Of Emmanuel Macron het parlement gaat ontbinden? „Ik denk het niet”, zegt de ene na de andere partijgenoot zondagavond tegen televisiezender TF1, net na de exitpolls. „Dat zou tegen de democratische waarden van Frankrijk ingaan, zegt een jonge vrouw. „Het zou een catastrofe zijn”, vindt een bebrilde man. „Ik hoop het niet, want ik heb al twee campagnes gedaan in twee jaar tijd”, zegt parlementariër Éléonore Caroit, lid van Macrons eigen partij Renaissance, opgelaten. „Als hij dat zegt, c’est la merde”, vindt een andere macronist.
Maar de Franse president deed het wel: na de bekendmaking van de verbluffende winst van het radicaal-rechtse Rassemblement National (31,5 procent van de stemmen, Macrons Renaissance haalde 14,6 procent) kondigde hij in een toespraak vanuit het Élysée aan dat het parlement ontbonden wordt en op 30 juni en 7 juli parlementsverkiezingen zullen plaatsvinden – de kortst mogelijke termijn. Macron zelf blijft in functie, maar de kans bestaat dat hij moet samenwerken met een parlementaire meerderheid van een andere politieke kleur. In de zaal waar zijn partijgenoten de verkiezingsuitslag afwachtten, vielen de monden letterlijk open. Volgens Le Monde is de ministersploeg al even verbaasd door het besluit.
De nacht en ochtend na de aankondiging wordt in Frankrijk wild gespeculeerd over het pourquoi. Vriend en vijand zijn het erover eens dat het uitschrijven van parlementsverkiezingen een zeer riskante keuze is, maar de verklaringen die voor het besluit worden gegeven, lopen uiteen.
Lees ook Radicaal-rechts grote winnaar in Frankrijk, Macron schrijft riskante parlementsverkiezingen uit
Ander soort verkiezing
Vooropgesteld: dat het RN zo fors wint bij de Europese verkiezingen, wil niet zeggen dat het evenveel steun zal krijgen bij de parlementsverkiezingen. Frankrijk kent een districtenstelsel, waarbij in ieder kiesdistrict één kandidaat een absolute meerderheid moet halen. Per kiesdistrict wordt in twee rondes gestemd als een kandidaat in de eerste ronde niet 50 procent van de stemmen heeft gehaald. Macron lijkt erop te hopen dat kiezers in die veelvoorkomende tweede ronde tégen radicaal-rechts zullen stemmen en hij zo zijn krappe meerderheid in het parlement kan behouden.
Hierbij speelt mee dat men bij parlementsverkiezingen anders stemt dan bij Europese: zeker in kleine kiesdistricten kennen kiezers de gedeputeerden en zijn ze geneigd trouwer te blijven. Zo haalden partijen die het bijzonder slecht deden bij de presidentsverkiezingen van april 2022, zoals het conservatief-rechtse Les Républicains van oud-president Nicolas Sarkozy, betere uitslagen bij de parlementsverkiezingen van twee maanden later.
Maar de kans is ook reëel, en dat weet Macron, dat het RN ook in het parlement fors zal winnen. In dat geval komt er mogelijk een cohabitation, waarbij de president samenwerkt met een premier van een andere politieke familie. Dit gebeurde ook in 1997, toen de rechtse president Jacques Chirac parlementsverkiezingen uitschreef in de hoop zijn steun te vergroten, maar links tot zijn verrassing won. Daarna regeerde hij jarenlang met een linkse regering onder premier Lionel Jospin van de Parti Socialiste.
Lees ook Winst van radicaal-rechts brengt in grote EU-landen politieke orde uit balans
Bardella als premier?
Macron zou eveneens kunnen gaan samenwerken met een linkse premier als links-Frankrijk de krachten weet te bundelen en goed scoort. De linkse partijen riepen na zondagnacht al op tot samenwerking. Deze wens bestond afgelopen jaren echter ook al, maar het samenwerkingsverband NUPES kwam maar slecht van de grond. De vraag is of het vormen van een stabiele unie in drie weken tijd wel lukt. Een strateeg van Macrons partij, minister van Buitenlandse Zaken Stéphane Séjourné, heeft zondag bovendien gezegd dat Renaissance in kiesdistricten met een zittende kandidaat uit „het republikeinse kamp” (alles behalve de extremen) geen tegenkandidaat zal opstellen. Daarmee probeert hij niet alleen verkiezing van een kandidaat van radicaal-rechts te voorkomen, maar ook van de hardlinkse partij LFI. Dat is zand in de machine van de linkse samenwerking.
