De TU Delft vertrouwt op andere partijen bij onderzoek naar ernstige DDoS-aanval

Vertaling in uitvoering

De DDos-aanval die in de nacht van maandag 27 op dinsdag 28 mei begon, had tot doel de naamservers van de TU Delft te overbelasten. “Dit is eigenlijk het adresboek van het netwerk. Door het te overbelasten wordt het hele netwerk traag en kan het uiteindelijk crashen”, legt Jérôme Zijderveld, Chief Information Security Officer (CISO) uit.

De universiteit classificeert de DDoS-aanval als ernstig vanwege de duur van de aanval, het aantal punten waar deze vandaan kwam en het aantal verzoeken dat de nameservers moesten verwerken. Dit betekende 2,8 miljard verzoeken per half uur, terwijl dat er normaal gesproken zo’n 12 miljoen per half uur zijn.

Geïnfecteerde computers

Over de oorsprong van de aanval wil ICT alleen zeggen dat deze uit meerdere landen kwam. “Maar”, vult Zijderveld aan, “de landen van herkomst zeggen vrijwel niets over de nationaliteit van de aanvallers of hun motieven.” Bij dit soort aanvallen wordt meestal gebruik gemaakt van botnets, een groep computers die zijn geïnfecteerd met malware zonder dat de eigenaren van die computers hiervan op de hoogte zijn. De geïnfecteerde computers vormen een netwerk en worden centraal aangestuurd via een server. Eind mei installeerde Europol opnieuw een groot internationaal botnet met honderd servers.

‘Als algemene regel moeten we accepteren dat aanvallers niet worden gedetecteerd’

Veel van deze botnets maken misbruik van de servers van grote hosting- en cloudserviceproviders. Dat was ook bij deze aanval het geval. “Daarom zijn we afhankelijk van de medewerking van dit soort partijen als we willen onderzoeken wie er achter de aanval zit.” Volgens Zijderveld heeft de universiteit momenteel vragen om de identiteit van de aanvallers te onderzoeken.

Druk uitoefenen

“Soms krijgen we een reactie, maar in de regel blijft het stil en moeten we accepteren dat de aanvallers niet gelokaliseerd worden. Wel kunnen we via SURF (het platform voor samenwerking van onderwijsinstellingen op het gebied van digitale dienstverlening, red.) de druk opvoeren. SURF kan contact opnemen met het Nationaal Cyber ​​Security Centrum, waardoor de partyhosting en clouddiensten mogelijk verder onder druk komen te staan.” Door overleg met andere universiteiten en SURF weet ICT dat de aanval specifiek op de TU Delft was gericht.

De universiteit wordt ‘meerdere keren per jaar geconfronteerd met DDoS-aanvallen’. Hoewel ze meestal van korte duur zijn, ziet de IT-afdeling dat ze steeds geavanceerder worden. “Het is een race”, zegt Zijderveld. Om zichzelf zo goed mogelijk uit te rusten, werkt ICT samen met onderzoekers van de faculteiten Techniek, Bestuur en Management (TPM) en Elektrotechniek, Wiskunde en Informatica (EWI). “Een keer per kwartaal is er één. Ronde tafel cyberveiligheid waar we de nieuwste ontwikkelingen op het gebied van cybersecurity bespreken.”