null Beeld Humo
Beeld Humo

Het tweede front in Oekraïnerussische cyberaanvallen

‘Met een digitale raket geef je een uitzonderlijk en sterk signaal: je wil de boel stukmaken’

Nauwelijks een dag voor de Russische tanks Oekraïne binnenrolden, werd in de computers van Oekraïense ministeries en banken een destructief virus geactiveerd dat alles vernietigde. De agressiefste cyberaanval in jaren was wellicht het werk van Russische staatshackers. Met de inval in Oekraïne, zeggen cyberexperts, begint een nieuwe fase van de digitale oorlogvoering. Een fase waarin de mogelijkheden onbeperkt zijn en de regels onduidelijk. ‘Rusland heeft nog niet al zijn troeven uitgespeeld. Het grootste cyberoffensief moet nog komen. En dat kan het Westen flink raken.’

Annemie Bulte

In het najaar van 2021, maanden voor het eerste schot wordt gelost in Oekraïne, dringen hackers van de Russische militaire inlichtingendienst GROe de computersystemen van enkele Oekraïense ministeries binnen. In het begin doen ze wat staatshackers altijd doen: inlichtingen verzamelen en spioneren. Maar op 22 januari, ­wanneer de ­Oekraïners orthodox Nieuwjaar vieren, worden de aanvallen agressiever. Verschillende overheidswebsites zijn onbereikbaar. Half februari wordt het netwerk van de ministeries van Defensie en Buitenlandse Zaken, enkele banken en Oekraïense troepenmachten gesaboteerd. Burgers krijgen valse sms’en over defecte bankautomaten, wat een stormloop op die automaten veroorzaakt. Op 23 februari, een dag voor de Russische invasie, halen de hackers de zware middelen boven: HermeticWiper, malware of kwaadaardige software die de bestanden op honderden overheidscomputers volledig vernietigt.

‘Zo’n wiper of wisser is het grofste geschut dat er bestaat,’ zegt Frank Groenewegen, cyberveiligheidsexpert en partner bij zakelijk dienstverlener ­Deloitte. In zijn onderzoeken naar cyberaanvallen stuit hij geregeld op Russische, ­Iraanse, Chinese en Amerikaanse spionage. Hij voerde ook het onderzoek naar het afluisterschandaal bij ­Belgacom, het huidige ­Proximus, waar in 2013 ontdekt werd dat Britse en ­Amerikaanse spionnen het telefoonverkeer van de provider al jaren afluisterden.

FRANK GROENEWEGEN «Je kunt wissers vergelijken met een digitale raket. Ze maken de computers stuk en vernietigen alle informatie die erop staat. Dat zie je zelden. Hackers zijn meestal uit op twee dingen: informatie of geld. Inlichtingendiensten hacken de systemen van andere landen om informatie te stelen en te spioneren. Criminele hackersgroepen installeren gijzelsoftware bij bedrijven en vragen in ruil voor hun bestanden losgeld. Maar met een wiper ben je helemaal niets. Spioneren kan niet meer, want het systeem ligt plat. Losgeld krijg je er niet voor, want de schade is onherstelbaar. Je geeft wél een stevig signaal: ik wil de boel stukmaken. Het is uitzonderlijk dat een land zoiets doet.

»De aanval was er geen op grote schaal, maar je zaait er wel onrust mee: je ontwricht de maatschappij, en je brengt je tegenstander in grote moeilijkheden. Er gaan zelfs geruchten dat ook een computernetwerk van een grenspost is gesaboteerd, waardoor natuurlijk kilometerslange rijen ontstaan van wachtende mensen die het land uit willen.»

‘We zijn in een nieuwe fase van de digitale oorlogvoering beland,’ zegt cyberexpert Geert Baudewijns van Secutec, dat bedrijven tegen cybercriminelen beschermt. Baudewijns onderhandelt met hackers die bedrijven afpersen met gijzelsoftware en heeft zo een unieke inkijk in de cyberonderwereld.

GEERT BAUDEWIJNS «Er wordt nog onderzocht of de Russen werkelijk voor de aanval verantwoordelijk zijn, maar alles wijst erop. Uniek aan het virus is dat het niet ontworpen is om zich automatisch en razendsnel naar andere computers te verspreiden. Dat wijst erop dat de aanval doelgericht was.

»Men waarschuwt al lang dat een oorlog in de toekomst niet alleen met tanks en raketten zal ­worden ­uitgevochten, maar ook met digitale wapens. Nu hebben we, voor het eerst in de geschiedenis, een cyberaanval gezien als de openingszet van een fysieke oorlog. Het is ook een ongelooflijk ­krachtige combinatie. Stel, er breekt morgen een wereldoorlog uit en Rusland wil kernwapens gebruiken: dan kan ik me voorstellen dat ze éérst onze militaire organisaties zullen platleggen.»

