Cyberhelden 71 - Een Rus of een Amerikaan in je router. Wat heb je liever?

Welkom wel weer in de nieuwe aflevering van Cyberhelden, de podcast waarin ik in gesprek ga met wensen die zich bezig houden met digitale bereiging. Ik ben Ram den Prins en vandaag zit ik weer met Marco en met Jelle. Hallo hallo. Hallo.

We hebben vandaag twee mooie verhalen denk ik. De FBI heeft een Russische operatie ontmond tot waarbij 18.000 routers in 120 landen werden gehakt. Helemaal niks nadat Malware, maar gewoon lekker gespeeld met de DNS settings en klaar. En Citizen Lab legt bloot hoe een Israëlisch bedrijf via gewone advertentiedata 500 miljoen mobiele devices kan volgen, realtime. En dat dan verkoopt aan Amerikaanse politici en ICE. In beide gevallen gaat het gewoon om de infrastructuur die je dagelijks gebruikt als aanvalslaag, routers en je telefoon.

Maar eerst de nieuwtjes en nog belangrijker, hoe gaat het met ons? Jelle? Ja, ik had vorige week over plinten en nu heb ik gewoon de leuke fase van inrichten, een beetje kast ophangen, een beetje dat allemaal. Dus dat je ook daadwerkelijk wel iets ziet van progressie. En vorige week dacht ik, ik hoorde jullie over Claude en jullie zijn, nou dat weet ik al. Toen dacht jij, ik ga ook eens even kijken naar dat AI, dat klinkt wel interessant. Ja, nee, precies. Ik weet dat jullie fans zijn van Claude en wat die kan enzo. En ik zat met name op GPT en co-pilot enzo. Dus dat heb ik nu afgelopen maandag een deel gefixt.

Ja, en ik vind het gewoon magisch weer een mooie stap. Maar ook dus dat je met die MCP-surfers die gewoon eigenlijk veel makkelijker zijn op deze manier. En dacht ik ook van, dus dat je die MCP-surfers hebt om vervolgens tegen alles in je leven aan te praten. Dat apps, ik hou van apps bouwen, maar dat apps ook een beetje klaar zijn. Want je gaat straks lul je gewoon tegen Claude, die praat op de achtergrond tegen al die andere apparaat. Tegen je homie, tegen je koelkast, tegen je van alles. En vervolgens zijn apps eigenlijk ook gewoon klaar. Want waarom zou je nog een app hebben als je je chat interface hebt?

Ja, 100 procent. Ja, ik ga ook graag. Nee, niet. Nee, want ik bouw apps. Maar ik vind het wel knap dat je en lekker achter je toetsen wordt zitten en bezig bent met Claude. En dan toch ook weer de discipline hebt om kasten te gaan zitten ophangen enzo. Ik vind dat moeilijk om die twee schilders dicht te aftwisselen. Ik heb zelf lekker gezwommen, maar dan heel in een heftig stroomend water. We zijn aan het oefenen geweest met de search and rescue mensen. Heerlijk. Ik hoorde toch achter dat we in Nederland wel gezegend zijn dat iedereen hier gewoon kan zwemmen.

Blijkt dus zelfs gewoon dat de mensen waarmee ik in deze team zit, die in de gegoedige gemeenschap van Zuid-Afrika rondlopen, dat ze ook niet standaard allemaal heel goed kunnen zwemmen. Dat is zelfs, we hebben een of andere redding, een roeibootje, hoe je met paddels moet omgaan, dat moeten ze echt uitvinden. Ik zou even moeten kijken. Ik denk, wat zit ik hier nou te leren eigenlijk? Maar we hebben het toch allemaal met roeibootjes gespeeld en zo. Maar water is hier een bijzonder ding. Dat kunnen ze allemaal niet zo goed. Heerlijk. Maar het was koud bergwater trouwens. En dat kan heel hard stromen. Het regent hier in de winter best wel een beetje.

Maar bergen zijn echt een force multiplier, want alles komt op één punt uiteindelijk uit. En inderdaad, dit weekend alweer twee mensen ergens uit een kanaal getrokken, die meegezogen werden door stromend water, want het is een goed tekeer gegaan. Dus het is wel zinvol allemaal. Maar hoe doe je dat dan met die roeiboot? Met die roeiboot en een touw ga je dat stromende water over om mensen te vissen? Upstream eerst proberen en dan kijken of ze altijd weer terug kunnen komen. En dan, ja, in upstream gooi je de boot erin en dan ga je downstream proberen die mensen eruit te trekken, die die mensen weer terug kunnen komen.

Vaak zitten ze vast aan de debris, dus allemaal troep wat in het water ligt, waar je tegenaan geduwd wordt. En wel leuke dingen ook geoefend met in stromend water. Als je dus met een tether een lijntje aan de kant vast zit, dat is levensgevaarlijk. Want uiteindelijk duwt dat water hier naar onderen toe. Maar goed, onze vesten hebben daar dan weer een hendeltje voor om jezelf van los te trekken. En als we hebben je gewoon samen met slachtoffers verder downstream. Maar goed, hiervoor zou het in ieder geval niet gelijk. Waar komt die stroming dan uit? Sorry, in tekenfilms kom je dan altijd bij een waterval uit, zeg maar.

Daar eindigt de stroming totaal. Maar als je iemand mee laat voeren, dan kom je gewoon ergens... Dus het water stroomt altijd naar zee toe. Dat heeft iemand ooit zo bedacht. Ja, dat is het. Aardrijkskunde. Ik heb mijn kinderen vroeger altijd geleerd als ze aan het zwaaren waren, aan het zeilen waren, maar in een dorpje. En dan, nou ja, zij gingen wel naar de zee, maar ze hadden geen zin in het water. En dan, nou ja, zij gingen soms aan de andere kant op de wijk. Ik zeg maar, als je de weg kwijt bent, altijd naar beneden gaan. Dan kom je vanzelf bij het water en bij de boot en dan ben je weer veilig.

Dat werkt overal, overal waar je bent in de wereld. Ga maar naar beneden, je komt vanzelf bij de haven uit. Goed, nou, over bij mij zegt Marco. Ja, ik heb bijzonder weinig. Lekker rustig gaan. Afgelopen weekend was echt even tijd voor met mijn zoontje. En gewoon ontspannen. Ja, dat is eigenlijk niet zoveel bijzonders. Nou goed, dan gaan we maar gelijk door met je nieuwtje dan. Jij bent heel dol op die cyberbeveiligingswet, hè? Ja, dat is helemaal mijn ding, helemaal mijn ding. Ik vond het wel de moeite waard om het even te benoemen, dat de Tweede Kamer de cyberbeveiligingswet nu heeft aangenomen.

