Operation Power Off werd voor het eerst grootschalig uitgevoerd op 24 april 2018. Het doelwit was de website Webstresser.org, destijds ’s-werelds grootste DDoS-for-hire marktplaats (Europol).

Op Webstresser konden gebruikers voor prijzen vanaf ongeveer €15 per maand al DDoS-aanvallen “huren” en deze gebruiken op opgegeven doelwitten. De website telde meer dan 136.000 geregistreerde gebruikers en volgens de autoriteiten waren er tot april 2018 ongeveer 4 miljoen DDoS-aanvallen via Webstresser uitgevoerd. Wereldwijd werden bijvoorbeeld banken en overheidsportalen, politiewebsites en gamingservers aangevallen (zie ook nos.nl).  

Opsporing en aanpak

Onder leiding van de Nederlandse politie (Team High Tech Crime (THTC)) en de Britse National Crime Agency (NCA) werd in samenwerking met Europol en opsporingsautoriteiten uit andere landen een simultane actie opgezet.

De Nederlandse politie werkte onder gezag van het Openbaar Ministerie samen met Engeland, Duitsland, Schotland, Australië, Canada, Italië, Spanje, Servië, de VS, Kroatië, Hong Kong, Europol en de Joint Cyber Action Taskforce in de internationale strijd tegen DDoS-aanvallen (OM.nl).

In het persbericht van OM wordt over de aanpak het volgende vermeld:

“Viersporenbeleid

Deze acties passen in het viersporenbeleid van de Integrale aanpak die de minister van Justitie en Veiligheid afgelopen week heeft aangekondigd. Dit houdt onder meer in dat de overheid investeert in opsporing en wetenschappelijk onderzoek. Naast de opsporing, zetten politie en justitie steeds meer inzetten op het voorkomen en verstoren van cybercrime. Dit gebeurt samen met (internationale) partners en wetenschappelijk onderzoek. Een ander onderdeel is dat de opsporing wordt versterkt en de overheid slachtoffers ondersteunt om te voorkomen dat zij herhaald slachtoffer van cybercrime worden.”

In 2019 maakte Europol bekend dat de verkregen gebruikersdata van 151.000 gebruikers van Webstresser ook met Europol zijn gedeeld en geanalyseerd (Europol).

Vervolgactie 2019

Na de takedown van Webstresser.org in april 2018 verschoof Operation PowerOFF in 2019 nadrukkelijk naar de gebruikers van DDoS-for-hire-diensten.

Europol meldde op 28 januari 2019 dat de inbeslagname van Webstresser.org opsporingsdiensten in Europa en daarbuiten een grote hoeveelheid informatie had opgeleverd over de gebruikers van deze dienst.

Volgens Europol ging het om 151.000 geregistreerde gebruikers; Webstresser.org zou meer dan 4 miljoen DDoS-aanvallen hebben gefaciliteerd voor bedragen vanaf ongeveer €15 per maand.

In het persbericht van Europol wordt ook verwijzen hoe Nederland koos voor alternatieve sancties naar aanleiding van de operatie.

Arrestaties en jurisprudentie

Op 24 april 2018 zijn de vier vermoedelijke beheerders van Webstresser gearresteerd. De site Webstresser.org is offline gehaald en bezoekers kregen vanaf dat moment een splash-page te zien. Europol vermeld dat dat de onderliggende infrastructuur in drie landen in beslag werd genomen, namelijk in Nederland, de Verenigde Staten en Duitsland. PayPal-accounts en cryptocurrency wallets die aan de site gekoppeld waren, werden bevroren of onderzocht op transacties om de geldstromen in kaart te brengen.

Naast de beheerders namen opsporingsdiensten ook direct maatregelen tegen prominente gebruikers van Webstresser: in de dagen na de actie zijn in landen als Nederland, het Verenigd Koninkrijk, Italië, Spanje, Kroatië, Australië, Canada en Hong Kong tientallen Webstresser-klanten geïdentificeerd en aangehouden of verhoord. Zo arresteerde de Nederlandse politie in de week erna zes jongeren (tussen 17 en 19 jaar) in Noord-Nederland die via Webstresser diverse DDoS-aanvallen zouden hebben gekocht. Politie houdt zes verdachten aan voor ddos-aanvallen via Webstresser-dienst – Tweakers

In een arrest van 24 december 2021 (ECLI:NL:HR:2021:1944) van de Hoge Raad (in hoger beroep op (ECLI:NL:GHAMS:2020:4033)) worden de volgende feiten over een ‘bootersite’ (mogelijk webstresser) vermeld:

