Bredolab was een groot botnet dat eind jaren 2000 werd gebruikt voor het verspreiden van malware (zoals keyloggers) en spam. Het botnet bestond uit een netwerk van naar schatting 30 miljoen geïnfecteerde computers (ZDnet, 26 oktober 2010).

Cybercriminelen huurden botnets voor o.a. het versturen van phishingmails en het uitvoeren van ddos-aanvallen. In oktober 2010 wist de Nederlandse politie (het Team High Tech Crime) in samenwerking met IT beveiligingsbedrijven, het Bredolab-netwerk binnen te dringen en op te rollen.  

Opsporing en aanpak

Tijdens de operatie op 25 oktober 2010 nam de Nederlandse politie in samenwerking met beveiligingsbedrijf Fox-IT en medewerking van het hostingbedrijf LeaseWeb de controle over 143 command & control servers van Bredolab in Nederland over (deze servers stonden bij een Nederlandse hostingprovider in Nederland. Ook werd de rest van de wereldwijd verspreide infrastructuur ontmanteld.

Na de inbeslagname van de servers stuurde de politie een waarschuwingsbericht naar alle circa 30 miljoen geïnfecteerde computers om de eigenaren te informeren dat hun systeem deel uitmaakte van een botnet en te adviseren maatregelen te nemen. Deze grootschalige notificatie was destijds uniek en werd uitgevoerd via de overgenomen C2-servers.

De hack en het waarschuwingsbericht waren ook controversieel. In de Bredolab operatie is geoefend met wat later de “hackbevoegdheid” zou gaan heten (pas in 2019 met de Wet computercriminaliteit III ingevoerd in NL). Het Korps Landelijke Politiediensten (KLPD) kreeg in 2011 de Big Brother Award (Tweakers.net) voor de actie. Zie ook voor internationale berichtgeving Did Dutch Police Break the Law Taking Down a Botnet? | PCWorld.

Nederlandse en Armeense autoriteiten werkten samen in het opsporingsonderzoek. De ‘mastermind’ werd niet uitgeleverd, maar in Armenië vervolgd.

Arrestaties en jurisprudentie

In 2010 werd de 27-jarige beheerder van Bredolab, de Armeense Rus Georgy A., gearresteerd in Armenië. Hij gold als de “mastermind” die met Bredolab naar schatting $139,000 per maand verdiende door het verhuren van zijn botnet aan andere criminelen (zie Krebsonsecurity.com, 30 oktober 2010).

Het was naar verluid de eerste veroordeling ooit in Armenië onder hun computerstrafwetgeving. A. werd onder andere schuldig bevonden aan het uitvoeren van DDoS-aanvallen met zijn botnet. In Nederland zelf kwam het niet tot een rechtszaak tegen verdachten die van het Bredolab-botnet gebruik maakten, maar de operatie vormde wel een belangrijk precedent. Het verstoren/ontmantelen van een botnet en waarschuwen van slachtoffers vond later vaker plaats.