Dus dat is hartstikke mooi. Dat betekent niet dat het nu op energie gaat veranderen, want hij gaat nu natuurlijk eerst naar de Eerste Kamer, waarbij het nog in behandeling wordt genomen. En waar ook dan uiteindelijk de planning uit voort moet komen. Dus, het is in ieder geval een hele stap dat hij nu bij de Eerste Kamer ligt. Ik ben heel benieuwd wat er gaat gebeuren. Het plan is dat hij in Q2 dit jaar doorgevoerd moet zijn. Ja, wat daar dan weer precies de impact van is, dat is nog een beetje vaag, maar iets om naar uit te kijken. We hebben het een paar keer over gehad, dus het is wel belangrijk om even te benoemen dat hij in ieder geval door stap 1 heen is. En gaat hij nou die wereld ook weer redden of niet, Thijs de Wet?

Jij staat daar best wel scherp in, Jelle. Nee, op zichzelf niet. Oh, kut. Nee, het helpt, het helpt, het helpt. Maar je hebt gewoon het hele waar we het al eerder over hebben gehad. Het moet gewoon in een bredere context zijn. Het helpt of het leidt af, kan je ook zeggen. Of je denkt van nou, we hebben het nu geregeld, dus we kunnen weer gerust slapen. Over gerust slapen zijn nog steeds mensen die zich heel druk maken om Digi-D en de overname van de Solvenity door Kindle. En ja, ik ben dat toch wel aan het volgen.

Pieter van Oort, dat is die privacy officer van Logius. Best wel een redelijk hoge ambtenaar, die hebben we het al eerder even over gehad. Maar die als ambtenaar dus nu duidelijk aan een klok aan het luiden is. Van dit gaat echt niet goed en moeten er voor liggen. Er zijn andere rare dingen gebeurd in het voorproces. En dat heeft nu eigenlijk ook het landelijke nieuws gehaald. Er is hij meerdere keren op tv geweest. Hij heeft Moldecox van de Volkskrant het verhaal overgeschreven. En nu krijgt het attractie. En dat dacht ik, waar blijft dit verhaal nou toch zo in hangen?

Dus heb ik zonder enige juridische kennis en weinige nuanceerten ook nog even wat langer naar gekeken. Ik kom eigenlijk tot de conclusie van iedereen vindt dat de minister van EZ die moet straks eens de keuze maken van dit gaat wel of niet door. Dat hij een advies krijgt van de IBT, BTI, een van die andere dingen. Ja, ik kom er eigenlijk uit. Hij heeft helemaal geen grond om ervoor te gaan liggen. Want als je er naar gaan kijkt, we hebben de Solvenity. De Solvenity heeft zichzelf aangemeld naar de verkoop bij de ministerie van

Economische Zaken om te zeggen, ja, je moet ons gaan beoordelen. Maar dan onder de wet OZT. En dat gaat over de verveling van telecombedrijven. Ik zie niet ze als een telecommunicatiepartij precies in. Maar dat is wel heel slim trucje, want dan ligt de lat best wel heel erg hoog om ervoor te gaan liggen. En dan hebben we ook nog de catch-all wet, wet FIVO. Dat gaat ook over de overnames en fuzies. Daar is die lat iets anders geformuleerd. Daar moet de minister bijvoorbeeld rekening houden met factoren zoals staat de verwerver,

dus de kopende partij onder invloed van een staat met offensieve programma's richting verstoring. Dan heeft de verwerver geen goede staat van dienst of weten we eigenlijk niet eens wie het gaat kopen. Dan kun je ervoor gaan liggen, maar in alle gevallen speelt dat niet. En je kan van alles vinden van Amerika. Ik vind er ook heel veel van, maar je kan moeilijk zeggen dat het een offensieve staat is of een vijandige staat voor Nederland. En die partij die het gaat kopen staat gewoon netjes op de beurs, dus het is ook niet heel erg onvoorzichtig. Ik vind het wel heel erg vreemd. Ik heb er nog wel naar gezocht naar die contracten, uiteindelijk hoe dat nou loopt.

Uiteindelijk is er dus ooit een contract afgesloten voor vier jaar tussen de overheid en Solvenity. En dat is dus in 2024 was dat eigenlijk afgelopen, maar je mocht het twee keer verlengen met twee jaar. Dus de eerste verlenging is toen ingegaan, waardoor het in augustus 2026 zou verlopen. En ergens hebben wij blijkbaar nu gezegd, want dat is waar ik in kamerstukken nu terugkwam, dat het in ieder geval tot 2028 doorloopt. Dus we hebben die tweede verlenging, ook gelicht heet dat dan, die hebben we ook afgeroepen. En ergens na maar in maart 2025 wist Logies al onder M-Bargo dat die overname ging plaatszinden.

En daarna hebben ze dus gezegd, we gaan toch nog twee jaar verlengen. Dus daar heeft iemand echt behoorlijk zitten slapen. Of er zit blijkbaar toch een hele grote wens om echt bij Solvenity te blijven, die ik niet begrijp. Maar als we dus niet die tweede verlenging hadden afgeroepen, dan zou het in augustus 2026 zelfgestopt zijn en dan hadden we nu geen probleem gehad. Maar dat is over een paar maanden, er waren over een paar maanden klaar met het dossier. Dat was wel lekker he. En dan was het zelf gestopt al voordat de minister zelfs een uitspraak had hoeven te doen. En dan was er ook geen probleem geweest. Dus ik begrijp echt niet wat daar nou gebeurd is.