“In 2017 voelde de verdachte zich opgelicht door de website ‘ [internetsite 2] ’ De verdachte zocht daarom een manier om de eigenaar van deze website te “treffen“ en kwam terecht bij de website ‘ [internetsite 1] ’[1]

Dit betrof een zogeheten ‘bootersite’ die tegen betaling diensten leverde om (onder meer) Distributed Denial of Service-aanvallen (hierna: DDoS-aanvallen) uit te laten voeren op andere websites, door die websites te testen op hun bestendigheid tegen dergelijke aanvallen.[2] DDoS-aanvallen zijn pogingen om een computer, computernetwerk of dienst niet of moeilijker bereikbaar te maken voor de bedoelde klanten, waarbij meerdere computers tegelijk de aanval op hun doelwit uitvoeren.[3] De verdachte registreerde zich op de website ‘ [internetsite 1] ’ als gebruiker en betaalde daartoe op 23 oktober 2017 via zijn PayPal-account een bedrag aan die website.[4] Vanuit zijn woning in [plaats] (Nederland) liet de verdachte via ‘ [internetsite 1] ‘ verschillende DDoS-aanvallen uitvoeren op de website ‘ [internetsite 2] ’[5].

Meer specifiek ging het om in totaal 16 DDoS-aanvallen in de periode van 23 oktober 2017 tot en met 25 oktober 2017.”

In een andere zaak werd een jonge verdachte veroordeeld (ECLI:NL:RBZWB:2022:848) tot 200 uur taakstraf voor het plegen van een groot aantal DDoS-aanvallen op webservers van banken, bedrijven en overheidsinstanties (zie ook Ddos’er die fiscus, banken en Tweakers aanviel, krijgt 200 uur taakstraf – Tweakers). Deze zaak leverde zelfs nog antwoorden op Kamervragen op over het bericht dat ‘Ddos’er die fiscus, banken en Tweakers aanviel’.

De politie wijst naar aanleiding van de operatie ook op het Hack_right programma (politie.nl), waarbij wordt getracht daders ‘het rechte pad’ op te krijgen door middel van stages, mentorschap en andere maatregelen.

Alternatieve interventies

De Nederlandse politie heeft ook alternatieve interventies ingezet, waaronder een ‘Ask me anything’ op Reddit.com.

Veel gebruikers kregen een waarschuwingsgesprek aan de deur of ontvingen een waarschuwingsbrief of e-mail zonder, tenzij de ernst aanleiding gaf tot vervolging. Volgens een bericht op security.nl van een andere ddos-dienst (MineSearch) zou het volgende in de brief hebben gestaan:

 “We hebben je geregistreerd in ons systeem en je krijgt nu een laatste waarschuwing. Als zich in de toekomst nieuwe soortgelijke feiten voordoen, gaan we over tot vervolging”.

Publiek-privaat samenwerkingsverband

De Nederlandse politie zette naar aanleiding van de operatie een publiek-private samenwerking op: het initiatief “No More DDoS” werd gestart na deze operatie, waarbij bedrijven en politie informatie uitwisselen om DDoS-aanvallen sneller te detecteren en te herleiden.

De Nederlandse anti-DDoS-coalitie is een consortium van 20 Nederlandse organisaties uit verschillende sectoren (waaronder ISP’s, banken, overheidsinstellingen en rechtshandhavingsinstanties) die DDoS-aanvallen gezamenlijk bestrijden.

Zij wisselen daartoe kennis uit, participeren gezamenlijk in (onderzoeks)projecten en oefenen in ieder geval één keer per jaar met een gesimuleerd scenario waarbij live DDoS-aanvallen worden gebruikt onder gecontroleerde omstandigheden. Op de website ‘nomoreddos.org’ is te lezen dat de coalitie gebruik maakt van ‘verschillende coöperatieve instrumenten’:

1. het onderling uitwisselen van kennis en ervaringen
2. het delen van metingen van de kenmerken van DDoS-aanvallen via een zogenaamd ‘DDoS clearinghouse’
3. het gezamenlijk uitvoeren van DDoS-oefeningen
4. het verstrekken van informatie over DDoS-aanvallen aan het algemene publiek
5. het bevorderen van beveiligingsstandaarden die helpen bij de bescherming tegen DDoS-aanvallen

Ik heb weinig recente publieke activiteiten van de anti-ddos-coalitie gezien.