Een andere optie is een coalitie van rechts en radicaal-rechts (Les Républicains en RN), mogelijk met RN-kroonprins Jordan Bardella als premier. Volgens een veel geciteerde theorie hoopt Macron dat Bardella dan onderuit gaat en RN ontmaskerd wordt als niet-regeringswaardige partij. Dat zou moeten voorkomen dat Bardella of RN-voorvrouw Marine Le Pen bij de presidentsverkiezingen van 2027 kan winnen. Hierop hintte Macron bij zijn toespraak zondagavond, toen hij benadrukte dat hij zelf niet herkiesbaar is in 2027. „Mijn enige ambitie is nuttig te zijn voor ons land dat ik zo liefheb, mijn enige roeping is u te dienen.”
Bij het besluit lijkt verder mee te spelen dat het RN al tijden zegt dat Macron nieuwe verkiezingen zou moeten uitschrijven en de partij was daar waarschijnlijk op hoge toon mee doorgegaan als hij dat niet had gedaan. Als RN er niet in slaagt enorm te groeien bij deze verkiezingen, verliest het een stok om Macron mee te slaan. Ook ontloopt Macron de motie van wantrouwen die Les Républicains waarschijnlijk na de zomer tegen de regering van zijn premier Gabriel Attal wilden indienen.
En sowieso houdt Macron ervan om buiten de lijntjes te kleuren. De afgelopen jaren heeft hij tal van constitutionele trucjes uitgehaald om zijn plannen doorgevoerd te krijgen, waarvan de meest markante het doordrukken van een impopulaire pensioenhervorming zonder een parlementsstemming was. Hij weet dat de aanstaande stembusgang niet snel vergeten zal worden – in Frankrijk wordt nog steeds veel gepraat over ‘1997’.
De president zelf zei bij de aankondiging zondagavond dat hij niet anders kon. „Ik zou niet weten hoe ik aan het einde van deze dag zou moeten doen alsof er niets is veranderd.” Hij sprak van een „daad van vertrouwen […] in de capaciteit van het Franse volk om de meest juiste keuze te maken voor zichzelf en toekomstige generaties”. In dezelfde toespraak sprak hij van een „koorts die zich heeft geïnstalleerd in het publieke en parlementaire debat”. Het is de grote vraag of die koorts in drie weken zal afnemen.
Portugal heeft voor de tweede keer de Nations League gewonnen. De ploeg van bondscoach Roberto Martínez versloeg Spanje in München na strafschoppen. Het duel was na negentig minuten in 2-2 geëindigd, in de verlenging werd niet gescoord. De Spanjaard Álvaro Morata was de enige voetballer die miste vanaf elf meter.
Portugal won in 2019 ook de eerste editie van het landentoernooi dat werd geïntroduceerd als vervanging van oefeninterlands. Het won toen in de finale van Nederland met 1-0. De Portugezen hadden woensdag Duitsland uitgeschakeld in de halve finales. Spanje bereikte de finale door een spectaculaire zege (5-4) op Frankrijk.
De eerste kans was voor de Portugees João Neves die via de grond naast schoot. Aan de andere kant schoot Nico Williams net over. In de 21e minuut was het wel raak. Martín Zubimendi rondde een zelf opgezette aanval af. De begeerde middenvelder van Real Sociedad profiteerde van een misverstand tussen Neves en doelman Diogo Costa.
Vijf minuten later stond het alweer gelijk. Nuno Mendes, vrijgelaten door de Spaanse verdediging, schoot raak in de verre hoek achter de Spaanse doelman Unai Simón. Kort voor rust namen de Spanjaarden weer de leiding via Mikel Oyarzabal, die na een pass van Pedri vrij voor Costa afrondde.
Spanje, met de in Nederland geboren Dean Huijsen centraal achterin, leek het duel onder controle te hebben, maar Cristiano Ronaldo maakte na ruim een uur gelijk. De 40-jarige aanvaller schoot raak uit een door de Spaanse verdediger Robin Le Normand van richting veranderde voorzet van Nuno Mendes.
De Portugezen claimden een strafschop toen Nuno Mendes door Le Normand werd gestuit. De Spaanse sterspeler Lamine Yamal keerde na het eerste deel van de verlenging niet meer terug. De 23 jaar oudere Ronaldo was eerder al gewisseld. Zij zagen vanaf de kant hoe de Spaanse invaller Pedro Porro met een schot van ver doelman Costa bijna verraste. Het was vrijwel de enige kans omdat de fut er bij de meeste spelers na een lang seizoen wel uit was. In de strafschoppenserie miste Morata de vierde, waarna invaller Rúben Neves het duel besliste.
De mannenfinale van Roland Garros is drie uur en negen minuten onderweg als Jannik Sinner, de nummer 1 van de wereld, drie matchpoints krijgt. De droomfinale lijkt na vier sets voorbij te zijn. Sinner is te stabiel, Alcaraz juist iets te onstuimig, de Italiaan is tot dat punt nét iets beter.
Maar twee uur en twintig minuten later is het toch de Spanjaard die zichzelf met een laatste briljante winner tot kampioen van het toernooi kroont. Dat doet hij na een bloedstollende vijfde set en een beslissende tiebreak waarin hij tennis speelde „van een andere planeet”, aldus commentator Marcella Mesker.
De vraag in het tennis was lange tijd of de sport waardige opvolgers zou voortbrengen van Roger Federer, Rafa Nadal en Novak Djokovic, het drietal dat zoveel onvergetelijke finales speelde tegen elkaar. Zondag in Parijs gaven Alcaraz en Sinner het antwoord door vijf uur en negentwintig minuten op topniveau met elkaar te strijden om ieder punt. Steeds weer werd verdediger aanvaller, en werd de even daarvoor dominante speler weer in de verdediging gedrukt.
De verwachtingen waren vooraf al hooggespannen. De nummer één tegenover de nummer twee. De man die het hele toernooi nog geen set had verloren (Sinner) tegen de titelverdediger die hun laatste vier onderlinge ontmoetingen had gewonnen (Alcaraz). Een contrast in speelstijlen en in persoonlijkheden, een rivaliteit met als kenmerk dat bijna elke onderlinge wedstrijd lang, spannend en intens is. Dit was de eerste keer dat de twee elkaar troffen op het hoogste podium: de finale van een grandslam.
Langste finale ooit
Het werd de langste Roland Garros-finale ooit, alle verwachtingen werden met gemak overtroffen. De eerste game duurde al elf minuten. De rally’s waren lang, met prachtige winners, maar ook onnodige fouten aan beide kanten. Sinner moest al snel meerdere breakkansen wegwerken, de spanning zat er meteen goed in. Dat was in de rest van de partij niet anders.
Jannik Sinner had in de vierde set drie matchpoints, maar leverde de set toch in.
Foto EPA / Christophe Petit Tesson
Het tempo lag ongelofelijk hoog, met rake, harde klappen over en weer. Beide spelers waren agressief, probeerden de rally’s te dicteren en de ballen ‘vroeg’ te nemen. Het was de eerste twee sets Sinner die het stabielst was, de minste fouten maakte en de controle hield over de harde slagen van zijn tegenstander.
Alcaraz begon agressiever, maar was ook slordiger. Zijn befaamde dropshot, waarmee hij normaal gesproken zoveel punten weet te winnen, ging vaak mis of viel te ver achter het net om dodelijk te zijn. Dat was ook de verdienste van de Italiaan: die is zo snel dat Alcaraz gedwongen is de dropshot heel kort te spelen, met alle risico van dien.
Toen Alcaraz de tweede set in de tiebreak verloor en in de derde set direct zijn servicegame inleverde, lag het voor de hand dat Sinner de finale eenvoudig en vlot zou beslissen. Maar dat was buiten de vechtlust van de Spanjaard gerekend, die zichzelf met gebalde vuist oppepte voor de servicebeurt van zijn tegenstander.
Het hielp: hij brak de service van Sinner niet één, maar twee keer. De dramatiek van de derde set was daarmee nog niet voorbij, want Alcaraz moest zijn service óók weer inleveren toen hij op 5-3 serveerde voor de set. Om vervolgens juist met gemak de servicegame van de Italiaan te winnen, en daarmee de derde set.
