De Canadese spionagedienst kreeg toestemming van een rechter om geïnfecteerde servers, thuisrouters en IoT-apparatuur op Canadese bodem te doorzoeken en twee door het buitenland gerunde botnets te neutraliseren.
Het Federale Hof heeft op 15 juni een openbare versie van de uitspraak vrijgegeven. Het is de eerste keer dat de Canadese veiligheidsinlichtingendienst op deze manier gebruik maakt van zijn bevoegdheden om de dreiging te verminderen.
Dankzij het bevel kon CSIS botnetgegevens op de geïnfecteerde machines wijzigen, degraderen en vernietigen en de apparaten loskoppelen van de netwerken.
De doelwitten waren in Canada gevestigde servers, routers voor kleine kantoren en thuiskantoren en Internet of Things-apparaten: deurbellen, beveiligingscamera’s, tv’s en andere Wi-Fi-apparaten.
Rechter Catherine Kane verleende het bevel op 1 mei 2024, verlengde het in augustus en vaardigde de vertrouwelijke redenen uit in februari 2026. Het bevel bleef meer dan twee jaar buiten het publieke zicht, tot de geredigeerde vrijgave van deze maand.
CSIS had het bevel nodig omdat de schoonmaak zonder dit bevel waarschijnlijk een misdaad zou zijn geweest. Het aanraken van het apparaat van iemand anders en het wissen van gegevens is volgens het Wetboek van Strafrecht computerkwaad, dus had de Dienst de handtekening van een rechter nodig voordat ze de machines aanraakte.
De rechtbank oordeelde dat de dreiging voor Canada duidelijk vastgesteld en dreigend was, en dat de maatregelen noodzakelijk, redelijk en proportioneel waren. Het benadrukte dat de operatie achter apparaten aanzat, en niet op mensen: er werd niet naar gebruikersidentiteiten gezocht, er werd geen inhoud onderschept, en eventuele persoonlijke gegevens werden incidenteel vernietigd.
De twee botnets draaiden het standaard relay-playbook. Een commandolaag vaardigde de bevelen uit; een laag geïnfecteerde apparaten gaf het verkeer door. Door via gekaapte Canadese hardware te routeren, kan een buitenlandse staat eruit zien als een gewone verbinding, een thuiswerker of een ISP-klant, terwijl het kritieke infrastructuur, overheids- en militaire netwerken onderzoekt.
De eigenaar van de geïnfecteerde deurbel lijkt verantwoordelijk te zijn voor verkeer dat hij nooit heeft verzonden. De rechtbank noemde de energiesector een van de doelwitten en waarschuwde dat de tegenstanders de botnets zouden kunnen sturen om de Canadese infrastructuur te onderzoeken en mogelijk te ontwrichten.
De openbare uitspraak regelt wat: twee buitenlandse tegenstanders, een bedreiging voor de Canadese veiligheid, zo vond de rechtbank duidelijk omschreven. Wat het verwijdert, is de wie. De timing en de techniek komen overeen met een specifiek moment begin 2024, maar het Bureau, dat de uitspraak naar boven bracht, zegt dat het op basis van de geredigeerde redenen niet kan opmaken of de twee Canadese botnets beide Chinees, beide Russisch of een van beide waren. De hand van de buitenlandse staat is een vondst. De vlag is de redactie.
Dezelfde tactiek, een andere autoriteit
Dat moment was een reeks door de rechtbank bevolen botnetopruimingen in de Verenigde Staten. Tijdens een operatie in december 2023 gebruikte de FBI het eigen commandokanaal van het botnet om de KV-botnet-malware te verwijderen van honderden Amerikaanse SOHO-routers, voornamelijk verouderde Cisco- en NetGear-boxen die de aan China gelinkte Volt Typhoon gebruikte om de toegang te verbergen die het had geplant voorafgaand aan een mogelijke crisis binnen de Amerikaanse communicatie-, energie-, water- en transportsystemen.
Weken later voerde het een vrijwel identieke operatie uit tegen een afzonderlijk netwerk van Ubiquiti-routers waarvan de Russische GRU, de APT28-groep, een spionagerelais had gemaakt.
Het Canadese cybercentrum sloot zich aan bij de geallieerde waarschuwingen over staatsactoren die misbruik maken van SOHO- en IoT-apparatuur. Beide keren dezelfde door de rechtbank bevolen vorm: verwaarloosde consumentenapparatuur, een staatsexploitant, een rechter die akkoord gaat met desinfectie op afstand.
Het verschil is wie het bevel heeft. De Amerikaanse operaties bestonden uit rechtshandhaving, FBI en DOJ die opereerden onder de autoriteit voor huiszoeking en inbeslagneming.
Canada is een inlichtingendienst die gebruik maakt van maatregelen ter beperking van de dreiging; de macht van de CSIS om een dreiging actief te ontwrichten in plaats van er alleen maar inlichtingen over te verzamelen, jaren geleden vastgelegd in de CSIS Act en herwerkt in de National Security Act van 2017, die in 2019 van kracht werd. CSIS had er tot nu toe nog nooit op deze manier naar gestreefd.
Het komt nog steeds neer op oude routers
De les voor verdedigers is saai. De botnets voeden zich met de apparatuur die niemand onderhoudt: routers die het einde van hun levensduur hebben en nog steeds op het netwerk zijn aangesloten, IoT-kits die nooit hun laatste firmware-update hebben gehad, alles wat op standaardreferenties staat en een beheerpaneel met toegang tot internet.
Een overheidsopruiming doet daar niets aan af. In de Amerikaanse activiteiten kwam de malware uit, maar de zwakke punten bleven bestaan, en een herstart of fabrieksreset kon de oplossing ongedaan maken en de deur weer openzetten voor herinfectie. Het buiten gebruik stellen van de dode hardware en het vergrendelen van wat overblijft, is de verantwoordelijkheid van de eigenaar, niet van de instantie die erna heeft opgeruimd.
Eén los eindje wordt niet afgesloten met de openbare uitspraak: de aanvraag was, volgens het verslag van het Bureau, gebaseerd op IP-adressen die CSIS zonder bevel had verzameld, weken nadat het Hooggerechtshof van Canada in R. v. Bykovets had geoordeeld dat een IP-adres een redelijke verwachting van privacy met zich meebrengt.
Of dat in overeenstemming is met de inzamelautoriteiten van CSIS, en of de eigenaren van de gedesinfecteerde apparaten ooit op de hoogte zijn gesteld, blijft open.
