Na het tellen van de laatste stemmen beginnen maandag voor alle organen van de Europese Unie cruciale maanden die de hele zittingsperiode van vijf jaar zullen doorwerken. De fracties worden gevormd en tientallen functies worden verdeeld, met de voorzitter van de Europese Commissie als de belangrijkste post. De hoorzittingen en benoemingen van 27 Eurocommissarissen zijn het sluitstuk. Wat gaat de komende maanden in Brussel en Straatsburg gebeuren?
1 De fractievorming
Komen de radicaal-rechtse partijen van Giorgia Meloni en Marine Le Pen in één fractie? Welke invloed heeft dat op de kansen van Ursula von der Leyen om herbenoemd te worden als voorzitter van de Europese Commissie? Die twee vragen staan vanaf maandag meteen al op het spel bij de vorming van de nieuwe grote fracties in het Europarlement. De onderhandelingen kunnen doorgaan tot de eerste plenaire vergadering in Straatsburg, vanaf 16 juli. De kern van de meeste grote fracties, zoals die van de sociaal-democraten van de S&D, de christen-democraten van de EVP en de groenen, staat wel vast. Maar door de winst van radicaal-rechtse partijen in Europa wordt met spanning uitgekeken naar hoe de radicaal-rechtse fracties eruit gaan zien of zij zelfs één grote fractie zullen vormen.
De PVV lijkt te gaan toetreden tot de groep Identiteit & Democratie (ID). Daar zat de partij in het verleden ook bij, en nummer twee Marieke Ehlers werkte de afgelopen jaren voor deze fractie. In ID zit nu ook het Franse Rassemblement National, de partij van Marine Le Pen. Zij lonkt naar samenwerking met Fratelli d’Italia van de Italiaanse premier Giorgia Meloni. Fratelli zit nu bij de Europese Conservatieven en Hervormers (ECR). Of Meloni toehapt is de vraag. De EVP zal minder snel geneigd zijn om met één grote radicale fractie samen te werken, waardoor Meloni invloed zou verliezen.
Lees ook Meloni vergroot na klinkende zege haar invloed in Europa
Voor Nederland wordt interessant of de twee nieuwe Europarlementariërs van BBB en één van NSC willen en kunnen toetreden tot de EVP. Het CDA, dat al jaren in de EVP zit, staat in ieder geval niet te springen: NSC en vooral BBB hebben voor die partij een veel te Europa-kritische houding.
Bij de liberalen van Renew Europe, waar ook D66 deel van uitmaakt, krijgt de VVD het mogelijk even lastig. De fractievoorzitter van Renew, de Française Valérie Hayer, zei na de presentatie van het Nederlandse hoofdlijnenakkoord dat de VVD door de samenwerking met de PVV „een rode lijn” heeft overschreden. Zij zal de positie van de VVD mogelijk ter discussie stellen, maar de verwachting is dat de VVD er uiteindelijk niet wordt uitgezet. Vooral omdat Renew die zetels nodig heeft en de VVD één van de oprichters van de liberale fractie is.
2 Overleg tussen regeringsleiders
De Europese regeringsleiders komen snel na de verkiezingen ook twee keer bijeen in Brussel. Er zijn medio juni en eind juni twee Europese toppen met regeringsleiders en een aantal van hen ontmoet elkaar ook nog op 14 en 15 juni op een G7-top in Italië. Veel momenten dus om te bespreken wie voorgedragen gaat worden als nieuwe voorzitter van de Europese Commissie. Dat lijkt weer Ursula von der Leyen te worden, nu de EVP opnieuw verreweg de grootste is geworden.
Ze heeft wel de steun nodig van een gekwalificeerde meerderheid van de 27 lidstaten nodig, minimaal vijftien landen. Ook gaan de Europese leiders onderhandelen over wie per 1 december de Belg Charles Michel opvolgt als voorzitter van de Europese Raad, en wie de nieuwe buitenlandvertegenwoordiger van de EU wordt (nu de Spanjaard Josep Borrell). En hoewel het Europees Parlement formeel zijn eigen voorzitter kiest, wordt dit vaak ook door de regeringsleiders voorgekookt. Mogelijk wordt in de marge van deze toppen ook geprobeerd Hongarije achter de kandidatuur van Mark Rutte te krijgen voor de post van secretaris-generaal van de NAVO.