En op zich zijn dit wel dingen, volgens mij, waar een Kamer heel boos tegen een minister kan worden en onder enge dingen gaan gebeuren. Maar misschien heb ik het helemaal mis. Het is niet echt mijn materie dit, maar dan hoor ik het ook heel graag van anderen. Wat ik vind in discussie wel heel relevant en dat moet wel precies weten hoe het allemaal zit uiteindelijk. Nou Jelle, en nu weer iets technischers. Ja iets technischers, oké. Een nieuwtje, ook weer een beetje genatieve AI, maar ik vond het gewoon een gave naam die, hoe heet dat, Google claimde voor een actie voor een prompt injection via GitHub. Namelijk comment en control. Dus dat je met een berichtje onder een GitHub repository,

dat je daarmee dus allerlei dingen kunt doen met repositories. Leg even uit, wat zet je dan in die comment zodat die aan de gang gaat? Wat gebeurt er dan? Er hangt dus een best wel dik blog achter me, daar heb ik de foto's in van hoe dat er dan uitziet. Dus je hebt dan dat je een pollrequest of een comment maakt, bijvoorbeeld van, jo, we hebben een security issue. En vervolgens zegt ze, vertie high, allerlei dingetjes. En dan zegt je vervolgens welke tool iets moet doen. En dan daarmee trigger je dan zeg maar de Cloud Code Security Review Agent,

die dan vervolgens jouw prompt leest, wat jij eigenlijk hebt gecomment op die repository. En die geeft bijvoorbeeld allerlei shit terug die hij niet terug zou moeten geven. Maar ik vind het best moeilijk om dingen uit de cloud terug te krijgen. Als ik bijvoorbeeld alleen nog gewoon een opdracht geef, ik zeg, mailt even naar me. Dan zegt hij, nee, meedoen doen we niet. Dus om dingen naar buiten te krijgen is best lastig vanuit de cloud. Tenzij je dus denk ik hier heb je een soort formeel X-Fail kanaal, namelijk gewoon de GitHub comment, zeg maar. En dat de cloud zegt, ja, nee, dit is onveilig en dit moeten we zeker aanpassen,

want dit is heel onveilig. Ja, deze APQ moet je niet zomaar ergens in de chat zetten. Oké, maar dan gaan we naar het echte eerste grote verhaal. Een hele mooie, het is toch wel gek hoe wij dat altijd mooi en elegant vinden, Russische operatie. Geen malware, geen X-Boys, maar gewoon even met de DNS van een routertje spelen. En daar. Ja, want 7 april inderdaad heeft Crabzons Security een interessante post hierover gedaan. Ja, wat is gebeurd? Dus actor APT 28 of Fort Blizzard of Fancy Bear,

allemaal verschillende namen voor dezelfde eenheid van de GRU 26165. Die heeft, nou wat nu bestempeld is als een operatie Frost Armada uitgevoerd. In december 2025 hebben ze daarbij de meeste, dat was peak activity. Toen waren ze super actief op deze operatie. En het liep minstens sinds de herfst 2025. Het is een beetje vaag hoe lang exact. En wat hebben ze gedaan? Ze hebben 18.000 small office and home routers. Dus eigenlijk zeg maar kleine Soho-dingetjes.

Ja, van die kleine apparaatjes van zowel Microtec als TP-Link vooral. Hebben ze dus het garage genomen in 120 landen. En om nog wat meer getallen erbij te noemen, 200 plus organisaties getarget, 5000 consumer devices, overheden, ministeries, politiediensten. Er zit van alles bij. Voordat we dan ingaan op wat ze precies hebben gedaan. Er zijn dus een paar organisaties, de FBI, de Department of Justice, Polen, Microsoft, Lumen, Black Lotus, Laps. Die hebben in ieder geval een gezamenlijke disclosure gedaan. Om deze operatie in het licht te zetten.

Voordat we dus ingaan op wat APT 28 heeft gedaan, wat wel heel cool is. En ook een beetje bangstig soms misschien. Afhankelijk vanuit welke bril je kijkt. Wat je kijkt is dat de politiediensten de toestemming hebben gekregen om active defense te doen. Dus zij mochten de routers binnendringen om dan de DNS reset operatie uit te voeren. Dus eigenlijk wat de actoren hadden gedaan, zijn we om gedaan te maken op afstand met een hackoperatie. Ja, ik ben nu echt te oud hier voor dit. 16 jaar geleden, 2010, was ooit de Bredolab operatie.

De allereerste keer ooit dat een law enforcement agency, dus de Team High Tech Crime, heet misschien wel niet eens zo toen. Die hebben ook zoiets gedaan. Bij allemaal bordjes te grazen genomen. Of uitgezet op afstand. Toen was de wereld te klein. Hoe kan de politie nou helemaal zo naam gaan zitten hacken bij ons thuis? En nu, jij noemt het gewoon even ter zoneuze lippen. Nee, ze hebben gewoon al die routers ingegaan en hebben ze allemaal weer geschikst. En nu zijn we heel blij dat ze dat doen. Kan je nagaan hoe de wereld verandert, hè? Wij vinden het te goed, hè. Misschien dat sommige mensen nog steeds vinden van nou,

dat de politie lekker van mijn router afgaat. Ik vind eigenlijk hetzelfde als een politiegen door de straat loopt en die ziet de voordeur open staan. Dan hoop je ook trots dat die hem dichttrekt. Ja, zeker. Dat is een beetje zo'n keuze, hè. Van je eigen politie of iemand anders op je router die je router fikst. Of wil je Russen, Chinezen of criminelen op je router, weet je? De choice is yours. Maar er zijn blijkbaar mensen die altijd liever schoppen tegen onze eigen overheid dan tegen die van anderen. Ik onderbraak je, Marco. Nee, het is helemaal prima. Ik vind het een interessante discussie. Ik weet zelf ook niet hoe ik erin sta. Maar inderdaad hoop ik maar dat mijn deur ook wordt dichtgetrokken

op het moment dat ik me hier open laat staan. Ja, toch? Ja, door in ieder geval de goede partijen, zeg maar. Als ze maar niet te ver binnen gaan kijken van wat je gisteren gegeten hebt. Maar wat is er nou technisch anders aan dan die eerder groe operaties? Ja, dat is wat het tof is. De GRU staat best wel bekend om allerlei niche tooling te hebben. Niche malware. En dat hebben ze nu eigenlijk helemaal niet gebruikt. Dus ze zijn binnengedrongen op al die routers. En ze hebben daar binnen eigenlijk alleen maar met de DNS-config zitten spelen.

Dus de DNS, de domain name servers, oftewel hoe gaan wij van een leesbare naam naar een IP-adres. En andersom in sommige gevallen. Daar hebben ze mee gespeeld om dan wat we noemen een advisory in the middle op te starten. Dus om even de hele keten te doorlopen. Is dat ze dus toegang hebben gekregen met standaard wachtwoorden. Bekend uit allerlei bekende kwetsbaarheden in micro-tick router OS en TP-link firmware. En dan hebben mensen dus een management interface aan het publieke internet open staan.