GROENEWEGEN«Ik hou mijn hart wel vast voor wat komt. Ik had verwacht dat Rusland half Oekraïne al digitaal had lamgelegd, maar dat is nog niet gebeurd. Waarom heeft Vladimir Poetin de communicatiekanalen niet uitgeschakeld? Misschien omdat de president en zijn leger die kanalen ook zelf gebruiken – blijkbaar werken Russische militairen nog altijd met analoge radio’s en gewone gsm’s. Waarom heeft hij het internet niet onklaar gemaakt? Het is natuurlijk speculatie, maar ik verwacht wel dat het nog zal gebeuren. Hoe meer Rusland zich in het nauw gedreven voelt, bijvoorbeeld door de sancties, hoe groter het risico.

»Zo’n groot cyberoffensief kan het Westen hard raken. Mensen moeten goed beseffen dat computers vandaag ons hele leven regelen. Je inkopen doen in de supermarkt, een betaling doen, elkaar bellen: het gebeurt allemaal via bedrijven die gebruikmaken van computers verbonden met het internet. We zijn enorm afhankelijk geworden van de computer, maar we hebben hem onvoldoende beveiligd. Elke dag wordt wel een belangrijk bedrijf gehackt door criminelen. Wat kunnen we doen als ervaren inlichtingendiensten ons met allerlei digitale wapens bestoken? Dat is maar de vraag.»

HUMO Op 23 december 2015 heeft Rusland Oekraïne al eens een hele nacht in het donker gezet.

GROENEWEGEN «Ja, dat was de BlackEnergy-aanval, die door de westerse inlichtingendiensten wordt toegeschreven aan de GROe. De Russische militaire inlichtingendienst zou op een koude decemberavond een energiecentrale gehackt hebben, zodat meer dan 200.000 huishoudens zonder stroom en water kwamen te zitten. Verschillende steden zaten 6 tot 8 uur in het pikdonker.»

En het kan nog erger: in juni 2017 installeren de Russen in het Oekraïense boekhoudprogramma M.E.Doc een sabotagevirus, NotPetya, dat zich razendsnel verspreidt over de wereld. In zijn boek ‘Het is oorlog maar niemand die het ziet’ beschrijft journalist Huib Modderkolk hoe honderdduizenden computers in zeker 65 landen worden besmet. Het ene bedrijf na het andere valt stil. Pakketten kunnen niet meer worden geleverd, artsen kunnen niet meer bij medische gegevens en burgers niet meer bij hun geld. Britse ziekenhuizen worden zo hard getroffen dat duizenden operaties worden uitgesteld. Ambulances rijden niet meer uit. De schade is het grootst in Oekraïne, waar de metro’s, de luchthavens en de kerncentrale van Tsjernobyl stilvallen. NotPetya richt wereldwijd voor tot 1,8 miljard euro schade aan.

Geert Baudewijns Beeld Getty Images for Kaspersky
Geert BaudewijnsBeeld Getty Images for Kaspersky

De laatste troef

HUMO Hoever kan zo’n cyberaanval gaan? Kunnen de Russen het licht uitknippen in Europa?

BAUDEWIJNS «Ja, maar dat kunnen pakweg de Chinezen, de Amerikanen, de Israëliërs en de Nederlanders óók. En ze kunnen het ook bij elkaar. Israël heeft een aantal maanden geleden nog een kerncentrale in Iran platgelegd. Dat is dus geen fictie.

»De vraag is of ze het ook zullen doen. In de cyberwereld heb je vier wereldmachten: Amerika, Rusland, ­China en Israël. Zij zitten aan de pokertafel en houden hun troeven achter de hand. In de eerste plaats gaat het om informatie: de geheime diensten zitten overal bij elkaar binnen en begluren elkaar. Wie een systeem platlegt, is meteen ook zijn ‘spion’ in de software kwijt. Dus blijven ze er meestal gewoon zitten, jarenlang, zonder dat iemand hen opmerkt.

»Ze proberen ook elkaars infrastructuur te infiltreren: energiebedrijven, waterbedrijven, havens en elektriciteitscentrales, bruggen en sluizen. Daar vind je malware van andere staten, maar er gebeurt verder niets mee. Ze kunnen die software gebruiken, maar dat zullen ze pas doen als allerlaatste troef.»

GROENEWEGEN «De Russen weten dat ze moeten uitkijken als ze Europa of de Verenigde Staten met een grootscheepse cyberaanval willen treffen. Oekraïne is een soort speeltuin voor Russische hackers – ze delen er al jaren speldenprikken uit om nieuwe aanvalstechnieken te testen – maar het is geen NAVO-land.