3 Eerste zitting parlement
Het nieuwe Europees Parlement komt van 16 tot 19 juli bijeen in Straatsburg. De 720 leden worden dan geïnstalleerd. Ze stemmen daarna onder meer over een parlementsvoorzitter en veertien ondervoorzitters. Ook de voorzitters en functies in de inhoudelijke commissies, bijvoorbeeld voor milieu, volksgezondheid of landbouw, worden dan gekozen.
Maar de belangrijkste vraag is wie de voorzitter van de Europese Commissie wordt. De planning is dat hier op 18 juli over wordt gestemd.
Als de regeringsleiders inderdaad Ursula von der Leyen voordragen, heeft ze daarna de steun nodig van 361 Europarlementariërs. Ze haalde de afgelopen maanden al de banden aan met Giorgia Meloni en samenwerking met de ECR ligt op tafel, bijvoorbeeld om stevig migratiebeleid af te spreken.
Lees ook Winst van radicaal-rechts brengt in grote EU-landen politieke orde uit balans
Maar de liberalen en sociaal-democraten dreigen hun steun in te trekken als ze een deel van radicaal-rechts omarmt. In theorie heeft ze radicaal-rechts niet nodig, maar omdat de stemming geheim is en fractieleden haar niet allemaal zullen steunen, heeft ze een ruime marge nodig. Zo hebben bij de EVP de Franse christen-democraten al aangegeven tegen haar te stemmen. Von der Leyen zal dus moeten laveren. Mocht de benoeming van Von der Leyen mislukken, dan moet de Europese Raad een nieuwe kandidaat voordragen. Vanuit Italië is ex-premier en oud-ECB-baas Mario Draghi al als alternatief geopperd.
4 De nieuwe Europese Commissie
Von der Leyen, of wellicht dus een ander, krijgt vervolgens de taak om een nieuwe Europese Commissie te vormen. Een ondoorzichtig en ingewikkeld spel. Elk land krijgt een Eurocommissaris met een specifiek beleidsterrein. En elk land moet dan een kandidaat voordragen die de goedkeuring van Von der Leyen krijgt en de steun van het Europarlement. De kandidaten moeten daarvoor een inhoudelijke zware hoorzitting overleven.
Wie Nederland naar voren gaat schuiven, is in Den Haag nog geen groot onderwerp, nu de kabinetsformatie nog alle aandacht vereist. Vooralsnog valt alleen de naam van huidig commissaris Wopke Hoekstra als voornaamste kandidaat. Als CDA’er ligt hij goed bij Von der Leyen, hij kent inmiddels de weg in Brussel en de Nederlandse coalitiepartijen zouden zo het CDA wat kunnen inpalmen. Tegen Hoekstra spreekt dat hij in het halve jaar dat hij Eurocommissaris voor klimaat is, geen grote indruk heeft achtergelaten. En wellicht wil een partij uit de nieuwe coalitie – denk aan de VVD – een interessante Brusselse post claimen.
Portugal heeft voor de tweede keer de Nations League gewonnen. De ploeg van bondscoach Roberto Martínez versloeg Spanje in München na strafschoppen. Het duel was na negentig minuten in 2-2 geëindigd, in de verlenging werd niet gescoord. De Spanjaard Álvaro Morata was de enige voetballer die miste vanaf elf meter.
Portugal won in 2019 ook de eerste editie van het landentoernooi dat werd geïntroduceerd als vervanging van oefeninterlands. Het won toen in de finale van Nederland met 1-0. De Portugezen hadden woensdag Duitsland uitgeschakeld in de halve finales. Spanje bereikte de finale door een spectaculaire zege (5-4) op Frankrijk.
De eerste kans was voor de Portugees João Neves die via de grond naast schoot. Aan de andere kant schoot Nico Williams net over. In de 21e minuut was het wel raak. Martín Zubimendi rondde een zelf opgezette aanval af. De begeerde middenvelder van Real Sociedad profiteerde van een misverstand tussen Neves en doelman Diogo Costa.
Vijf minuten later stond het alweer gelijk. Nuno Mendes, vrijgelaten door de Spaanse verdediging, schoot raak in de verre hoek achter de Spaanse doelman Unai Simón. Kort voor rust namen de Spanjaarden weer de leiding via Mikel Oyarzabal, die na een pass van Pedri vrij voor Costa afrondde.
