In de Antwerpse haven zorgden hackers ervoor dat enorme hoeveelheden cocaïne geruisloos op de Europese scarkt terecht konden komen. Nederlandse criminelen stuurden het aan. Welke methoden zetten de IT-specialisten in? Een serie in een samenwerking tussen Crimesite en de Gazet van Antwerpen.
Door @Wim van de Pol
Het is juni 2013 als de federale gerechtelijke politie van Antwerpen de Vlaamse “cybergoeroe” Filip Maertens en twee andere IT-specialisten aanhoudt. Naast Maertens zijn dien jeugdvriend D. van de M. (??) en de 32-jarige W. van der M. verdacht. Die laatste is een specialist op het gebied van penetreren in systemen. Het Antwerpse parket ziet hen en de Nederlanders Orhan A. en Ahmet O. als verdachten van het hacken van havenbedrijven. Doel was pincodes te ontfutselen waarmee containers (met drugs of andere waardevolle goederen) op de haventerreinen konden worden opgehaald. Het hacken kwam volgens de politie op het volgende neer:
- Hacking van computernetwerken van havenbedrijven
- Verspreiden van malware om key-logging mogelijk te maken
- Ontwerpen en configureren van netwerkapparatuur
- Plaatsen van data-afluisterapparatuur na inbraak
Maertens c.s. zouden samen met A. deel hebben uitgemaakt van een criminele organisatie. Doelwit waren vooral de containerbehandelaars DP World en PSA en ook de Antwerpse rederijen MSC en CSAV.
PWNIE-plugs
Uit de verslagen van de Belgische politie komt naar voren dat zij tussen 2011 en 1013 drie fases van aanvallen zagen. De havenbedrijven blokkeerden de aanvallen steeds, waarna de hackers tot vernuftiger tactieken overgingen. In de eerste fase stuurden hackers via e-mail malware of spyware naar personeel van de bedrijven. Dat ging bijvoorbeeld om het openen van een bijlage waarmee zogenaamd Adobe Reader werd ge-upgrade. Spionage software stuurde dan onder meer wachtwoorden, informatie over containerverkeer en pincodes naar de hackers. De tweede fase bestond uit aanvallen van hackers op de websites van de havenbedrijven. Ze probeerden in te loggen om zo de begeerde informatie te bemachtigen. Toen die methode niet meer bleek te werken volgden inbraken. ’s Nachts plaatsten criminelen hardware key-loggers op de computers van de kantoren. Zo werden alle toetsaanslagen van die computers geregistreerd. Doorsturen deden minuscule wifi-zendertjes die de hackers draadloos hun informatie doorgaven. En tenslotte sloten de inbrekers ook zogeheten PWNIE-plugs (voorbeeld) aan op het netwerk van de bedrijven. Deze doosjes, waarin mini-computers zijn verstopt, plaatsten ze bij stekkerdozen en in computerruimtes. Zo werd alle netwerkverkeer van de bedrijven afgetapt en netjes doorgestuurd met een 3G-verbinding.
Heterdaad
De PWNIE-plugs kwamen niet off the shelf maar waren, volgens de recherche, door Maertens c.s. zelf ontworpen en gebouwd. Verdachte D. van de M. werd op heterdaad betrapt op 16 augustus 2012 terwijl hij met open motorkap op de parkeerplaats van containerbehandelaar DP World in Zwijndrecht stond. De nacht ervoor was er ingebroken bij DP World zonder dat er iets gestolen leek te zijn. Er werden wel key-loggers op pc’s gevonden. Terwijl de recherche binnen was stelden ze vast dat er een wifi-netwerk werd geactiveerd. Het signaal bleek het sterkst uit te slaan op de parkeerplaats. Van de M. zat gebogen over zijn laptop in een Subaru Impresa. Hij verklaarde later dat hij de motorkap open had omdat er geen 12 volt-aansluiting in de wagen aanwezig was en dus de laptop middels klemmen op de accu van stroom had voorzien.
Bekennen
Voor Van de M. was betrokkenheid bij deze cyberinbraak niet te niet ontkennen. Hij, Filip Maertens en Van der M. bekennen het ontwerpen en configureren van de zogenaamde PWNIE-plugs. Ze leverden de toestelletjes af bij de medewerkers van Orhan A. die de spullen ’s nachts heimelijk liet plaatsen in kantoren van de havenbedrijven. Van der M. bekende ook dat hij een aantal keer had geprobeerd om via een laptop connectie te maken met de geplaatste hardware keyloggers. De drie ontkennen echter met klem iets te maken te hebben met het malware-spammen bij de havenbedrijven slachtoffer van werden en eveneens het hacken van de portaalsites van de containerbedrijven.
Verkenningsoperatie
Op 17 augustus 2012 vonden agenten in het kantoor van rederij CSAV, in de London Tower in Antwerpen een zogenaamde PWNIE-doos, die inderdaad gebruikt blijkt te zijn om het dataverkeer te tappen. Volgens de recherche blijkt zonneklaar dat Maertens c.s. hier de hand in hebben gehad samen met Orhan A.. Op 9 november 2011 zijn Maertens, Van de M. en Orhan A. kantoorruimten wezen bezichtigen in de London Tower. Het drietal wilde echter geen kantoorruimte huren. Het was meer een verkenningsoperatie. Van de M. heeft inmiddels tegenover de politie verklaard dat hij van Maertens de netwerken in het gebouw moest controleren met zijn apparatuur:
‘Filip vroeg me om een bepaald kantoorpand te gaan bekijken. Hij hield voor dat hij er zijn bedrijven Argus Labs en Avidyan binnen eenzelfde gebouw wou vestigen. Ik diende enkel te checken of het mogelijk was om de bekabeling op een veilige wijze te scheiden van de andere bedrijven. Ik moest tevens ook nagaan of er interferentie zou zijn met eventuele draadloze netwerken in die omgeving. Ik moest ook nagaan of er een goede gsm-dekking was.’
Wordt vervolgd.
Lees alle delen van de serie:
Gehackte haven, cokesmokkel 2.0 (#6)
Gehackte haven, cokesmokkel 2.0 (#5)
Gehackte haven, cokesmokkel 2.0 (#4)
Gehackte haven, cokesmokkel 2.0 (#3)
Gehackte haven, cokesmokkel 2.0 (#2)
Gehackte haven, cokesmokkel 2.0 (#1)