Waarvan je kan afvragen of dat good practice is. Kun je dat afvragen of kun je daar gewoon zeggen dat dat in het algemeen geen good practice is? Het was in dat opzicht... Het is wel een slecht practice inderdaad. Dit moet je gewoon niet willen. Dit slaat helemaal nergens op. Nergens van nodig. Toch vind ik het soms wel fijn als ik niet thuis ben. Dat ik wel even iets kan aanpassen thuis. Maar goed dan vpn ik eerst weer naar binnen. Zoals hier zover hebben we vpn-tjacht gevonden en Azure Trust Access en dat soort zaken. Dit valt wel een beetje onder je tech service management. Maar deden ze dit op elke willekeurige router die ze tegenkwamen die ze konden pakken?

Of was het heel getarget op een bepaald groepje? Er zijn wel een hoop organisaties getarget. Wat zou suggereren dat ze wel een beetje hebben gekeken. Maar er zijn ook zoveel consumenten routers gepakt. Dat ik... Het voelt ook een beetje opportunistisch. Gewoon kijken waar we binnen kunnen komen. En dan op die manier ook die apparaten... Misschien ook onderdeel maken van je botnet. Maar die dingen zijn binnengekomen met bekende kwestbeheerden. Denk even terug in onze aflevering over hoe blijf ik veilig zijn. We hebben het ook over routerbeveiliging gehad en het update van je eigen firmware. Dus het blijkt toch maar weer dat dat best wel de moeite waard kan zijn.

Voor zowel als het kan met je apparatuur. En vervolgens hebben ze die DNS service aangepast. Op die dingen naar DNS service die zij onder controle hadden. En als dan iemand die in dat netwerk zit. Dus jij als legatiem gebruiken. Naar login.microsoftonline.com gaat. Dan stuurt dus jouw apparaat, laptop of telefoon. Die stuurt een DNS query van welke server is dat? Hoe kom ik daar? Dat verzoek wordt vervolgens naar hun Adversary in the Middle proxy gestuurd. Oftewel die servers die zij hebben aangepast in jouw config. En die zij onder controle hebben. Nou wat daaronder gebeurt is dat ze het transparant doorzetten naar de juiste plek.

Maar wat ze wel doen. En wat is dus uiteindelijk. Ik moet het even goed zeggen. De domain name wordt niet naar Microsoft zelf geresolfd. Dus het wordt niet gezegd nee dat kan je bij Microsoft doen. Maar naar een server die zij dus onder controle hebben. En dat is dan een transparante proxy. Dus ze sturen het verkeer één op één door. Maar wat ze wel doen. Ze inspecteren traffic op authenticatie informatie. Dus als gebruiker. Je gaat inloggen. Dus je zet je Vulti email adres in. Je wachtwoord. Je multifactor authentication token. Hartstikke mooi. Je drukt op enter. En wat er dan gebeurt.

Dan wordt er een OAuth token aangemaakt. Dus dat is een. Ja, nu moet ik maar even een geheim. Een secret. Een secret die laat zien dat je jij voor die sessie geauthenticeerd bent. En dat zijn vaak langlopende tokens. Kom straks nog wat meer op. De aanvaller vangt dus dat token af. En wat ze daarmee kunnen. Is dat ze dus jouw sessie kunnen hergebruiken vanuit aanvallers infrastructuur. Dus zij kunnen. Nou, eigenlijk wat jij kan met je Microsoft account na. En je merkt het zelfs. Gebruiker merk je niks van. Jij locht gewoon in en dat werkt allemaal.

Zeker, zeker. Dus zolang er als niet allerlei meet-generele maatregelen bij de providers zijn gedaan. Dat zijn gedaan zoals Proof of Possession. Dat is een van de methoden om aan te tonen dat jij ook eigenaar bent voor je token. Nou, dat heeft niet. Niet elke provider heeft dat of niet standaard ingeschakeld. Dus inderdaad merk je als gebruiker vaak helemaal niks van dat jouw sessie mee wordt gegeven. Maar die term ken ik niet. Proof of Possession. Hoe ziet dat er dan uit? Je hebt in principe dan jou. Er wordt asymmetrisch sleutelmateriaal gebruikt. Dus wordt eigenlijk een signature op meegezet. En die signature wordt geferfieerd aan de hand van jouw public key. Dat is om aan te tonen van. Kijk, ik ben de.

Ik ben degene die het token heeft gemaakt. Ik ben eigenaar van de token. En als je dus niet over de private key bezit, dan kan dus ook niet jouw signature gecheckt worden. Want je kunt signature niet. Dat is time bound en zo en dat soort zaken. En. Ja, dat wordt nog niet overal geïmplementeerd en overal gebruikt. Maar dat is wel een van de methoden om aan te tonen van. Ik ben de eigenaar van dit token. Ja, dus nou goed. De aanvallers bezitten nu allemaal oR tokens. Kunnen lekker met jouw mail meekijken. In je Office 365 omgeving of je drive of whatever je allemaal met je Microsoft achtige account doet. Dat is ook steeds meer integratie met allerlei andere platforms.

Je weet wat je daarmee kan. Ja, het is best lastig detectie probleem, want ja, weet je, er is helemaal geen malware op de router. En op die apparaten is forensics plegen ook best lastig. Dus je ziet eigenlijk niet zoveel behalve dat er verkeer misschien opeens een andere kant op gaat. Dus je moet echt op allerlei netwerk lagen zitten om dit in de gaten te hebben. Maar dat is nog best een lastig probleem. Nou, je ziet alleen maar als je bij jezelf kijkt. Ja, eigen DNS staat vaak naar je eigen router. Ja, dat zie je tepelingeest. Nee, klopt. Dus dat zie je ook niet. Dat is weer een goede reden om lokaal op je endpoints je DNS te deniëren.

Ja, dat zou eigenlijk ook best interessant zijn. Ja, behalve dat je dan niet meegaat met dynamische wisselingen. Maar ja, kunnen we een boompje over opzetten. Ja, verder wat ook irritant is, is dat je dan ben je al geïnfecteerd. Je DNS-config is aangepast. Je routertje gaat rebooting. Je hebt dan ook een grote beeld. Dus is dat, ja, dan ben je al geïnfecteerd. Je DNS-config is aangepast. Je routertje gaat rebooten of krijg je firmware-update. En dan worden die config's niet altijd aangepast. Config is vaak persistent. Dus ja, als je gewoon bent en je denkt, nou, dan ga ik updaten. Want dan ben ik in ieder geval veilig.

Dan kan het zomaar zijn dat de aanpassingen al gedaan zijn en dat je gewoon nat gaat. Het zat ook deze, dit is een ander aanval was, toch? Maar dat in 2022 hadden we, ja, MWVD zo'n Volkswagen-tactiekel samen met Huip Mollecoq. Weer met Huip Mollecoq. Maar dat ging toen over dat er in Nederland een aantal Soho-routers, dus een beetje bij het MKB stonden, of mensen die gewoon thuis een dikke verbinding willen hebben. En dat ze die toen ook een soort van verstort hebben. Maar dat is dan wel een andere, omdat dat was ook GRU of Geru. Ook 26165, nee wacht, nee, dit was 7455, de Sandworm.

Maar daar werd inderdaad nog malware gebruikt. Dus daar kon je bij de thuisgebruikers, klaprijkelijk, want de MWVD is toen langs gegaan bij de slachtoffers. Zo interessant. Ja, precies, om vervolgens daar te kijken naar hun routers. Dat is wel interessant inderdaad, dat dit ook een doorontwikkeling is van die aanval in 2022. En nu dus, vijf jaar later, dezelfde tactieken, alleen technisch geëvolueerd, want we zijn van, ja, sofisticaat op malware, eigenlijk naar gewoon conflict changes gegaan. Ja, het is echt heel flauw. En dan kom ik ook weer terug op, hoe kan het zo zijn dat je zo maar van die conflicts aan kan passen?

Even een stapje terug. Hoe is nou deze operatie ontdekt? Goede vraag. Er bestaat Black Lotus Labs, de threat research afdeling van Lumen Technologies, Amerikaanse bedrijf. En zij volgde een campagne die was gelinkt aan Forest Blizzard, dus dat is een eerdere campagne van APT28. Na een rapport van de Britse NCSC op 5 augustus 2025 over vergelijkbare tactieken, zag Lumen de volgende dag een sterke toename van routerexploitatie en DNS redirect. En ja, dat suggereerde toch wel voor hen dat APT28 snel de methode aanpaste naar de publieke exposure.

Ja, knap dat ze dat kunnen zien, dat soort dingen. Dan moet je toch een beetje in de backbone van de internet zitten. Ja, en dat is Lumen, want Lumen is een soort backbone cloud provider. Dat snap ik ook in één keer waarom ze dit zo kunnen zien op zo'n schaal. Als het gaat over 18.000 devices en wat is het, 100 plus landen. Want ik zat te denken, oké, je hebt of een groot zichtend apparaat nodig of je bent gewoon een backbone provider. Wat ik nog wel heel interessant vind, is dat de acteur, de daders, die hebben blijkbaar geautomatiseerd, het filterproces geïmplementeerd om te bepalen welke DNS verzoek interessant waren en dus ook te gaan onderscheppen.

Echt wel een mooie operatie hoor. Ja, sorry dat ik het weer zou zeggen. Nou ja, vanuit de techniek is het gewoon heel mooi, zeker. Het is alleen wel apart als ze een beetje vaag blijven over welke landen en organisaties dan specifiek. Bijvoorbeeld ze hebben het over overheidsinstanties en law enforcement en hosting providers. Ja, er wordt nog niet zo erg gerept en gehoord over welke landen specifiek of welke overheden precies. Oké, maar dit zijn dus wel 18.000 routers. Je kan die mensen gaan proberen aanschrijven.

Je hebt alleen IP-adressen, dus hoe moet je ze gaan vertellen dat zij onderdeel zijn van een hele grote operatie en dat ze informatie kwijt raken. En dan merk je nog dat het heel lang duurt voor dat mensen patchen, zelfs als je ze waarschuwt. Terwijl het eigenlijk technisch heel makkelijk is, omdat het open routers waren in de praktijk, voor de FBI hetzelfde doen. En dat geeft natuurlijk allerlei discussies, we hebben het toen dus heel lang geleden in Nederland ook een keer gedaan. Ik weet eigenlijk van geen andere operatie dat de Nederlandse autoriteiten dit soort dingen ook gewoon doen. Is dit iets wat we moeten mogen? Ja, je merkt wel dat hier de discussie wel opspeelt, dus over het hebben van handelende diensten.

Dus diensten die naast het weerbericht zeggen van je shit is fucked, je netwerk is gecompromiteerd, ook daadwerkelijk gaan handelen. Omdat ze daar misschien wel het best gepositioneerd in zijn in het Nederlandse stelsel, om dat op zo'n grote schaal te doen. En de bevoegdheid hiervoor bestaat, de artikel 73 uit de wet op inlichting en veiligheidsdiensten 2017, staat dat diensten met gebruik maken van technisch hoopmiddel, dus lees hacker, of op afstand inloggen, dat ze daarmee veiligheidsbevorderende handelingen mogen treffen.

En dit is allemaal ontzettend juridisch en bureaucratisch praat voor de mogelijkheid en de bevoegdheid bestaat om dit te mogen doen, als de dreiging daartoe noopt. Noopt is een lelijke kutwoord. De dreiging daartoe oproept. Hoe kom ik bij fucking noopt? Dat is mijn juridische hoofd. Je zat in je ambtelijke molen zoetje. Ja, fucking hell. Lekker man, wat goed. Ik vind het mooi. Ja, noopt. Maar wat ik er wel bij zonder vind, want ik heb het artikel 73 ook goed gestudeerd, ik denk jeetje, er is een hoop macht bij die diensten, daar zal dan ook wel heel veel expliciet toezicht op zitten, zal bijvoorbeeld een tip die dat van tevoren echt moet goedkeuren.

Maar nee, de tip gaat niet over artikel 73. Dus de diensten mogen gewoon bij Nederlandse computers gaan hacken, want technisch is dit hacken, al met een positief doel om ze dicht te timmeren, die routertjes. En niemand hoeft dat verder goed te vinden, behalve het hoofd van de dienst. Je moet hier natuurlijk niet bij vergeten dat er uiteindelijk ook gewoon toezicht achteraf is. Dus de CTVD gaat uiteraard die waarschijnlijk ook wel op... Maar daar hebben ze echt wel die dienst met die vieze vingers in mijn router gezeten. Om die Russen en Chinezen uit jouw router te halen.