Spanje, met de in Nederland geboren Dean Huijsen centraal achterin, leek het duel onder controle te hebben, maar Cristiano Ronaldo maakte na ruim een uur gelijk. De 40-jarige aanvaller schoot raak uit een door de Spaanse verdediger Robin Le Normand van richting veranderde voorzet van Nuno Mendes.
De Portugezen claimden een strafschop toen Nuno Mendes door Le Normand werd gestuit. De Spaanse sterspeler Lamine Yamal keerde na het eerste deel van de verlenging niet meer terug. De 23 jaar oudere Ronaldo was eerder al gewisseld. Zij zagen vanaf de kant hoe de Spaanse invaller Pedro Porro met een schot van ver doelman Costa bijna verraste. Het was vrijwel de enige kans omdat de fut er bij de meeste spelers na een lang seizoen wel uit was. In de strafschoppenserie miste Morata de vierde, waarna invaller Rúben Neves het duel besliste.
De mannenfinale van Roland Garros is drie uur en negen minuten onderweg als Jannik Sinner, de nummer 1 van de wereld, drie matchpoints krijgt. De droomfinale lijkt na vier sets voorbij te zijn. Sinner is te stabiel, Alcaraz juist iets te onstuimig, de Italiaan is tot dat punt nét iets beter.
Maar twee uur en twintig minuten later is het toch de Spanjaard die zichzelf met een laatste briljante winner tot kampioen van het toernooi kroont. Dat doet hij na een bloedstollende vijfde set en een beslissende tiebreak waarin hij tennis speelde „van een andere planeet”, aldus commentator Marcella Mesker.
De vraag in het tennis was lange tijd of de sport waardige opvolgers zou voortbrengen van Roger Federer, Rafa Nadal en Novak Djokovic, het drietal dat zoveel onvergetelijke finales speelde tegen elkaar. Zondag in Parijs gaven Alcaraz en Sinner het antwoord door vijf uur en negentwintig minuten op topniveau met elkaar te strijden om ieder punt. Steeds weer werd verdediger aanvaller, en werd de even daarvoor dominante speler weer in de verdediging gedrukt.
De verwachtingen waren vooraf al hooggespannen. De nummer één tegenover de nummer twee. De man die het hele toernooi nog geen set had verloren (Sinner) tegen de titelverdediger die hun laatste vier onderlinge ontmoetingen had gewonnen (Alcaraz). Een contrast in speelstijlen en in persoonlijkheden, een rivaliteit met als kenmerk dat bijna elke onderlinge wedstrijd lang, spannend en intens is. Dit was de eerste keer dat de twee elkaar troffen op het hoogste podium: de finale van een grandslam.
Langste finale ooit
Het werd de langste Roland Garros-finale ooit, alle verwachtingen werden met gemak overtroffen. De eerste game duurde al elf minuten. De rally’s waren lang, met prachtige winners, maar ook onnodige fouten aan beide kanten. Sinner moest al snel meerdere breakkansen wegwerken, de spanning zat er meteen goed in. Dat was in de rest van de partij niet anders.
Jannik Sinner had in de vierde set drie matchpoints, maar leverde de set toch in.
Foto EPA / Christophe Petit Tesson
Het tempo lag ongelofelijk hoog, met rake, harde klappen over en weer. Beide spelers waren agressief, probeerden de rally’s te dicteren en de ballen ‘vroeg’ te nemen. Het was de eerste twee sets Sinner die het stabielst was, de minste fouten maakte en de controle hield over de harde slagen van zijn tegenstander.
Alcaraz begon agressiever, maar was ook slordiger. Zijn befaamde dropshot, waarmee hij normaal gesproken zoveel punten weet te winnen, ging vaak mis of viel te ver achter het net om dodelijk te zijn. Dat was ook de verdienste van de Italiaan: die is zo snel dat Alcaraz gedwongen is de dropshot heel kort te spelen, met alle risico van dien.
Toen Alcaraz de tweede set in de tiebreak verloor en in de derde set direct zijn servicegame inleverde, lag het voor de hand dat Sinner de finale eenvoudig en vlot zou beslissen. Maar dat was buiten de vechtlust van de Spanjaard gerekend, die zichzelf met gebalde vuist oppepte voor de servicebeurt van zijn tegenstander.