»In zijn gesprekken met Poetin was Joe Biden duidelijk: een cyberaanval op de overheid of kritieke infrastructuur van de VS zal hij beschouwen als een artikel 5-aanval (volgens dat artikel van het NAVO-verdrag wordt elke aanval op één lidstaat beschouwd als een aanval op alle lidstaten, red.). De Amerikaanse president heeft dus een rode lijn getrokken: ‘Als jij bij mij de stroom uitschakelt of op een andere manier de maatschappij ontwricht, ben ik gemachtigd om terug te slaan met een raketaanval.’»

HUMO Mogen we er dan gerust op zijn dat Rusland het Westen niet rechtstreeks zal aanvallen?

GROENEWEGEN «Het is moeilijk te voorspellen. Maar zoals gezegd, en zoals NotPetya in 2017 heeft bewezen: als ze in Oekraïne een digitale bom gooien, kunnen wij daar óók de impact van voelen.»

HUMO Het is een vreemd concept, zo’n cyberoorlog. Er zijn geen duidelijke regels en je weet ook niet tegen wie je vecht. Zelfs nu ontkent Rusland nog dat het achter de cyberaanvallen in Oekraïne zat. Waarom eigenlijk?

BAUDEWIJNS «Rusland zal nooit een cyberaanval bekennen, maar hetzelfde geldt voor de Amerikanen, de ­Chinezen of de Israëliërs. Dat is het moeilijke aan een cyberoorlog. Als je in Kiev een Russische tank in je straat ziet, weet je dat Poetin die gestuurd heeft. Bij een cyberaanval weet je dat nooit zeker.»

GROENEWEGEN «Ik heb de voorbije jaren veel aanvallen onderzocht waarbij met veel zorg dwaalsporen waren achtergelaten. Achterhalen wie fysiek achter het toetsenbord zit is één ding, maar nog belangrijker is: in wiens opdracht zit hij daar? Is het een eenling? Een crimineel? Een crimineel die iets doet in opdracht van de overheid? Of de overheid zelf? Of een inlichtingendienst die zich voordoet als een ándere inlichtingendienst? Dat hebben we in Rusland al gezien: iemand van een inlichtingendienst deed zich voor als activist en gaf zelfs interviews in de pers.

»Bij de opening van de Olympische Winterspelen in Zuid-Korea in 2018 hebben hackers geprobeerd om alles in de soep te laten draaien. Allerlei technische sporen leidden toen naar Noord-Koreaanse staatshackers, maar uiteindelijk bleek het een zogenoemde false flag-operatie van de GROe te zijn.»

BAUDEWIJNS «Digitale dwaalsporen achterlaten is zo gemakkelijk. Toen Belgacom was geïnfiltreerd, dachten ze eerst dat het de Russen waren, dan de Chinezen. Uiteindelijk bleken het de Engelsen te zijn. Inlichtingendiensten kopiëren elkaars fouten om de herkomst van een hack te verdoezelen. Ze manipuleren de tijdzone of het toetsenbord, zodat het lijkt alsof iemand aan de andere kant van de wereld erachter zit. Dat maakt de onderzoeken zo complex.

»Cyberaanvallen gebeuren ook nooit rechtstreeks. Ik heb al voorbeelden gezien waarbij Amerikanen een hacking deden via een Russisch netwerk: de aanval werd gelanceerd vanuit Amerika, over India naar Rusland, om een Belgisch bedrijf te treffen. Aanvallers verschuilen zich altijd achter servers in verschillende landen. Telkens weer moet de politie een andere overheid benaderen, waarna ze moet wachten op een kopie van de server. Dat is vreselijk tijdrovend. Intussen is de aanvaller allang weg.»

Frank Groenewegen Beeld Jiri Büller
Frank GroenewegenBeeld Jiri Büller

130 procent

HUMO Wie zijn die Russische hackers eigenlijk?

BAUDEWIJN«In Rusland heb je twee soorten hackers. De geheime diensten hebben hun eigen cyberspionnen­leger, net zoals de Amerikanen en de Chinezen. En er is een groot commercieel hackersnetwerk: cybercriminelen die bedrijven over de hele wereld hacken en losgeld eisen in ruil voor de bestanden. Daarin onderscheiden de Russen zich. Je mag de hele wereld hacken, vinden zij, zeker als je daarbij politieke informatie sprokkelt. In Rusland ben je pas een succesvolle crimineel als je met de overheid samenwerkt, maar probeer die overheid te hacken en je hangt. Ook de geheime diensten kunnen rekenen op criminelen, een troef die andere grootmachten niet hebben – voor zover we weten. De Russische criminele hackersgroep Conti, de grootste ter wereld, krijgt bijvoorbeeld steun van de overheid. Vorig jaar heb ik nog met hen onderhandeld, toen ze in België 65 bedrijven gijzelden met malware.»