Nou, het is wel duidelijk wat wij ervan vinden, wij vinden dat het ervan moet kunnen. We gaan naar een andere aanval, dit was APT 28, een staat die een routertje gebruikt en een staat die een routertje fikst. Maar wat als de tracking gewoon commercieel is? Het is volledig legaal en wordt verkocht aan de politie. Ja, Citizen Lab heeft hier weer een mooi blog overgeschreven met plaatjes, dus dat vind ik lekker. Met plaatjes hoe een platform eraan ziet. Het gaat over een spionage platform of een inlichting platform, meer een inlichting verwerking platform eigenlijk.

Waarmee ze targets kunnen trekken. Dus targets zijn mensen van interesse voor bijvoorbeeld de politie of een dienst. Het gaat over een bedrijf, PenLink. Het heeft ook iets te maken met cobwebs technologies. Sommige bestaan al een hele tijd en ik ken Ronald ook nog uit zijn forensiciteit. Sommige zijn een Israelische investeringsmaatschappij. Het is een beetje een waservaal wie nu exact eigenaar hiervan is. Wat ze leveren is WebLock, wat een add-on is op hun platform Tangles.

En Tangles is zeg maar een one size fits all oplossing waar je een aantal o-sint dingetjes, gewoon openbare info, mensen kunnen googelen, mensen kunnen trekken, mooie netwerkaartjes kunnen maken. Zoals Analyst Notebook, dat je zo'n note hebt met allemaal. Bijvoorbeeld een target en met wie praat hij allemaal. Dus dat is Tangles. En dan WebLock is daar een add-on op waar je voor betaalt, zodat je je gebruikers of je target nog beter weet te trekken. Wat dit bedrijf dus levert, wat is nou die add-on die je dan kunt kopen, die WebLock add-on,

is dat je eigenlijk een constantly updated stream of records from up to 500 million mobile devices wereldwijd kunt trekken. Wat zit er dan in zo'n record van zo'n mobile device? Dus het Mobile Advertising ID, dus ook wel de RID genoemd of het Mobile RID. GPS-coördinaten, je wifi, je locatiedata, dus ook de namen van je wifi access points. Timestamps, device info, welke model heb je, wat is de fabrikant. En dan ook nog een keer een soort historische informatie over in wat voor advertenties jouw telefoon

en daarmee jij hiervoor ingeïnteresseerd was. Plus nog een hele fijne lijst met geïnstalleerde apps op je toestel. Oké, ik heb allemaal vragen gelijk, die ga je natuurlijk straks behandelen. Kijk, al die andere dingen kan ik me een beeld bij voorstellen, want dat gaat gewoon over het net. Maar die lijst van geïnstalleerde apps, dat moet je toch echt vragen aan een toestel? Ja, dus dit is best wel smerig. En ik was hier ook niet zo bekend mee. Maar eerst even de klantenlijst is ICE, dus Amerikaanse ICE, het leger in de Verenigde Staten,

het aantal nationale of provinciale of statelijke politieorganisaties, maar ook in Hongarije en El Salvador. En grappig, in El Salvador zie je dus dat een target, dat is een wifi-netwerker die staan op het blog genoemd, en eentje is opwekking, dus een Nederlands woord staat er ook bij. Dus het is iemand die ook vier keer, zie je in dat record, opwekking heeft bezocht. Dus dat is een event voor Christelijke Nederland volgens mij. Ja, dus dat ik een blog heb. En hoe komen ze dan aan die data? Dan skip ik even een stukje,

want dit vind ik ook eigenlijk wel het meest magische aan deze platform. Het is dat ze de real-time biddingproces, dus dat is als jij een advertentie hebt, bijvoorbeeld ik bouw appjes, als ik nu advertenties in mijn app wil zodat ik er geld voor krijg, dan installeer ik weer een software development kit. En die zegt eigenlijk van, deze app is geïnstalleerd op dit device. En vervolgens verkoopt mijn app eigenlijk gewoon een stukje van je beeldscherm of je krijgt zo'n hele lelijke fullscreen advertisement tussendoor te zien

die je niet weg kunt klikken en dat soort timer heel irritant gaat lopen totdat je de advertisement hebt bekeken. En dat stukje biedt hij eigenlijk aan om daar reclame in te plaatsen. En dat gaat gewoon per filing. Dus de user triggert de ads via je software development kit. Dus ik programmeer in de app dat jij een fullscreen ad gaat zien. Nou, vervolgens doet die app op de software development kit die ik installeer, die stuurt naar een platform, een beursplatform van, hey, hier heb je een tijdslot voor deze gebruiker.

Dat doet hij vervolgens, dat bidrequest, dus van, hey, ga bieden op deze gebruiker. Die verpakt hij dus met locatie, device type, app categorieën en je mobile advertisement ID. En die verstuurt hij weer naar die ad exchange. Nou, vervolgens, wat die ad exchange doet, is het broadcasten naar alle bidders. Dus naar alle mogelijke tientallen tot honderden bidders die kunnen bieden op jouw advertisement. Dus hetzelfde wat je de GRU eigenlijk net zag doen, hè. Je kan eigenlijk heel snel schrijven van welke van deze routers is interessant en niet interessant.

Dat doet zo'n app platform, of zo'n bidding platform dus ook. Doe heel snel te kijken van, hey, ik heb hier een gebruiker in het Westen. Hij loopt in Amsterdam. Dit zijn ze, een app die hij heeft geïnstalleerd. Dit zijn eventueel iedere dingen waar hij heeft gelijk of de RID is meegekoppeld is. Om zo dat biddingproces zo specifiek mogelijk te maken dat die klanten, degene die graag willen adviseren naar jou toe, dat gewoon kunnen doen. Maar wacht even, de partijen die erop willen bieden, die moeten wel eerst zien wat voor een profiel het is.