Het hielp: hij brak de service van Sinner niet één, maar twee keer. De dramatiek van de derde set was daarmee nog niet voorbij, want Alcaraz moest zijn service óók weer inleveren toen hij op 5-3 serveerde voor de set. Om vervolgens juist met gemak de servicegame van de Italiaan te winnen, en daarmee de derde set.
In de vierde set leek het dan toch voorbij. Alcaraz kreeg drie matchpoints te verwerken bij een 5-3 achterstand. Juist op die penibele momenten toonde de Spanjaard hoezeer hij zijn zenuwen onder controle heeft. Juist dan speelde hij zijn beste, zijn dominantste tennis, in opperste concentratie.
Daarbij had Alcaraz het publiek op zijn hand en daar speelde hij mee door gewonnen punten uitbundig te vieren. Het gaf hem de energie om ook in de servicegame van Sinner scherp te zijn. De Italiaan serveerde voor de wedstrijd, maar liet zich afbluffen. Uiteindelijk vond Alcaraz via een tiebreak de vluchtroute naar een vijfde set.
Lang nadat Sinner op zijn bankje was gaan zitten, stond Alcaraz de setwinst nog te vieren.
Passend slot
Ook de vijfde set was lang en vol drama. Alcaraz ging door waar hij gebleven was en brak direct de service van Sinner, die het fysiek moeilijk begon te krijgen. De wedstrijd leek definitief in het voordeel uit te vallen van de nummer twee van de wereld, maar kreeg toch nog een laatste spannende wending.
Alcaraz slaagde er niet in de wedstrijd uit te serveren. En wéér ging de set naar een tiebreak. Het was een passend slot van een wedstrijd waarin beide spelers vrijwel niets voor elkaar onder deden.
In de tiebreak was het Alcaraz die een niveau haalde dat moeilijk te bevatten was. Alles wat hij probeerde, lukte. De winners vlogen Sinner om de oren, die opeens weinig meer in te brengen had. 10-2 werd het. Dat Alcaraz de finale besliste met een winner uit bijna geslagen positie, kon symbool staan voor het verloop van een van de mooiste grandslamfinales uit de geschiedenis.
Op woensdag 30 april om 8.12 uur stuurt een werknemer van het digitale ontwikkelteam van NRC een berichtje naar haar collega’s. De NRC-app is leeg, schrijft ze, lezers zien geen artikelen meer, alleen een wit scherm.
Een halfuur later schrijft een adjunct-hoofdredacteur een bericht naar het hele bedrijf. „Nrc.nl is vanochtend niet of slecht bereikbaar (ook de app werkt daardoor niet). Naar de oorzaak wordt gezocht.” Het verzoek is om nog even geen nieuwsbrieven uit te sturen. Een uur later mailt hij dat de oorzaak is gevonden. Het is een DDoS-aanval – een distributed denial of service, een stortvloed aan verzoeken van andere computers die de site overweldigt. En de aanval is nog gaande.
Op de redactievloer wordt druk gespeculeerd. Zijn het de Russen? De krant had vlak voor de aanval bericht dat tientallen websites van provincies en gemeenten werden aangevallen door een pro-Russisch hackerscollectief, NoName057(16). Die hadden Nederland op de korrel genomen wegens de miljardensteun aan Oekraïne. Of is het China? Eén dag eerder heeft de krant immers een kritisch onderzoeksartikel gepubliceerd over de lange arm van China in Nederland.
Het X-account van NoName057(16) geeft geen uitsluitsel. Daar plaatst de groep trots updates over sites die platgaan. De hackers noemen de „city of Almer” [Almere] als slachtoffer, „municiatitis is an appelldor” [Apeldoorn], „Herod of delirium” (?), „Corps in Utrecht” [USC], „Gorod Haga” [Den Haag] en „VDL Groop” [VDL Groep]. Maar NRC ontbreekt.
De NRC-site is de hele dag onbereikbaar voor lezers. De klantenservice spreekt een bandje in met uitleg. Tachtig lezers mailen. Journalisten die deze dag publiceren, balen: hun stukken verdwijnen ongelezen in de draaikolk van het nieuwe nieuws. De volgende ochtend is alles weer voorbij.
De krant is de gebeurtenis snel vergeten. Een DDos-aanval is toch een beetje als graffiti op je voordeur: je poetst het eraf en je gaat weer door.
Heggenschaar
NRC raakte nieuwsgierig naar de aanval. Valt meer te zeggen over de graffiti dan hoe je de verf verwijdert? Want één dag offline is niet zo vreselijk, maar bij elkaar opgeteld vormen DDoS-aanvallen inmiddels een hinderlijk, snelgroeiend en kostbaar probleem. Het Amerikaanse internetbedrijf Cloudflare, waarlangs een vijfde van het mondiale internetverkeer loopt, kreeg in de eerste drie maanden van dit jaar evenveel DDoS-aanvallen te verduren als in heel 2024: ruim twintig miljoen.
Het datacentrum van SkyLink in Eygelshoven, Limburg.
Foto John van Hamond
De verhouding in kosten is scheef. De benadeelde partij heeft een compleet team en tonnen aan apparatuur nodig om een aanval af te slaan, de hacker spendeert hooguit 100 euro. Alsof iemand met een heggenschaar van een paar euro de bovenleidingen van ProRail kapotknipt. Die asymmetrie maakt organisaties die leunen op online bereikbaarheid – het openbaar vervoer, de overheid, nieuwsvoorzieningen – buitengewoon kwetsbaar.
NRC wilde weten: wat gebeurde op 30 april? Wie waren de hackers? En hoe verweer je je tegen een DDos-aanval? We analyseerden daarom het logbestand van de aanval: 83 miljoen ‘regels’ (een verzoek om een pagina te laden) in 48 uur – elke regel een afgevuurde kogel.
Overbelast
De aanval begint om stipt 8.00 uur. Uit het niets sturen duizenden computers van over de hele wereld simultaan verzoeken naar de site van NRC. Binnen enkele minuten zwelt de stroom aan tot tienduizenden aanvragen per minuut. De computers zoeken bijvoorbeeld naar auteurs in de zoekbalk. Zo wordt meer dan twintigduizend keer naar economieredacteur Egbert Kalse gezocht. Ook worden pagina na pagina aan ‘volgonderwerpen’ opgeroepen, een functie waarmee lezers een dossier kunnen volgen. Contactformulieren worden ingevuld, niet-bestaande pagina’s opgevraagd, de computers zoeken met willekeurige karakters naar onzin. Al die verzoeken belasten de servers in het datacentrum in Rotterdam van hostingbedrijf Intermax, waar NRC klant is. Ze vergen veel rekenkracht – voor de kenners, op layer 7. Algauw raakt de site overbelast
Intermax bemerkt de aanval niet meteen. Als NRC een dikke scoop heeft, piekt het verkeer ook, zegt directeur Ludo Baauw in z’n kantoorboerderij bij Delft. En de malafide verzoeken die deze ochtend binnenkomen, lijken sterk op die van gewone lezers. Veel komen van de netwerken van Odido en KPN, net als bij abonnees. Na een halfuur wordt het niettemin duidelijk: dit is veel te veel.
Om 11.00 uur kan de apparatuur bij Intermax het niet meer bolwerken, andere klanten krijgen ook last van het overlopende netwerk. De provider schakelt NaWas in, een dienst die Nederlandse hostingbedrijven helpt om DDoS-aanvallen af te slaan. NaWas noemt zichzelf een ‘nationale wasstraat’ waar internetverkeer schoon uitkomt. NaWas heeft krachtige apparatuur en veel bandbreedte, waardoor grote hoeveelheden verkeer kunnen worden omgeleid en gefilterd tijdens een aanval.
Om 11.12 uur doet NaWas een technische mededeling die in enkele seconden over het hele internet gaat. Vanaf nu moet elke NRC-bezoeker eerst door de wasstraat van NaWas. Alleen verzoeken die door het filter komen, mogen naar NRC.
In theorie dan, want het blijft de hele middag hannesen. Mensen kunnen nog steeds niet of nauwelijks artikelen lezen. Het filter is eerst te streng, dan niet streng genoeg. Om 15.15 uur zet Intermax een drastische stap. Alleen verzoeken uit België en Nederland mogen nog door: een zogeheten geoblock. Het is een paardenmiddel dat alle lezers in het buitenland uitsluit – maar het is niet anders.
Eén dag offline is niet zo vreselijk, maar bij elkaar opgeteld vormen DDoS-aanvallen inmiddels een hinderlijk, snelgroeiend en kostbaar probleem
Daar hebben de aanvallers echter op gerekend, blijkt uit de logbestanden. In minder dan één seconde verandert de strategie drastisch. Vanaf dat moment komt de bulk van de verzoeken ineens uit een handjevol netwerken uit Nederland, dwars door de geoblock heen.
De hele avond en nacht blijven deze netwerken miljoenen verzoeken afvuren. Doordat de rest van de wereld is geblokkeerd, komt de site een beetje op gang, zij het traag. En dan, na precies 24 uur, is de aanval voorbij. De volgende dag gaat de blokkade eraf, daarna piept NaWas ertussenuit. De krant doet aangifte.
Daders
Wie heeft dit gedaan? Het technische team van NRC houdt de hele dag het X-account en het Telegram-kanaal van NoName057(16) in de gaten, maar ziet NRC niet langskomen.
Ludo Baauw van Intermax heft zijn handen in de lucht. Tja, zo’n DDoS-aanval is grotendeels geautomatiseerd, zegt hij. Je huurt een programmatuur en de bijbehorende computers en servers en je bent inbusiness. Het kost misschien 100 euro, iedereen kan het, zegt hij. En wat maakt het uit wie erachter zit? Vraag is hoe je hem afslaat.
Ook de DDoS-wasstraat kan geen dader aanwijzen. NaWas maakt profielen van aanvallen – wat zijn de kenmerken van de datapakketjes, welke verzoeken worden gedaan –, maar vooral om de eigen filters correct in te kunnen stellen. Daders zoeken is aan de autoriteiten. Wat NaWas wel opvalt, is dat de hackers de moeite hebben genomen om de structuur van de NRC-site te bestuderen. Dit was niet de allersimpelste aanval.
We doen een duik in de logbestanden met universitair docent en onderzoeker netwerkveiligheid Mattijs Jonker van de Universiteit Twente.
Screenshot van de NRC-website tijdens de DDoS-aanval.
NRC
In de eerste fase van de aanval, in de ochtend, komen veel verzoeken van ‘residentiële aansluitingen’, ziet Jonker: huis-, tuin- en keukenaansluitingen. Ze komen uit de hele wereld, maar ook van telecombedrijven in Nederland als KPN en Ziggo. Dat kan slaan op een ‘botnet’, een netwerk van geïnfecteerde pc’s, mobieltjes en andere apparaten die slaafs opdrachten uitvoeren zonder dat hun gebruikers dat weten. Deze verzoeken zijn nauwelijks te onderscheiden van legitiem verkeer en daarom moeilijk af te weren. Hij ziet een grote variatie in de verzoeken. „Doe dit, pak dat, vul dit in.” Die afwisseling is extra belastend voor een site.
In de tweede fase, na de geoblock, worden de thuiscomputers ingeruild voor heavy hitters waar veel aanvalskverkeer vandaan komt en die vanuit Nederland opereren, ziet Jonker. „Ze reageren héél snel op de geoblock.” Negen netwerken springen eruit, drie daarvan veroorzaken de meeste problemen. Die horen bij UAB Cherry Servers uit Litouwen, CGI Global Limited uit Hongkong en een partij met de intrigerende naam ‘Individual Entrepreneur Anton Levin’ uit Georgië. Een server van CGI verzendt tijdens de aanval bijna 950.000 verzoeken.
Cherry, leert het internet, is een gewoon hostingbedrijf met een website. Daar kunnen klanten voor 0,015 cent per uur een stukje server huren om hun site of dienst op te draaien. Of ze kunnen dat deeltje weer doorverhuren. Kwaadwillenden kunnen de server inzetten om spam te versturen, creditcardgegevens te stelen of een DDoS-actie uit te voeren, waarna ze weer verdwijnen.
CGI blijkt onder de naam HostVDS ook per uur serverruimte te verhuren. ‘Individual Entrepreneur Anton Levin’ heeft helemaal geen site.
Lees ook
Tijdens de cyberaanval op de TU waren ook de draaiboeken voor crises onbereikbaar. ‘Gelukkig zaten die in ons hoofd’
Pakketje
Het klinkt allemaal buitenlands, ver weg, ongrijpbaar. Maar de aanvallen komen door de geoblock, dus érgens vanuit Nederland.
Een hulpmiddel op internet geeft uitsluitsel. Een traceroute brengt de stapjes in kaart van een datapakketje op weg naar diens eindbestemming en meet hoelang elk stapje duurt. Tien milliseconden is Europa, twee à drie milliseconden is Nederland.
Wanneer de verslaggevers een pakketje terugsturen naar een afzenderadres van CGI Global, dan komt-ie langs Ketelskamp 10 in Meppel. Daar staat een datacentrum van internetbedrijf Serverius. NRCschreef al eerder over Serverius. Het rechts-extremistische forum 8chan en nieuwssite Daily Stormer vonden daar onderdak. Er draaide bij Serverius een Russische beïnvloedingscampagne en hostingbedrijf Koddos – vaste vindplaats van kinderporno – was klant in Meppel.
Serverius en Skylink kwamen allebei eerder in opspraak met dubieuze klanten en hun malafide activiteiten
De complianceofficer van Serverius mailt terug. CGI is inderdaad klant. Maar het huurt alleen een plek in de rekken en neemt stroom en internettoegang af voor de eigen apparatuur. Dat maakt CGI, niet Serverius, verantwoordelijk voor wat ze doen. Over de DDoS-aanval op NRC zegt de compliance officer dat ze geen raar verkeer hebben gezien. („Thank you for informing us.”) CGI reageert niet.
Het Litouwse Cherry heeft ook voet aan de grond in Nederland. Het pakketje reist via de campus van de Universiteit van Amsterdam, via internetbedrijf Equinix – een grote partij, weinig in opspraak. Cherry reageert niet op vragen van NRC. Equinix laat weten niet te kunnen controleren wat klanten doen.
Buren
Dan de mysterieuze ‘Individual Entrepreneur Anton Levin’. Milliseconden tellen geeft geen uitsluitsel. Veel verzenders reageren niet meer, of blijken nu ver weg te zitten. Wel kunnen met een ander hulpmiddeltje de peers van Anton Levin worden achterhaald: diens ‘buren’ op internet, die actief elkaars verkeer doorsluizen. De enige Nederlandse peer van ‘Anton Levin’ is het bedrijf Skylink, in Eygelshoven, Limburg.
Het datacentrum van Skylink staat naast een brandstoffen- en afvaldepot, vlak bij de Duitse grens. Achter de loodsen loopt een spoorlijntje. Achter in de tuin staan 26 grote schotelantennes.
Een paar jaar geleden bleek dat binnen het datacentrum een allegaartje aan computers bitcoins stond te minen. In 2023 kwam Skylink in het nieuws, toen de fiscale opsporingsdienst FIOD en Europol de Duitse eigenaar Marcel E. in het vizier kregen. De instanties vielen binnen bij een ander datacentrum, in Den Helder, waar Marcel E. directeur was. Vier mensen werden gearresteerd. Het Noord-Hollandse bedrijf werd verdacht van het illegaal aftappen van buitenlandse tv-zenders, om die via internet te verkopen aan een miljoen klanten in Europa.
De FIOD viel ook binnen bij Skylink in Eygelshoven. De tv-signalen kwamen mogelijk van de 26 schotels in de achtertuin. Skylink mocht open blijven, het datacentrum in Den Helder ging failliet.
In Eygelshoven neemt een technicus in het Duits de telefoon op. Zijn klanten gaat hij niet prijsgeven, zegt hij. De mail die NRC stuurt, blijft onbeantwoord. Maar de bevestiging staat gewoon op internet. Het Russische hostingbedrijf VDSKA blijkt het netwerk van ‘Anton Levin’ te beheren. Op zijn site adverteert VDSKA dat het opereert vanuit een datacentrum in Eygelshoven.
Bestookt vanuit Eygelshoven
Amsterdam, Meppel, Eygelshoven – wie bestookte via die plaatsen NRC?
Carel Bitter van Spamhaus, een organisatie die onder meer cybercriminaliteit bestrijdt, helpt met zoeken. Spamhaus scant voortdurend het internet af op schadelijke activiteit. Bitter haalt de negen grootste netwerken die NRC aanvielen door de database van Spamhaus.
Deze netwerken faciliteren vaker hackers en cybercriminelen, ziet Bitter. „Neem CGI: spam, creditcardfraude, wachtwoorden ontfutselen, botnets. Fijn netwerk.” Wat ook opvalt, is dat NoName057(16) telkens opduikt. Van de negen netwerken werden recent zeven ingezet door de hackersgroep. De overlap is enorm.
Het moeten de Russen zijn. Toch?
De zoektocht eindigt in een simpel belhokje op de NRC-redactie, met een telefoontje naar het Nationaal Cyber Security Centrum (NCSC). Het NCSC is door het ministerie van Justitie belast met het beschermen van kritieke digitale infrastructuur. In de week van de aanval gaf het een persbericht uit over een golf aanvallen door NoName057(16).
Was NRC een van de slachtoffers? De DDos-expert van NCSC, die wegens „operationele veiligheid” anoniem wil blijven, klikt aan de andere kant van de lijn een spreadsheet open en begint met scrollen. En dan bereikt hij rij 63 en ja hoor: daar staat NRC. „Kijk, jullie waren de enige media-organisatie.”
Screenshot van de NRC-website tijdens de DDoS-aanval.
NRC
NoName057(16) werkt met vrijwilligers, legt de expert uit. Die hebben allemaal een stuk software gedownload, ‘Ddosia’, dat een omvangrijk netwerk vormt waarmee de groep aanvallen uitvoert. „Al kunnen we niet uitsluiten dat ze bijvoorbeeld ook hostingpartijen of gehackte computers gebruiken.” Het NCSC heeft zo’n stuk software uit elkaar gehaald en nagebouwd, waarmee het kan meekijken met de opdrachten die de groep aan de vrijwilligers stuurt.
NCSC telde 133 aanvallen op Nederlandse doelen in die week. En de opdracht ‘val nrc.nl aan’ kwam inderdaad langs op 30 april. Waarom NRC? De expert: „Tja, deze lui voeren tienduizenden aanvallen uit. Jullie zijn niet speciaal.”
Polder
Klaarblijkelijk is het nieuws dat het de Russen waren zo irrelevant dat het niet eens Intermax of NaWas bereikt. Kunnen die niets doen, behalve omleiden, filteren en hopen dat de bui overtrekt?
Onderzoeker Mattijs Jonker en Carel Bitter van Spamhaus peinzen over die vraag. Nee, anonieme hackers zijn niet te stoppen, botnets zijn lastig te bestrijden. Maar een paar wakken in het ijs moeten kunnen worden gedicht. Het verbaast Jonker bijvoorbeeld dat Intermax niet meteen die negen partijen die NRC vanuit Nederland aanvielen, heeft geblokkeerd.
Deze lui voeren tienduizenden aanvallen uit. Jullie zijn niet speciaal
Ludo Baauw van Intermax weet niet of dat werkt. „Als je een paar adressen blokkeert, verzinnen ze wel een andere route.” Maar, zegt hij ook, „we leren hier weer van en hebben onze tactiek inmiddels aangepast”.
Jonker en Bitter zien in deze aanval de bekende zwakke plekken in het Nederlandse internet opduiken. Serverius en Skylink kwamen allebei eerder in opspraak vanwege dubieuze klanten en malafide activiteiten. De aanval komt van partijen waar herhaaldelijk kinderporno wordt gevonden, illegale gekopieerde content, phishing, spamming, hacken, botnets, virussen.
Die zwakke plekken in de polder ziet het NCSC ook. „Een bron van zorg. Maar de aanpak daarvan ligt bij de politie.” Met beperkt resultaat. De wet werkt niet mee, klanten zijn anoniem, datacentra en hostingbedrijven zijn amper verantwoordelijk voor de daden van hun klanten. De politie besteedt haar schaarse opsporingscapaciteit liever aan grote cybercriminele bendes.
In die tolerante omgeving kan het DDoS-probleem razendsnel groeien. Het NCSC: „We hebben DDoS-aanvallen lang afgedaan als onschuldig en symbolisch. Dat kunnen we niet meer volhouden.”
Lees ook
Rusland zat ‘zeer waarschijnlijk’ achter grootschalige datadiefstal bij politie, volgens inlichtingendiensten
Datacentrum van Serverius in Meppel, dat CGI Global Limited uit Hong Kong als klant heeft: een van de aanvallers van NRC.
/s3/static.nrc.nl/images/gn4/stripped/data133397414-025eb4.jpg|https://images.nrc.nl/JsdtEUV_tJ0-3GGTbIr3__hsEqU=/1920x/filters:no_upscale()/s3/static.nrc.nl/images/gn4/stripped/data133397414-025eb4.jpg|https://images.nrc.nl/CXU-MLAgsSWg4TuSisudmDxT7ec=/5760x/filters:no_upscale()/s3/static.nrc.nl/images/gn4/stripped/data133397414-025eb4.jpg)