HUMO Zaten zij vorige maand ook achter de cyberaanval op olieopslagbedrijven in de haven van Antwerpen?

BAUDEWIJNS «Dat is nog niet duidelijk, maar zo’n bedrijf heeft toch een maand nodig om van een aanval te herstellen. Dat geeft een idee van de schade die criminele hackers en staatshackers kunnen aanrichten als ze de krachten bundelen om logistieke bedrijven of telecomproviders tegelijk lam te leggen. Dat is een zwaar cyberkanon.»

HUMO Conti heeft zich na de invasie van Oekraïne ondubbelzinnig achter Poetin geschaard: ‘Als iemand Rusland aanvalt, zullen we terugslaan met aanvallen op alle essentiële infrastructuren.’

GROENEWEGEN «Daar was blijkbaar niet iedereen het mee eens. Als tegenreactie hebben verschillende hackers van Conti alle interne chatberichten online gezet, wat ons een unieke inkijk geeft in hoe zo’n groep werkt. Zo zou in sluiertaal aan Conti-­hackers gevraagd zijn om informatie op te sporen over de Russische oppositieleider Aleksej Navalny (die in augustus 2020 werd vergiftigd door de Russische veiligheidsdiensten, red.). Wie anders dan de FSB zou daarin geïnteresseerd zijn?»

HUMO Intussen is ook een soort ‘burgeroorlog’ tussen verschillende hackerscollectieven ontstaan, die elk een kant kiezen: Oekraïne of Rusland.

BAUDEWIJNS «Meestal zijn die groepen niet politiek – er zitten hackers van over de hele wereld bij – maar deze oorlog heeft toch een gevoelige snaar geraakt. Anonymous is momenteel de bekendste groep die een serieuze cyberoorlog tegen de Russen voert. Ze legden al verschillende websites plat en gooiden data van het Russische ministerie van ­Defensie online. Ze zijn ook vindingrijk: op een avond hebben ze de tv-kastjes die veel Russen gebruiken gehackt en lieten ze het ­Oekraïense volkslied urenlang horen op alle zenders. En omdat de Russische bevolking nauwelijks betrouwbare informatie krijgt over de invasie, heeft Anonymous de wereld opgeroepen om informatie over de oorlog te delen via Google-recensies van ­Russische restaurants.

»Vorige week had ik een onderhandeling met de groep Lockbit 2.0. Die had de computersystemen van Ter Loke, een voorziening in Vosselaar die mensen met een beperking opvangt en aan gezinszorg en bijzondere jeugdbijstand doet, gehackt en eiste losgeld. Lockbit is de grootste concurrent van Conti, dus werkte ik op hun gemoed. Ik legde uit wat voor instelling ze in het vizier hadden en verwees naar hun rivalen, die de Russische overheid steunen in de oorlog. Daar wilden ze niet van weten, en ze hebben de encryptiesleutel zonder betaling overgedragen. Hackers die tot inkeer komen: dat had ik nog nooit gezien.»

HUMO Hebben Russische hackers een herkenbare stijl?

GROENEWEGEN «Ik heb veel aanvallen onderzocht die vermoedelijk van de Russische inlichtingendienst kwamen. Zij hebben nu al twintig jaar ervaring, dat hacken is dagelijkse kost voor ze. Hun aanvallen zijn geavanceerd, complex en vaak doordacht en grootschalig.»

BAUDEWIJNS «Amerikanen zijn tevreden met 80 procent, Russen pas met 130 procent. Als een Rus iets opmerkt, zal hij dat veel dieper uitspitten. Hij zal een systeem volledig leegtrekken en met veel geduld op zoek gaan naar de gevoeligste informatie. De ­Israëliërs ook, trouwens. Van de Chinezen weten we nog heel weinig – Aziaten zijn bijzonder discreet.»

Joe Biden Beeld REUTERS
Joe BidenBeeld REUTERS

Wie is het?

HUMO Sinds de oorlog in Oekraïne is er wereldwijd een toename van cyberaanvallen.

BAUDEWIJNS «Vast en zeker. Hackers proberen altijd misbruik te maken van dit soort situaties. Tijdens de corona­crisis hebben we ook zo’n piek gezien. Toen waren het dikwijls de ‘straatcriminelen’ van de cyberwereld die kleinere bedrijven met een gebrekkige IT-beveiliging ­aanvielen. Aziatische studenten die er hun studie mee betalen, bijvoorbeeld. Dit keer hebben we toch met een ander soort misdaad te maken. Nu zijn grotere spelers aan zet, die het niet per se alleen voor het geld doen. