rafa Nadal en Novak Djokovic, het drietal dat zoveel onvergetelijke finales speelde tegen elkaar. Zondag in Parijs gaven Alcaraz en Sinner het antwoord door vijf uur en negentwintig minuten op topniveau met elkaar te strijden om ieder punt. Steeds weer werd verdediger aanvaller, en werd de even daarvoor dominante speler weer in de verdediging gedrukt.
De verwachtingen waren vooraf al hooggespannen. De nummer één tegenover de nummer twee. De man die het hele toernooi nog geen set had verloren (Sinner) tegen de titelverdediger die hun laatste vier onderlinge ontmoetingen had gewonnen (Alcaraz). Een contrast in speelstijlen en in persoonlijkheden, een rivaliteit met als kenmerk dat bijna elke onderlinge wedstrijd lang, spannend en intens is. Dit was de eerste keer dat de twee elkaar troffen op het hoogste podium: de finale van een grandslam.
Langste finale ooit
Het werd de langste Roland Garros-finale ooit, alle verwachtingen werden met gemak overtroffen. De eerste game duurde al elf minuten. De rally’s waren lang, met prachtige winners, maar ook onnodige fouten aan beide kanten. Sinner moest al snel meerdere breakkansen wegwerken, de spanning zat er meteen goed in. Dat was in de rest van de partij niet anders.
Jannik Sinner had in de vierde set drie matchpoints, maar leverde de set toch in.
Foto EPA / Christophe Petit Tesson
Het tempo lag ongelofelijk hoog, met rake, harde klappen over en weer. Beide spelers waren agressief, probeerden de rally’s te dicteren en de ballen ‘vroeg’ te nemen. Het was de eerste twee sets Sinner die het stabielst was, de minste fouten maakte en de controle hield over de harde slagen van zijn tegenstander.
Alcaraz begon agressiever, maar was ook slordiger. Zijn befaamde dropshot, waarmee hij normaal gesproken zoveel punten weet te winnen, ging vaak mis of viel te ver achter het net om dodelijk te zijn. Dat was ook de verdienste van de Italiaan: die is zo snel dat Alcaraz gedwongen is de dropshot heel kort te spelen, met alle risico van dien.
Toen Alcaraz de tweede set in de tiebreak verloor en in de derde set direct zijn servicegame inleverde, lag het voor de hand dat Sinner de finale eenvoudig en vlot zou beslissen. Maar dat was buiten de vechtlust van de Spanjaard gerekend, die zichzelf met gebalde vuist oppepte voor de servicebeurt van zijn tegenstander.
Het hielp: hij brak de service van Sinner niet één, maar twee keer. De dramatiek van de derde set was daarmee nog niet voorbij, want Alcaraz moest zijn service óók weer inleveren toen hij op 5-3 serveerde voor de set. Om vervolgens juist met gemak de servicegame van de Italiaan te winnen, en daarmee de derde set.
In de vierde set leek het dan toch voorbij. Alcaraz kreeg drie matchpoints te verwerken bij een 5-3 achterstand. Juist op die penibele momenten toonde de Spanjaard hoezeer hij zijn zenuwen onder controle heeft. Juist dan speelde hij zijn beste, zijn dominantste tennis, in opperste concentratie.
Daarbij had Alcaraz het publiek op zijn hand en daar speelde hij mee door gewonnen punten uitbundig te vieren. Het gaf hem de energie om ook in de servicegame van Sinner scherp te zijn. De Italiaan serveerde voor de wedstrijd, maar liet zich afbluffen. Uiteindelijk vond Alcaraz via een tiebreak de vluchtroute naar een vijfde set.
Lang nadat Sinner op zijn bankje was gaan zitten, stond Alcaraz de setwinst nog te vieren.
Passend slot
Ook de vijfde set was lang en vol drama. Alcaraz ging door waar hij gebleven was en brak direct de service van Sinner, die het fysiek moeilijk begon te krijgen. De wedstrijd leek definitief in het voordeel uit te vallen van de nummer twee van de wereld, maar kreeg toch nog een laatste spannende wending.
Alcaraz slaagde er niet in de wedstrijd uit te serveren. En wéér ging de set naar een tiebreak. Het was een passend slot van een wedstrijd waarin beide spelers vrijwel niets voor elkaar onder deden.
In de tiebreak was het Alcaraz die een niveau haalde dat moeilijk te bevatten was. Alles wat hij probeerde, lukte. De winners vlogen Sinner om de oren, die opeens weinig meer in te brengen had. 10-2 werd het. Dat Alcaraz de finale besliste met een winner uit bijna geslagen positie, kon symbool staan voor het verloop van een van de mooiste grandslamfinales uit de geschiedenis.
Op woensdag 30 april om 8.12 uur stuurt een werknemer van het digitale ontwikkelteam van NRC een berichtje naar haar collega’s. De NRC-app is leeg, schrijft ze, lezers zien geen artikelen meer, alleen een wit scherm.
Een halfuur later schrijft een adjunct-hoofdredacteur een bericht naar het hele bedrijf. „Nrc.nl is vanochtend niet of slecht bereikbaar (ook de app werkt daardoor niet). Naar de oorzaak wordt gezocht.” Het verzoek is om nog even geen nieuwsbrieven uit te sturen. Een uur later mailt hij dat de oorzaak is gevonden. Het is een DDoS-aanval – een distributed denial of service, een stortvloed aan verzoeken van andere computers die de site overweldigt. En de aanval is nog gaande.
Op de redactievloer wordt druk gespeculeerd. Zijn het de Russen? De krant had vlak voor de aanval bericht dat tientallen websites van provincies en gemeenten werden aangevallen door een pro-Russisch hackerscollectief, NoName057(16). Die hadden Nederland op de korrel genomen wegens de miljardensteun aan Oekraïne. Of is het China? Eén dag eerder heeft de krant immers een kritisch onderzoeksartikel gepubliceerd over de lange arm van China in Nederland.
Het X-account van NoName057(16) geeft geen uitsluitsel. Daar plaatst de groep trots updates over sites die platgaan. De hackers noemen de „city of Almer” [Almere] als slachtoffer, „municiatitis is an appelldor” [Apeldoorn], „Herod of delirium” (?), „Corps in Utrecht” [USC], „Gorod Haga” [Den Haag] en „VDL Groop” [VDL Groep]. Maar NRC ontbreekt.
De NRC-site is de hele dag onbereikbaar voor lezers. De klantenservice spreekt een bandje in met uitleg. Tachtig lezers mailen. Journalisten die deze dag publiceren, balen: hun stukken verdwijnen ongelezen in de draaikolk van het nieuwe nieuws. De volgende ochtend is alles weer voorbij.
De krant is de gebeurtenis snel vergeten. Een DDos-aanval is toch een beetje als graffiti op je voordeur: je poetst het eraf en je gaat weer door.
Heggenschaar
NRC raakte nieuwsgierig naar de aanval. Valt meer te zeggen over de graffiti dan hoe je de verf verwijdert? Want één dag offline is niet zo vreselijk, maar bij elkaar opgeteld vormen DDoS-aanvallen inmiddels een hinderlijk, snelgroeiend en kostbaar probleem. Het Amerikaanse internetbedrijf Cloudflare, waarlangs een vijfde van het mondiale internetverkeer loopt, kreeg in de eerste drie maanden van dit jaar evenveel DDoS-aanvallen te verduren als in heel 2024: ruim twintig miljoen.
Het datacentrum van SkyLink in Eygelshoven, Limburg.
Foto John van Hamond
De verhouding in kosten is scheef. De benadeelde partij heeft een compleet team en tonnen aan apparatuur nodig om een aanval af te slaan, de hacker spendeert hooguit 100 euro. Alsof iemand met een heggenschaar van een paar euro de bovenleidingen van ProRail kapotknipt. Die asymmetrie maakt organisaties die leunen op online bereikbaarheid – het openbaar vervoer, de overheid, nieuwsvoorzieningen – buitengewoon kwetsbaar.
NRC wilde weten: wat gebeurde op 30 april? Wie waren de hackers? En hoe verweer je je tegen een DDos-aanval? We analyseerden daarom het logbestand van de aanval: 83 miljoen ‘regels’ (een verzoek om een pagina te laden) in 48 uur – elke regel een afgevuurde kogel.
Overbelast
De aanval begint om stipt 8.00 uur. Uit het niets sturen duizenden computers van over de hele wereld simultaan verzoeken naar de site van NRC. Binnen enkele minuten zwelt de stroom aan tot tienduizenden aanvragen per minuut. De computers zoeken bijvoorbeeld naar auteurs in de zoekbalk. Zo wordt meer dan twintigduizend keer naar economieredacteur Egbert Kalse gezocht. Ook worden pagina na pagina aan ‘volgonderwerpen’ opgeroepen, een functie waarmee lezers een dossier kunnen volgen. Contactformulieren worden ingevuld, niet-bestaande pagina’s opgevraagd, de computers zoeken met willekeurige karakters naar onzin. Al die verzoeken belasten de servers in het datacentrum in Rotterdam van hostingbedrijf Intermax, waar NRC klant is. Ze vergen veel rekenkracht – voor de kenners, op layer 7. Algauw raakt de site overbelast
Intermax bemerkt de aanval niet meteen. Als NRC een dikke scoop heeft, piekt het verkeer ook, zegt directeur Ludo Baauw in z’n kantoorboerderij bij Delft. En de malafide verzoeken die deze ochtend binnenkomen, lijken sterk op die van gewone lezers. Veel komen van de netwerken van Odido en KPN, net als bij abonnees. Na een halfuur wordt het niettemin duidelijk: dit is veel te veel.
Om 11.00 uur kan de apparatuur bij Intermax het niet meer bolwerken, andere klanten krijgen ook last van het overlopende netwerk. De provider schakelt NaWas in, een dienst die Nederlandse hostingbedrijven helpt om DDoS-aanvallen af te slaan. NaWas noemt zichzelf een ‘nationale wasstraat’ waar internetverkeer schoon uitkomt. NaWas heeft krachtige apparatuur en veel bandbreedte, waardoor grote hoeveelheden verkeer kunnen worden omgeleid en gefilterd tijdens een aanval.
Om 11.12 uur doet NaWas een technische mededeling die in enkele seconden over het hele internet gaat. Vanaf nu moet elke NRC-bezoeker eerst door de wasstraat van NaWas. Alleen verzoeken die door het filter komen, mogen naar NRC.
In theorie dan, want het blijft de hele middag hannesen. Mensen kunnen nog steeds niet of nauwelijks artikelen lezen. Het filter is eerst te streng, dan niet streng genoeg. Om 15.15 uur zet Intermax een drastische stap. Alleen verzoeken uit België en Nederland mogen nog door: een zogeheten geoblock. Het is een paardenmiddel dat alle lezers in het buitenland uitsluit – maar het is niet anders.
Eén dag offline is niet zo vreselijk, maar bij elkaar opgeteld vormen DDoS-aanvallen inmiddels een hinderlijk, snelgroeiend en kostbaar probleem
Daar hebben de aanvallers echter op gerekend, blijkt uit de logbestanden. In minder dan één seconde verandert de strategie drastisch. Vanaf dat moment komt de bulk van de verzoeken ineens uit een handjevol netwerken uit Nederland, dwars door de geoblock heen.
De hele avond en nacht blijven deze netwerken miljoenen verzoeken afvuren. Doordat de rest van de wereld is geblokkeerd, komt de site een beetje op gang, zij het traag. En dan, na precies 24 uur, is de aanval voorbij. De volgende dag gaat de blokkade eraf, daarna piept NaWas ertussenuit. De krant doet aangifte.
Daders
Wie heeft dit gedaan? Het technische team van NRC houdt de hele dag het X-account en het Telegram-kanaal van NoName057(16) in de gaten, maar ziet NRC niet langskomen.
Ludo Baauw van Intermax heft zijn handen in de lucht. Tja, zo’n DDoS-aanval is grotendeels geautomatiseerd, zegt hij. Je huurt een programmatuur en de bijbehorende computers en servers en je bent inbusiness. Het kost misschien 100 euro, iedereen kan het, zegt hij. En wat maakt het uit wie erachter zit? Vraag is hoe je hem afslaat.
Ook de DDoS-wasstraat kan geen dader aanwijzen. NaWas maakt profielen van aanvallen – wat zijn de kenmerken van de datapakketjes, welke verzoeken worden gedaan –, maar vooral om de eigen filters correct in te kunnen stellen. Daders zoeken is aan de autoriteiten. Wat NaWas wel opvalt, is dat de hackers de moeite hebben genomen om de structuur van de NRC-site te bestuderen. Dit was niet de allersimpelste aanval.
We doen een duik in de logbestanden met universitair docent en onderzoeker netwerkveiligheid Mattijs Jonker van de Universiteit Twente.
Screenshot van de NRC-website tijdens de DDoS-aanval.
NRC
In de eerste fase van de aanval, in de ochtend, komen veel verzoeken van ‘residentiële aansluitingen’, ziet Jonker: huis-, tuin- en keukenaansluitingen. Ze komen uit de hele wereld, maar ook van telecombedrijven in Nederland als KPN en Ziggo. Dat kan slaan op een ‘botnet’, een netwerk van geïnfecteerde pc’s, mobieltjes en andere apparaten die slaafs opdrachten uitvoeren zonder dat hun gebruikers dat weten. Deze verzoeken zijn nauwelijks te onderscheiden van legitiem verkeer en daarom moeilijk af te weren. Hij ziet een grote variatie in de verzoeken. „Doe dit, pak dat, vul dit in.” Die afwisseling is extra belastend voor een site.
In de tweede fase, na de geoblock, worden de thuiscomputers ingeruild voor heavy hitters waar veel aanvalskverkeer vandaan komt en die vanuit Nederland opereren, ziet Jonker. „Ze reageren héél snel op de geoblock.” Negen netwerken springen eruit, drie daarvan veroorzaken de meeste problemen. Die horen bij UAB Cherry Servers uit Litouwen, CGI Global Limited uit Hongkong en een partij met de intrigerende naam ‘Individual Entrepreneur Anton Levin’ uit Georgië. Een server van CGI verzendt tijdens de aanval bijna 950.000 verzoeken.
Cherry, leert het internet, is een gewoon hostingbedrijf met een website. Daar kunnen klanten voor 0,015 cent per uur een stukje server huren om hun site of dienst op te draaien. Of ze kunnen dat deeltje weer doorverhuren. Kwaadwillenden kunnen de server inzetten om spam te versturen, creditcardgegevens te stelen of een DDoS-actie uit te voeren, waarna ze weer verdwijnen.
CGI blijkt onder de naam HostVDS ook per uur serverruimte te verhuren. ‘Individual Entrepreneur Anton Levin’ heeft helemaal geen site.
Lees ook
Tijdens de cyberaanval op de TU waren ook de draaiboeken voor crises onbereikbaar. ‘Gelukkig zaten die in ons hoofd’
Pakketje
Het klinkt allemaal buitenlands, ver weg, ongrijpbaar. Maar de aanvallen komen door de geoblock, dus érgens vanuit Nederland.
Een hulpmiddel op internet geeft uitsluitsel. Een traceroute brengt de stapjes in kaart van een datapakketje op weg naar diens eindbestemming en meet hoelang elk stapje duurt. Tien milliseconden is Europa, twee à drie milliseconden is Nederland.
Wanneer de verslaggevers een pakketje terugsturen naar een afzenderadres van CGI Global, dan komt-ie langs Ketelskamp 10 in Meppel. Daar staat een datacentrum van internetbedrijf Serverius. NRCschreef al eerder over Serverius. Het rechts-extremistische forum 8chan en nieuwssite Daily Stormer vonden daar onderdak. Er draaide bij Serverius een Russische beïnvloedingscampagne en hostingbedrijf Koddos – vaste vindplaats van kinderporno – was klant in Meppel.
Serverius en Skylink kwamen allebei eerder in opspraak met dubieuze klanten en hun malafide activiteiten
De complianceofficer van Serverius mailt terug. CGI is inderdaad klant. Maar het huurt alleen een plek in de rekken en neemt stroom en internettoegang af voor de eigen apparatuur. Dat maakt CGI, niet Serverius, verantwoordelijk voor wat ze doen. Over de DDoS-aanval op NRC zegt de compliance officer dat ze geen raar verkeer hebben gezien. („Thank you for informing us.”) CGI reageert niet.
Het Litouwse Cherry heeft ook voet aan de grond in Nederland. Het pakketje reist via de campus van de Universiteit van Amsterdam, via internetbedrijf Equinix – een grote partij, weinig in opspraak. Cherry reageert niet op vragen van NRC. Equinix laat weten niet te kunnen controleren wat klanten doen.
Buren
Dan de mysterieuze ‘Individual Entrepreneur Anton Levin’. Milliseconden tellen geeft geen uitsluitsel. Veel verzenders reageren niet meer, of blijken nu ver weg te zitten. Wel kunnen met een ander hulpmiddeltje de peers van Anton Levin worden achterhaald: diens ‘buren’ op internet, die actief elkaars verkeer doorsluizen. De enige Nederlandse peer van ‘Anton Levin’ is het bedrijf Skylink, in Eygelshoven, Limburg.
Het datacentrum van Skylink staat naast een brandstoffen- en afvaldepot, vlak bij de Duitse grens. Achter de loodsen loopt een spoorlijntje. Achter in de tuin staan 26 grote schotelantennes.
Een paar jaar geleden bleek dat binnen het datacentrum een allegaartje aan computers bitcoins stond te minen. In 2023 kwam Skylink in het nieuws, toen de fiscale opsporingsdienst FIOD en Europol de Duitse eigenaar Marcel E. in het vizier kregen. De instanties vielen binnen bij een ander datacentrum, in Den Helder, waar Marcel E. directeur was. Vier mensen werden gearresteerd. Het Noord-Hollandse bedrijf werd verdacht van het illegaal aftappen van buitenlandse tv-zenders, om die via internet te verkopen aan een miljoen klanten in Europa.
De FIOD viel ook binnen bij Skylink in Eygelshoven. De tv-signalen kwamen mogelijk van de 26 schotels in de achtertuin. Skylink mocht open blijven, het datacentrum in Den Helder ging failliet.
In Eygelshoven neemt een technicus in het Duits de telefoon op. Zijn klanten gaat hij niet prijsgeven, zegt hij. De mail die NRC stuurt, blijft onbeantwoord. Maar de bevestiging staat gewoon op internet. Het Russische hostingbedrijf VDSKA blijkt het netwerk van ‘Anton Levin’ te beheren. Op zijn site adverteert VDSKA dat het opereert vanuit een datacentrum in Eygelshoven.
Bestookt vanuit Eygelshoven
Amsterdam, Meppel, Eygelshoven – wie bestookte via die plaatsen NRC?
Carel Bitter van Spamhaus, een organisatie die onder meer cybercriminaliteit bestrijdt, helpt met zoeken. Spamhaus scant voortdurend het internet af op schadelijke activiteit. Bitter haalt de negen grootste netwerken die NRC aanvielen door de database van Spamhaus.
Deze netwerken faciliteren vaker hackers en cybercriminelen, ziet Bitter. „Neem CGI: spam, creditcardfraude, wachtwoorden ontfutselen, botnets. Fijn netwerk.” Wat ook opvalt, is dat NoName057(16) telkens opduikt. Van de negen netwerken werden recent zeven ingezet door de hackersgroep. De overlap is enorm.
Het moeten de Russen zijn. Toch?
De zoektocht eindigt in een simpel belhokje op de NRC-redactie, met een telefoontje naar het Nationaal Cyber Security Centrum (NCSC). Het NCSC is door het ministerie van Justitie belast met het beschermen van kritieke digitale infrastructuur. In de week van de aanval gaf het een persbericht uit over een golf aanvallen door NoName057(16).
Was NRC een van de slachtoffers? De DDos-expert van NCSC, die wegens „operationele veiligheid” anoniem wil blijven, klikt aan de andere kant van de lijn een spreadsheet open en begint met scrollen. En dan bereikt hij rij 63 en ja hoor: daar staat NRC. „Kijk, jullie waren de enige media-organisatie.”
Screenshot van de NRC-website tijdens de DDoS-aanval.
NRC
NoName057(16) werkt met vrijwilligers, legt de expert uit. Die hebben allemaal een stuk software gedownload, ‘Ddosia’, dat een omvangrijk netwerk vormt waarmee de groep aanvallen uitvoert. „Al kunnen we niet uitsluiten dat ze bijvoorbeeld ook hostingpartijen of gehackte computers gebruiken.” Het NCSC heeft zo’n stuk software uit elkaar gehaald en nagebouwd, waarmee het kan meekijken met de opdrachten die de groep aan de vrijwilligers stuurt.
NCSC telde 133 aanvallen op Nederlandse doelen in die week. En de opdracht ‘val nrc.nl aan’ kwam inderdaad langs op 30 april. Waarom NRC? De expert: „Tja, deze lui voeren tienduizenden aanvallen uit. Jullie zijn niet speciaal.”
Polder
Klaarblijkelijk is het nieuws dat het de Russen waren zo irrelevant dat het niet eens Intermax of NaWas bereikt. Kunnen die niets doen, behalve omleiden, filteren en hopen dat de bui overtrekt?
Onderzoeker Mattijs Jonker en Carel Bitter van Spamhaus peinzen over die vraag. Nee, anonieme hackers zijn niet te stoppen, botnets zijn lastig te bestrijden. Maar een paar wakken in het ijs moeten kunnen worden gedicht. Het verbaast Jonker bijvoorbeeld dat Intermax niet meteen die negen partijen die NRC vanuit Nederland aanvielen, heeft geblokkeerd.
Deze lui voeren tienduizenden aanvallen uit. Jullie zijn niet speciaal
Ludo Baauw van Intermax weet niet of dat werkt. „Als je een paar adressen blokkeert, verzinnen ze wel een andere route.” Maar, zegt hij ook, „we leren hier weer van en hebben onze tactiek inmiddels aangepast”.
Jonker en Bitter zien in deze aanval de bekende zwakke plekken in het Nederlandse internet opduiken. Serverius en Skylink kwamen allebei eerder in opspraak vanwege dubieuze klanten en malafide activiteiten. De aanval komt van partijen waar herhaaldelijk kinderporno wordt gevonden, illegale gekopieerde content, phishing, spamming, hacken, botnets, virussen.
Die zwakke plekken in de polder ziet het NCSC ook. „Een bron van zorg. Maar de aanpak daarvan ligt bij de politie.” Met beperkt resultaat. De wet werkt niet mee, klanten zijn anoniem, datacentra en hostingbedrijven zijn amper verantwoordelijk voor de daden van hun klanten. De politie besteedt haar schaarse opsporingscapaciteit liever aan grote cybercriminele bendes.
In die tolerante omgeving kan het DDoS-probleem razendsnel groeien. Het NCSC: „We hebben DDoS-aanvallen lang afgedaan als onschuldig en symbolisch. Dat kunnen we niet meer volhouden.”
Lees ook
Rusland zat ‘zeer waarschijnlijk’ achter grootschalige datadiefstal bij politie, volgens inlichtingendiensten
Datacentrum van Serverius in Meppel, dat CGI Global Limited uit Hong Kong als klant heeft: een van de aanvallers van NRC.
/s3/static.nrc.nl/images/gn4/stripped/data133397414-025eb4.jpg|https://images.nrc.nl/JsdtEUV_tJ0-3GGTbIr3__hsEqU=/1920x/filters:no_upscale()/s3/static.nrc.nl/images/gn4/stripped/data133397414-025eb4.jpg|https://images.nrc.nl/CXU-MLAgsSWg4TuSisudmDxT7ec=/5760x/filters:no_upscale()/s3/static.nrc.nl/images/gn4/stripped/data133397414-025eb4.jpg)