En dan maken ze een keuze van dit is me waard, dan ga ik dit bedrag gewoon nu leggen. Maar dan heb je de data in feite al, toch? Ja, zeker. En dus dit is wel in dat hele platform waar ook Citizen Labs ook over heeft, is inderdaad, dit is een kwetsbare stap. Die stap vier, dus dat je het broadcast naar al die gebruiks. Wat nu als je daar tussen gaat zitten met een demand-side platform, heet dat dan? Dus je zegt, Ronald, jij maakt een demand-side platform dat jij mee wilt doen in dat biddingproces. Je laat Claude dat schrijven en volgens zegt, nee, ik wil gewoon alle verzoekjes opvangen van alle gebruiks over de hele wereld.

En vervolgens ga ik die mooi in een platform verwerken. Maar het is uiteindelijk nog niet gekoppeld echt aan een naam of zo, he? Het zijn allemaal wel gevoelige gegevens als geheel, maar het past eigenlijk nog erger als je ook weet van wie het is. Dat maakt het dus interessant dan inderdaad als je dit targetbase gaat inzetten. En om dat loopje af te maken van het realtime bidding, stap 6, is dat van oké, de exchange selecteert het hoogste bot en dan de winnende ad die verschijnt op jouw schermpje dan. En dit duurt dus minder dan 100 milliseconden.

Dus het is gewoon een reedsnel proces wat op de achtergrond loopt, omdat hij natuurlijk ook Facebook verdient hier zijn geld mee en al die andere grote partijen. Dus natuurlijk is hier heel veel in geïnvesteerd. En dan is het dus dat vervolgens, dat zie je ook, het platform zelf zegt nog niet de persoon. Het is geen keiharde link aan een persoon, maar je ziet dus een aantal voorbeelden in het blog dat je bijvoorbeeld een target hebt. Dus je hebt als politie, dat is een voorbeeld, dat ze een aantal devices hebben die een bepaalde mast aanpingen. Het is bijvoorbeeld een strafbaar feit ergens gepleegd. Je kijkt naar de mast.

Je vindt daar de emails en je vindt allerlei andere informatie over die devices. En vervolgens gooi je die ad in je platform, in dit hele mooie weblog platform. En kun je vervolgens zien waar die personen allemaal geweest zijn, welke advertisement ad's ze hebben gezien, hoe die hele telefoon eruit ziet. Ja, maar eigenlijk heb je dus, je hebt dus eigenlijk twee lekken tegelijk. Je hebt aan de ene kant dus die bitstream, waarbij je je dus kan voordoen als DSP. Dan krijg je die data. Dat is waanzinnig. Sommigen zouden bestempen als goudmijn, ik vind het een beetje beangstigend, te veel data.

Aan de andere kant heb je dus aan de SDK-kant, waarbij brokers, appmakers, eigenlijk ook zo'n, ja, eigenlijk die hele dataset zouden kunnen opkopen. Ja, het is best wel bizar hoe, zonder dat je het in de gaten hebt, zoveel data continu lekt naar allerlei partijen en hier dus eigenlijk gewoon een soort, bijna zwarte markthandelvol is. Ja, zeker. Een van onze eerste episodes was ook volgens mij, Marco, dat jij een nieuwtje had over, ik weet niet meer welk platform, maar zo'n aggregator van allemaal van dit soort commerciële informatie waar echt miljoenen records in stonden.

Ja, en het is gewoon, dit soort dingen, die zitten vaak in lelijke apps, dus een zaklamp-app, mensen die een spelletje installeren, waar inderdaad een developer, waar geen grote gamebedrijven achter zit, maar gewoon de developer wil wat euro's extra verdienen. Het is wel altijd de reden dat ik tegen mensen, bij wie ik dat dan een keer zie, dat ik zeg, er is een website, waarom zou je dan een verredensnaamde app installeren? Want de website, dan heb je in ieder geval iets minder data lag dan daadwerkelijk de app, want de app krijgt natuurlijk veel meer toegang tot jouw toestel. En ik vind het heel vaak net zo prima werken,

dat je gewoon zo'n shortcut maakt op je bureaublad van de app, op het telefoon van de website, dat je dus op die manier zo'n webview krijgt, dan dat ik weer zo'n een of andere crappy app met 600 consultaties per dag en allemaal dit soort crap uitstuurt. Kunnen we een aflevering maken met al jouw adviezen, Marco? Van een rebootje iStone elke dag, zwarte is allemaal met dat gebruikt. Log 6 keer per dag opnieuw in. Hoe maak je het internet niet meer leuk voor jezelf, boekvogel Marco? Ja, ik maak het niet leuk.

Al die partijen maken het niet meer leuk. Mijn nekhaar gaat hier echt van over en van stijl, ik vind het echt heftig. Je ziet ook een aantal trucs die ze doen om van die persoon, of van deze technische gegevens, naar de persoon naar te komen. Bijvoorbeeld kijken naar iemand, waar is hij qua wifi-snacht, zeg maar, waar is hij dan? En daglocatie is dan iets van punten die hij aanstraalt in de buurt van een kantoorpand. Dat is ook die wifi-netwerknamen, SSID-namen.

Die zeggen natuurlijk ook heel veel, als je het netwerk heet, wat ik net zei, opwekking, of Nederlandse Defensieacademie, daar kun je ook wel heel snel relateren waar iemand werkt. Mijn access point heet altijd AIVD Surveillance Unit 4. Maar dit verhaal met die advertentie-ID's, wat je al mis mee kan doen, waarom heeft Citizen Lab hier nou zo'n groot verhaal omheen gemaakt? Want het gebeurt wel vaker, dat is wel bekend.

Ik denk misschien schaalgroter, dus 500 miljoen devices wereldwijd. Het is wel even, dat is bijna 6 miljard unieke mobiele abonnees wereldwijd. Dus het is niet zo dat het gelijk iedereen kwetsbaar maakt. Maar 500 miljoen is best wel 1 op de 12, 10, 12 mobiele gebruikers. Dat is best nog wel gewoon absurd voor gewoon een commerciële toko. Dit is geen inlichtingendienst, dit is gewoon een commerciëel bedrijf die slim weet in te gaan op dit soort producten die tegenwoordig bestaan met onze moderne internetervaring.

En als een inlichtingendienst dit doet op zo'n schaal, dan is het natuurlijk best wel nieuwsgokkig. En dit is niet het grootste bedrijf, denk ik. Het is ook niet de meest verschrikkelijke. Dit is gewoon één van die bedrijven die dit ook doen. Die bedrijven vinden eigenlijk dat heel legitiem is. Want die mensen hebben toch zelf toestemming gegeven. Ze hebben een keer op ok geklukt ergens. Dan moeten we toch wel blij zijn met de EU die er toch wat anders in zit. Dat mensen helemaal niet doorwijzen tegen zich. En we beschermen ze toch iets beter tegen, toch? Meen je eens. Maar mensen die het allemaal doodeng vinden, en dat kan ik me voorstellen,

wat zouden die nou moeten doen? Wat kan je zelf doen? Je kunt dan een aantal dingen doen die een poging wagen om dit allemaal te voorkomen. Het is altijd de vraag of je het helemaal voorkomt. Maar je kunt in ieder geval in je privacy-instellingen van je toestel, als je even naar je smartphone kijkt, en trouwens ook steeds vaker op je laptop en zo, kun je je trackingverzoeken uitzetten. Dus onder advertisement staat vaak van, mag je apps tracken, dan zet je dat uit. Wil dat niet hebben. Je kunt daarbij ook zeggen, ik reset af en toe mijn advertisement ID.

In Android en iOS zit die opties al weer bij. Dus dan reset je eigenlijk weer die koppeling naar jouw advertisement ID, waar waarschijnlijk alweer jouw persoon aan zit. Je location permissions, die zet je dan op while using in plaats van always. Dus met andere woorden, dan mag de app alleen bij je locatiedaten op het moment dat je de app in gebruik hebt. Maar heel even terug, Marco. Marco, je zegt net van reset je advertising ID. Volgens mij helpt dat echt minder dan het lijkt hoor. Na een reset bouwen, die datenbrokers profiel gewoon weer opnieuw op via fingerprinting,

met je schermprensolutie, je tijdselen en zo, je batterijniveau. Nee, 100% Dit is hem weer. En dat is zeker met AI nu heel erg makkelijk om dat te doen. En als ik een app not to track, dat staat default toch al aan? Je zou het eigenlijk elke minuut opnieuw moeten doen. Automatiseer dat werk. Allemaal maar heel eventjes. Maar je kunt wel bijvoorbeeld als gevaar avanceerdere gebruikers die je DNS kunnen filteren, dus dat je met AdGuard of met misschien Quad9 helpt, misschien er ook een beetje bij, dat de adtrackers in ieder geval worden uitgeschakeld.

Je zou een VPN kunnen gebruiken. Verhuis het probleem, want die VPN provider heeft zicht op alles wat je doet. En dat, ja, dus dat is ook weer een verschuiving van je trust model. Maar ja, dan kom je... En dan de laatste eigenlijk, ja, waarvan ik net al zei, eigenlijk dat vind ik het meestal de moeite waard is, knikker al die gratis apps weg die je niet gebruikt. En gebruik die zorgen gewoon niet. Als er een website is, gebruik gewoon de website met een shortcut van de website. Dat werkt vaak net zo prima als de app. Behalve als RTL dan persoonlijk op te pushen van, nee, dit moet je echt in onze app lezen. Nou, prima, dan lees je het maar niet. Maar is dit eigenlijk niet een veel grotere privacy-probleem dan ooit?

Nou ja, dit heeft ook weer een beetje met cookies te maken. Ooit heeft de hele politiek op zijn achteren benen gestaan vanwege alle cookies in de tracking. Daarom moeten we het nu steeds zelf niet accepteren. Dankzij Kees van Hoeven. Kees van Hoeven, bedankt. Maar dit is eigenlijk een veel groter probleem. En ik hoor helemaal geen opstand tegen die advertentie-id's en zo. Waarom bestaat dat eigenlijk? Nou ja, ik zat er even na te denken. Ik denk, als je het gewoon zou verbieden, dan zouden heel veel dingen niet meer op een gegeven moment bestaan, hè. Goed, Google is een Gmail, gratis Gmail intrekken en alles. Het internet leeft hiervan.

Dit is het moderne internet. Dit is de reden dat er die miljardenbedrijven ooit opgekomen zijn. Google, Facebook, Meta, Insta, Snapchat. Alles wat behoort bij onze moderne consensual hallucination waar we in leven. Het is dit. Het is dichtgegeven. Ja, een mooie beschrijving. Wat er dan overblijft is dat er... Kijk, wat die bedrijven allemaal doen, dat is ook wel best heel irritant. Maar die gaan me hoogstens nog vervelende reclames presenteren en zo. En daar hebben we het nu natuurlijk over een data-lag. Dat ze die data kwijtraken waar andere mensen er mispreek van kunnen maken.

Maar een beetje toezicht op van hoe de autoriteiten dit gebruiken. Tegen hun foute burgers. Dat zou niet zo gek zijn, denk ik, hè. Voor mij is het ook het totaal normale use case dat je dit type platforms... Het is gewoon een inlichting-platform. Dus je moet een netwerktekening kunnen maken, dat allemaal. Maar inderdaad, het platform zelf, dat moet je hebben. Dat is logisch. Dat is hetzelfde dat je office hebt, denk ik, in je normale omgeving. Maar de bronnen die erin moeten zitten, en dat is in Nederland natuurlijk wel allemaal strak gereguleerd. Daar moet je goed opletten wat je erin doet en wat je er niet in doet.

En daar heb je inderdaad in Nederland gewoon een bevoegdheid voor nodig om dit te kunnen doen. Precies. Maar goed, ik heb een hoop adviezen gehoord. Uiteindelijk, denk ik, vond ik het allemaal weer terug op aflevering 65 ofzo... Met al onze security-adviezen. Je hoeft niet harder te rennen dan de beer, maar alleen sneller dan iemand anders. Oké jongens, dat was het weer voor vandaag. Als je een vraag hebt, stuur hem op naar vragenitsaaybehelden.nl Daar mag je ook suggesties doen over onderwerpen, gasten en feedback. Vooral feedback over allerlei onzin die wij uitkramen en hier poneren als waar.

Daar mag je allemaal mee komen. Als je dat niet stuurt, dan moet je ook verder dan je mond overhouden. En elke week kan je hier weer naar een nieuwe aflevering luisteren van... Cyberhelden, onze gesprekken met de cyberhelden vind je allemaal terug op Spotify. Maar elke andere podcast-app heeft dat ook. Vergeet je niet te subscriben en krijg je zelfs een notificatie als de nieuwe aflevering klaarstaat. Veel dank weer voor het luisteren en we vragen je tot de volgende keer. Ja, tot de volgende keer. Pas op.