Onderzoek Fox-IT: geen bewijs dat opgepakte hacker misbruik van z'n DIVD-werk heeft gemaakt

DIVD heeft zelf Fox-IT in de arm genomen om uit te zoeken wat de gearresteerde vrijwilliger heeft gedaan binnen de systemen van DIVD. Die organisatie zoekt actief op internet naar kwetsbaarheden, om organisaties dan daarvoor op verantwoorde wijze te waarschuwen. Informatie die daarbij wordt vergaard, kan flink waardevol zijn voor cybercriminele activiteiten. Enerzijds om kwetsbaarheden en doelwitten op te sporen, anderzijds om eventuele ontdekking van (eigen) cybercrimineel werk te kunnen detecteren of zelfs af te remmen.

Hoofdverdachte

De arrestatie van de Nederlandse hacker, die een zeer druk cyberwerkbestaan bleek te leiden, heeft voor schrik en verbazing gezorgd. Dit zowel bij DIVD, waar hij zich naast z'n normale werkuren veel inzette, alsook bij zijn officiële werkgever Hadrian. De 21-jarige Pepijn van der S. uit Zandvoort is bij dat securitybedrijf terechtgekomen nadat hij eerder al de fout in was gegaan. Hij is de hoofdverdachte van die hackers die in februari zijn opgepakt.

Fox-IT heeft nu bij DIVD onderzocht of er (digitale) sporen aanwezig zijn waaruit aannemelijk wordt dat hij de DIVD Code of Conduct heeft geschonden. Dat blijkt niet het geval te zijn, concluderen de security-onderzoekers van Fox-IT. Hierbij zijn drie specifieke deelvragen gesteld en beantwoord. Die werden allen negatief beantwoord.

Zoeken naar kwetsbaarheden

De eerste deelvraag is of de DIVD-vrijwilliger naar kwetsbaarheden heeft gezocht in externe systemen op manieren die afwijken van hoe de security-organisatie deze werkzaamheden normaliter zou uitvoeren. "Fox-IT heeft geen activiteiten geïdentificeerd waarbij onder het gebruikersaccount van betrokkene naar kwetsbaarheden is gezocht op externe systemen die ongewoon zijn voor DIVD", luidt de bevinding.

De tweede deelvraag is of hij data zoals scanresultaten heeft gekopieerd naar een locatie buiten de DIVD-omgeving. Ook daarbij met oog voor mogelijke afwijking van legitieme DIVD- werkzaamheden. De derde deelvraag is of de hacker activiteiten heeft uitgevoerd op het serversysteem van DIVD die wijzen op oneigenlijke toegang tot gegevens van de security-organisatie.

Wel wat verdachts

Fox-IT heeft wel enkele verdachte activiteiten gevonden die zijn uitgevoerd vanaf het DIVD-account van de verdachte. Dit zijn het uitvoeren van timestomping-acties, het op bepaalde momenten uitzetten van de commando-historie, en het opduiken van een wachtwoordhash in de Metasploit-commandogeschiedenis. Deze drie verdachte activiteiten zijn nader onderzocht én met de man besproken, in het huis van bewaring.

Naar aanleiding van de laatstgenoemde activiteit (de wachtwoordhash in de Metasploit-commandogeschiedenis)  "is DIVD tot de conclusie gekomen dat dit te rijmen valt met de DIVD zaak waar betrokkene op dat moment bij betrokken was (DIVD-2022-00055)", meldt de security-organisatie nu.  We beschouwen deze activiteit als verklaard en niet verdacht."

Verklaringen, spijt, conclusie

De andere twee verdachte activiteiten zijn ook besproken met de opgepakte hacker, die heeft bekend en spijt betuigt. Hij heeft "ons redelijke verklaringen gegeven voor deze acties", verklaart de DIVD. "Ongeacht het feit of deze verklaringen geloofwaardig zijn of niet, zijn deze twee acties op zichzelf geen schending van de Code of Conduct en doen zij geen afbreuk aan de de conclusie van Fox-IT dat er sporen zijn waaruit het aannemelijk wordt dat de DIVD Code of Conduct door hem is geschonden."

Op basis van het onderzoek door Fox-IT plus vervolgstappen door het DIVD concludeert de organisatie van vrijwillige security-onderzoekers nu dat er geen bewijs is dat de verdachte misbruik heeft gemaakt van DIVD-systemen of -informatie. De verdachte wordt komende maand voorgeleid voor de rechter.