De cyberaanval die eerder deze week de werking van Roularta – en dus ook Data News – verstoorde, was een DDoS-as-a-Service aanval: ‘Iemand heeft er voor betaald’, zegt Jeroen Mouton, chief operating officer van Roularta.
Een kat-en-muisspel met cyberaanvallers belemmerde gisteren de werking van Roularta; de uitgever van onder meer Knack, Trends en Libelle maar ook Data News. Volgens Roularta-COO Jeroen Mouton ging het om een uiterst ingewikkelde DDoS-aanval; een Distributed Denial of Service aanval, waardoor de servers voortdurend overspoeld worden met traffic en dus overbelast raken. ‘Op piekmomenten kregen we 3 miljoen inkomende traffic calls per seconde te verwerken, waar dat normaal enkele duizenden zijn’, zegt Mouton.
CCB zag de aanval als eerste
Rond 8u20 waren de eerste signalen merkbaar dat er iets mis was: vertraging op het interne netwerk. Terwijl de interne IT-dienst op zoek ging naar de oorzaak en al vrij snel op het spoor van een mogelijke cyberaanval zat, werd Roularta gecontacteerd door het CCB, het Centrum voor Cybersecurity België. Het CCB zag een zware, gecoördineerde netwerkaanval op het Roularta.be-domein en de achterliggende IP-adressen. ‘Zij waren meteen zeker dat het om een DDoS-as-a-Service aanval ging, een DDoS-aanval die op bestelling uitgevoerd wordt en waarvoor dus een opdrachtgever betaald heeft’, klinkt het. De nieuwssites zelf bleven grotendeels buiten schot: de aanval was echt op het interne netwerk gericht, maar had wel een extern fallout-effect. Authenticatie via MijnMagazines was bijvoorbeeld niet meer mogelijk.
Aanvallers pasten zich voortdurend aan
Alle mogelijke interne maatregelen werden genomen om zich te weren tegen de aanvallen, zoals het verfijnen van filters op het inkomende dataverkeer. ‘Het ging aanvankelijk om een aanval vanuit de Verenigde Staten. We hebben de geolocatiefilters aangepast, waardoor dat verkeer buitengehouden werd en de situatie zich normaliseerde. Maar amper 20 minuten later kregen we ineens aanvallen te verwerken vanuit Canada en Frankrijk’, schetst Mouton het verloop. Wat volgde was een kat-en-muisspel met de aanvallers dat een hele dag aanhield. ‘De aanvallers veranderden ook constant van methode, van zodra ze detecteerden hoe wij hen trachten tegen te houden. Op een bepaald moment hadden we alle trafiek geblokkeerd met uitzondering van België en Nederland, waarna 20 minuten later de aanvallen plotseling vanuit Belgïe en Nederland kwamen.’
IT-partner Proximus die mee verantwoordelijk is voor het binnenkomende netwerkverkeer en de andere partners NTT en The Collective hebben alle zeilen bijgezet om het aanvallende verkeer op te vangen en om te leiden. ‘En ook onze eigen teams hebben de hele dag het uiterste gegeven om de impact te beperken’, aldus Mouton.
Belgisch internetknooppunt BNIX wapent zich tegen DDoS
Geen onderliggende aanval
We weten dat een DDoS-aanval vaak ook dienst doet als rookgordijn voor een échte hackpoging, of om bijvoorbeeld ransomware te kunnen installeren. Een DDoS-aanval viseert dan de voordeur, terwijl hackers langs – bij wijze van spreken – de kelder binnendringen. Volgens de Roularta-COO lijkt dat hier niet het geval. ‘We hebben geen sporen van poging tot inbraak of ransomware vastgesteld’, stelt hij resoluut. Al bij al bleef de uiteindelijke schade relatief beperkt. Al is het wel dat zo dat het Knack magazine als gevolg van de aanval iets later dan normaal bedeeld zal worden voor ongeveer de helft van de abonnees.
Ondertussen is de situatie genormaliseerd. ‘Gisterenavond is de aanval stopgezet’, weet Mouton. Al zijn er wel ‘lessons learned’. ‘Dat we weer vaker een cyberaanval moeten simuleren als een soort van brandoefening. Het is maar wanneer het echt brandt, dat je plotseling beseft dat de oefening te lang geleden was. En dat gaat dan vaak over kleine dingen zoals verouderde contactgegevens van partners, maar die je wel wil vermijden.’
Nu ook DDoS-aanval op Centrum voor Cybersecurity en diverse Belgische media