In de vierde set leek het dan toch voorbij. Alcaraz kreeg drie matchpoints te verwerken bij een 5-3 achterstand. Juist op die penibele momenten toonde de Spanjaard hoezeer hij zijn zenuwen onder controle heeft. Juist dan speelde hij zijn beste, zijn dominantste tennis, in opperste concentratie.
Daarbij had Alcaraz het publiek op zijn hand en daar speelde hij mee door gewonnen punten uitbundig te vieren. Het gaf hem de energie om ook in de servicegame van Sinner scherp te zijn. De Italiaan serveerde voor de wedstrijd, maar liet zich afbluffen. Uiteindelijk vond Alcaraz via een tiebreak de vluchtroute naar een vijfde set.
Lang nadat Sinner op zijn bankje was gaan zitten, stond Alcaraz de setwinst nog te vieren.
Passend slot
Ook de vijfde set was lang en vol drama. Alcaraz ging door waar hij gebleven was en brak direct de service van Sinner, die het fysiek moeilijk begon te krijgen. De wedstrijd leek definitief in het voordeel uit te vallen van de nummer twee van de wereld, maar kreeg toch nog een laatste spannende wending.
Alcaraz slaagde er niet in de wedstrijd uit te serveren. En wéér ging de set naar een tiebreak. Het was een passend slot van een wedstrijd waarin beide spelers vrijwel niets voor elkaar onder deden.
In de tiebreak was het Alcaraz die een niveau haalde dat moeilijk te bevatten was. Alles wat hij probeerde, lukte. De winners vlogen Sinner om de oren, die opeens weinig meer in te brengen had. 10-2 werd het. Dat Alcaraz de finale besliste met een winner uit bijna geslagen positie, kon symbool staan voor het verloop van een van de mooiste grandslamfinales uit de geschiedenis.
Op woensdag 30 april om 8.12 uur stuurt een werknemer van het digitale ontwikkelteam van NRC een berichtje naar haar collega’s. De NRC-app is leeg, schrijft ze, lezers zien geen artikelen meer, alleen een wit scherm.
Een halfuur later schrijft een adjunct-hoofdredacteur een bericht naar het hele bedrijf. „Nrc.nl is vanochtend niet of slecht bereikbaar (ook de app werkt daardoor niet). Naar de oorzaak wordt gezocht.” Het verzoek is om nog even geen nieuwsbrieven uit te sturen. Een uur later mailt hij dat de oorzaak is gevonden. Het is een DDoS-aanval – een distributed denial of service, een stortvloed aan verzoeken van andere computers die de site overweldigt. En de aanval is nog gaande.
Op de redactievloer wordt druk gespeculeerd. Zijn het de Russen? De krant had vlak voor de aanval bericht dat tientallen websites van provincies en gemeenten werden aangevallen door een pro-Russisch hackerscollectief, NoName057(16). Die hadden Nederland op de korrel genomen wegens de miljardensteun aan Oekraïne. Of is het China? Eén dag eerder heeft de krant immers een kritisch onderzoeksartikel gepubliceerd over de lange arm van China in Nederland.
Het X-account van NoName057(16) geeft geen uitsluitsel. Daar plaatst de groep trots updates over sites die platgaan. De hackers noemen de „city of Almer” [Almere] als slachtoffer, „municiatitis is an appelldor” [Apeldoorn], „Herod of delirium” (?), „Corps in Utrecht” [USC], „Gorod Haga” [Den Haag] en „VDL Groop” [VDL Groep]. Maar NRC ontbreekt.
De NRC-site is de hele dag onbereikbaar voor lezers. De klantenservice spreekt een bandje in met uitleg. Tachtig lezers mailen. Journalisten die deze dag publiceren, balen: hun stukken verdwijnen ongelezen in de draaikolk van het nieuwe nieuws. De volgende ochtend is alles weer voorbij.
De krant is de gebeurtenis snel vergeten. Een DDos-aanval is toch een beetje als graffiti op je voordeur: je poetst het eraf en je gaat weer door.
Heggenschaar
NRC raakte nieuwsgierig naar de aanval. Valt meer te zeggen over de graffiti dan hoe je de verf verwijdert? Want één dag offline is niet zo vreselijk, maar bij elkaar opgeteld vormen DDoS-aanvallen inmiddels een hinderlijk, snelgroeiend en kostbaar probleem. Het Amerikaanse internetbedrijf Cloudflare, waarlangs een vijfde van het mondiale internetverkeer loopt, kreeg in de eerste drie maanden van dit jaar evenveel DDoS-aanvallen te verduren als in heel 2024: ruim twintig miljoen.
Het datacentrum van SkyLink in Eygelshoven, Limburg.
Foto John van Hamond
De verhouding in kosten is scheef. De benadeelde partij heeft een compleet team en tonnen aan apparatuur nodig om een aanval af te slaan, de hacker spendeert hooguit 100 euro. Alsof iemand met een heggenschaar van een paar euro de bovenleidingen van ProRail kapotknipt. Die asymmetrie maakt organisaties die leunen op online bereikbaarheid – het openbaar vervoer, de overheid, nieuwsvoorzieningen – buitengewoon kwetsbaar.
NRC wilde weten: wat gebeurde op 30 april? Wie waren de hackers? En hoe verweer je je tegen een DDos-aanval? We analyseerden daarom het logbestand van de aanval: 83 miljoen ‘regels’ (een verzoek om een pagina te laden) in 48 uur – elke regel een afgevuurde kogel.
Overbelast
De aanval begint om stipt 8.00 uur. Uit het niets sturen duizenden computers van over de hele wereld simultaan verzoeken naar de site van NRC. Binnen enkele minuten zwelt de stroom aan tot tienduizenden aanvragen per minuut. De computers zoeken bijvoorbeeld naar auteurs in de zoekbalk. Zo wordt meer dan twintigduizend keer naar economieredacteur Egbert Kalse gezocht. Ook worden pagina na pagina aan ‘volgonderwerpen’ opgeroepen, een functie waarmee lezers een dossier kunnen volgen. Contactformulieren worden ingevuld, niet-bestaande pagina’s opgevraagd, de computers zoeken met willekeurige karakters naar onzin. Al die verzoeken belasten de servers in het datacentrum in Rotterdam van hostingbedrijf Intermax, waar NRC klant is. Ze vergen veel rekenkracht – voor de kenners, op layer 7. Algauw raakt de site overbelast
Intermax bemerkt de aanval niet meteen. Als NRC een dikke scoop heeft, piekt het verkeer ook, zegt directeur Ludo Baauw in z’n kantoorboerderij bij Delft. En de malafide verzoeken die deze ochtend binnenkomen, lijken sterk op die van gewone lezers. Veel komen van de netwerken van Odido en KPN, net als bij abonnees. Na een halfuur wordt het niettemin duidelijk: dit is veel te veel.
Om 11.00 uur kan de apparatuur bij Intermax het niet meer bolwerken, andere klanten krijgen ook last van het overlopende netwerk. De provider schakelt NaWas in, een dienst die Nederlandse hostingbedrijven helpt om DDoS-aanvallen af te slaan. NaWas noemt zichzelf een ‘nationale wasstraat’ waar internetverkeer schoon uitkomt. NaWas heeft krachtige apparatuur en veel bandbreedte, waardoor grote hoeveelheden verkeer kunnen worden omgeleid en gefilterd tijdens een aanval.
Om 11.12 uur doet NaWas een technische mededeling die in enkele seconden over het hele internet gaat. Vanaf nu moet elke NRC-bezoeker eerst door de wasstraat van NaWas. Alleen verzoeken die door het filter komen, mogen naar NRC.
In theorie dan, want het blijft de hele middag hannesen. Mensen kunnen nog steeds niet of nauwelijks artikelen lezen. Het filter is eerst te streng, dan niet streng genoeg. Om 15.15 uur zet Intermax een drastische stap. Alleen verzoeken uit België en Nederland mogen nog door: een zogeheten geoblock. Het is een paardenmiddel dat alle lezers in het buitenland uitsluit – maar het is niet anders.
Eén dag offline is niet zo vreselijk, maar bij elkaar opgeteld vormen DDoS-aanvallen inmiddels een hinderlijk, snelgroeiend en kostbaar probleem
Daar hebben de aanvallers echter op gerekend, blijkt uit de logbestanden. In minder dan één seconde verandert de strategie drastisch. Vanaf dat moment komt de bulk van de verzoeken ineens uit een handjevol netwerken uit Nederland, dwars door de geoblock heen.
De hele avond en nacht blijven deze netwerken miljoenen verzoeken afvuren. Doordat de rest van de wereld is geblokkeerd, komt de site een beetje op gang, zij het traag. En dan, na precies 24 uur, is de aanval voorbij. De volgende dag gaat de blokkade eraf, daarna piept NaWas ertussenuit. De krant doet aangifte.
Daders
Wie heeft dit gedaan? Het technische team van NRC houdt de hele dag het X-account en het Telegram-kanaal van NoName057(16) in de gaten, maar ziet NRC niet langskomen.
Ludo Baauw van Intermax heft zijn handen in de lucht. Tja, zo’n DDoS-aanval is grotendeels geautomatiseerd, zegt hij. Je huurt een programmatuur en de bijbehorende computers en servers en je bent inbusiness. Het kost misschien 100 euro, iedereen kan het, zegt hij. En wat maakt het uit wie erachter zit? Vraag is hoe je hem afslaat.
Ook de DDoS-wasstraat kan geen dader aanwijzen. NaWas maakt profielen van aanvallen – wat zijn de kenmerken van de datapakketjes, welke verzoeken worden gedaan –, maar vooral om de eigen filters correct in te kunnen stellen. Daders zoeken is aan de autoriteiten. Wat NaWas wel opvalt, is dat de hackers de moeite hebben genomen om de structuur van de NRC-site te bestuderen. Dit was niet de allersimpelste aanval.
We doen een duik in de logbestanden met universitair docent en onderzoeker netwerkveiligheid Mattijs Jonker van de Universiteit Twente.
Screenshot van de NRC-website tijdens de DDoS-aanval.
NRC
In de eerste fase van de aanval, in de ochtend, komen veel verzoeken van ‘residentiële aansluitingen’, ziet Jonker: huis-, tuin- en keukenaansluitingen. Ze komen uit de hele wereld, maar ook van telecombedrijven in Nederland als KPN en Ziggo. Dat kan slaan op een ‘botnet’, een netwerk van geïnfecteerde pc’s, mobieltjes en andere apparaten die slaafs opdrachten uitvoeren zonder dat hun gebruikers dat weten. Deze verzoeken zijn nauwelijks te onderscheiden van legitiem verkeer en daarom moeilijk af te weren. Hij ziet een grote variatie in de verzoeken. „Doe dit, pak dat, vul dit in.” Die afwisseling is extra belastend voor een site.
In de tweede fase, na de geoblock, worden de thuiscomputers ingeruild voor heavy hitters waar veel aanvalskverkeer vandaan komt en die vanuit Nederland opereren, ziet Jonker. „Ze reageren héél snel op de geoblock.” Negen netwerken springen eruit, drie daarvan veroorzaken de meeste problemen. Die horen bij UAB Cherry Servers uit Litouwen, CGI Global Limited uit Hongkong en een partij met de intrigerende naam ‘Individual Entrepreneur Anton Levin’ uit Georgië. Een server van CGI verzendt tijdens de aanval bijna 950.000 verzoeken.
Cherry, leert het internet, is een gewoon hostingbedrijf met een website. Daar kunnen klanten voor 0,015 cent per uur een stukje server huren om hun site of dienst op te draaien. Of ze kunnen dat deeltje weer doorverhuren. Kwaadwillenden kunnen de server inzetten om spam te versturen, creditcardgegevens te stelen of een DDoS-actie uit te voeren, waarna ze weer verdwijnen.
CGI blijkt onder de naam HostVDS ook per uur serverruimte te verhuren. ‘Individual Entrepreneur Anton Levin’ heeft helemaal geen site.
Lees ook
Tijdens de cyberaanval op de TU waren ook de draaiboeken voor crises onbereikbaar. ‘Gelukkig zaten die in ons hoofd’
Pakketje
Het klinkt allemaal buitenlands, ver weg, ongrijpbaar. Maar de aanvallen komen door de geoblock, dus érgens vanuit Nederland.
Een hulpmiddel op internet geeft uitsluitsel. Een traceroute brengt de stapjes in kaart van een datapakketje op weg naar diens eindbestemming en meet hoelang elk stapje duurt. Tien milliseconden is Europa, twee à drie milliseconden is Nederland.
Wanneer de verslaggevers een pakketje terugsturen naar een afzenderadres van CGI Global, dan komt-ie langs Ketelskamp 10 in Meppel. Daar staat een datacentrum van internetbedrijf Serverius. NRCschreef al eerder over Serverius. Het rechts-extremistische forum 8chan en nieuwssite Daily Stormer vonden daar onderdak. Er draaide bij Serverius een Russische beïnvloedingscampagne en hostingbedrijf Koddos – vaste vindplaats van kinderporno – was klant in Meppel.
Serverius en Skylink kwamen allebei eerder in opspraak met dubieuze klanten en hun malafide activiteiten
De complianceofficer van Serverius mailt terug. CGI is inderdaad klant. Maar het huurt alleen een plek in de rekken en neemt stroom en internettoegang af voor de eigen apparatuur. Dat maakt CGI, niet Serverius, verantwoordelijk voor wat ze doen. Over de DDoS-aanval op NRC zegt de compliance officer dat ze geen raar verkeer hebben gezien. („Thank you for informing us.”) CGI reageert niet.
Het Litouwse Cherry heeft ook voet aan de grond in Nederland. Het pakketje reist via de campus van de Universiteit van Amsterdam, via internetbedrijf Equinix – een grote partij, weinig in opspraak. Cherry reageert niet op vragen van NRC. Equinix laat weten niet te kunnen controleren wat klanten doen.
Buren
Dan de mysterieuze ‘Individual Entrepreneur Anton Levin’. Milliseconden tellen geeft geen uitsluitsel. Veel verzenders reageren niet meer, of blijken nu ver weg te zitten. Wel kunnen met een ander hulpmiddeltje de peers van Anton Levin worden achterhaald: diens ‘buren’ op internet, die actief elkaars verkeer doorsluizen. De enige Nederlandse peer van ‘Anton Levin’ is het bedrijf Skylink, in Eygelshoven, Limburg.
Het datacentrum van Skylink staat naast een brandstoffen- en afvaldepot, vlak bij de Duitse grens. Achter de loodsen loopt een spoorlijntje. Achter in de tuin staan 26 grote schotelantennes.
Een paar jaar geleden bleek dat binnen het datacentrum een allegaartje aan computers bitcoins stond te minen. In 2023 kwam Skylink in het nieuws, toen de fiscale opsporingsdienst FIOD en Europol de Duitse eigenaar Marcel E. in het vizier kregen. De instanties vielen binnen bij een ander datacentrum, in Den Helder, waar Marcel E. directeur was. Vier mensen werden gearresteerd. Het Noord-Hollandse bedrijf werd verdacht van het illegaal aftappen van buitenlandse tv-zenders, om die via internet te verkopen aan een miljoen klanten in Europa.
De FIOD viel ook binnen bij Skylink in Eygelshoven. De tv-signalen kwamen mogelijk van de 26 schotels in de achtertuin. Skylink mocht open blijven, het datacentrum in Den Helder ging failliet.
In Eygelshoven neemt een technicus in het Duits de telefoon op. Zijn klanten gaat hij niet prijsgeven, zegt hij. De mail die NRC stuurt, blijft onbeantwoord. Maar de bevestiging staat gewoon op internet. Het Russische hostingbedrijf VDSKA blijkt het netwerk van ‘Anton Levin’ te beheren. Op zijn site adverteert VDSKA dat het opereert vanuit een datacentrum in Eygelshoven.
Bestookt vanuit Eygelshoven
Amsterdam, Meppel, Eygelshoven – wie bestookte via die plaatsen NRC?
Carel Bitter van Spamhaus, een organisatie die onder meer cybercriminaliteit bestrijdt, helpt met zoeken. Spamhaus scant voortdurend het internet af op schadelijke activiteit. Bitter haalt de negen grootste netwerken die NRC aanvielen door de database van Spamhaus.
Deze netwerken faciliteren vaker hackers en cybercriminelen, ziet Bitter. „Neem CGI: spam, creditcardfraude, wachtwoorden ontfutselen, botnets. Fijn netwerk.” Wat ook opvalt, is dat NoName057(16) telkens opduikt. Van de negen netwerken werden recent zeven ingezet door de hackersgroep. De overlap is enorm.
Het moeten de Russen zijn. Toch?
De zoektocht eindigt in een simpel belhokje op de NRC-redactie, met een telefoontje naar het Nationaal Cyber Security Centrum (NCSC). Het NCSC is door het ministerie van Justitie belast met het beschermen van kritieke digitale infrastructuur. In de week van de aanval gaf het een persbericht uit over een golf aanvallen door NoName057(16).
Was NRC een van de slachtoffers? De DDos-expert van NCSC, die wegens „operationele veiligheid” anoniem wil blijven, klikt aan de andere kant van de lijn een spreadsheet open en begint met scrollen. En dan bereikt hij rij 63 en ja hoor: daar staat NRC. „Kijk, jullie waren de enige media-organisatie.”
Screenshot van de NRC-website tijdens de DDoS-aanval.
NRC
NoName057(16) werkt met vrijwilligers, legt de expert uit. Die hebben allemaal een stuk software gedownload, ‘Ddosia’, dat een omvangrijk netwerk vormt waarmee de groep aanvallen uitvoert. „Al kunnen we niet uitsluiten dat ze bijvoorbeeld ook hostingpartijen of gehackte computers gebruiken.” Het NCSC heeft zo’n stuk software uit elkaar gehaald en nagebouwd, waarmee het kan meekijken met de opdrachten die de groep aan de vrijwilligers stuurt.
NCSC telde 133 aanvallen op Nederlandse doelen in die week. En de opdracht ‘val nrc.nl aan’ kwam inderdaad langs op 30 april. Waarom NRC? De expert: „Tja, deze lui voeren tienduizenden aanvallen uit. Jullie zijn niet speciaal.”
Polder
Klaarblijkelijk is het nieuws dat het de Russen waren zo irrelevant dat het niet eens Intermax of NaWas bereikt. Kunnen die niets doen, behalve omleiden, filteren en hopen dat de bui overtrekt?
Onderzoeker Mattijs Jonker en Carel Bitter van Spamhaus peinzen over die vraag. Nee, anonieme hackers zijn niet te stoppen, botnets zijn lastig te bestrijden. Maar een paar wakken in het ijs moeten kunnen worden gedicht. Het verbaast Jonker bijvoorbeeld dat Intermax niet meteen die negen partijen die NRC vanuit Nederland aanvielen, heeft geblokkeerd.
Deze lui voeren tienduizenden aanvallen uit. Jullie zijn niet speciaal
Ludo Baauw van Intermax weet niet of dat werkt. „Als je een paar adressen blokkeert, verzinnen ze wel een andere route.” Maar, zegt hij ook, „we leren hier weer van en hebben onze tactiek inmiddels aangepast”.
Jonker en Bitter zien in deze aanval de bekende zwakke plekken in het Nederlandse internet opduiken. Serverius en Skylink kwamen allebei eerder in opspraak vanwege dubieuze klanten en malafide activiteiten. De aanval komt van partijen waar herhaaldelijk kinderporno wordt gevonden, illegale gekopieerde content, phishing, spamming, hacken, botnets, virussen.
Die zwakke plekken in de polder ziet het NCSC ook. „Een bron van zorg. Maar de aanpak daarvan ligt bij de politie.” Met beperkt resultaat. De wet werkt niet mee, klanten zijn anoniem, datacentra en hostingbedrijven zijn amper verantwoordelijk voor de daden van hun klanten. De politie besteedt haar schaarse opsporingscapaciteit liever aan grote cybercriminele bendes.
In die tolerante omgeving kan het DDoS-probleem razendsnel groeien. Het NCSC: „We hebben DDoS-aanvallen lang afgedaan als onschuldig en symbolisch. Dat kunnen we niet meer volhouden.”
Lees ook
Rusland zat ‘zeer waarschijnlijk’ achter grootschalige datadiefstal bij politie, volgens inlichtingendiensten
Datacentrum van Serverius in Meppel, dat CGI Global Limited uit Hong Kong als klant heeft: een van de aanvallers van NRC.
/s3/static.nrc.nl/images/gn4/stripped/data133397414-025eb4.jpg|https://images.nrc.nl/JsdtEUV_tJ0-3GGTbIr3__hsEqU=/1920x/filters:no_upscale()/s3/static.nrc.nl/images/gn4/stripped/data133397414-025eb4.jpg|https://images.nrc.nl/CXU-MLAgsSWg4TuSisudmDxT7ec=/5760x/filters:no_upscale()/s3/static.nrc.nl/images/gn4/stripped/data133397414-025eb4.jpg)
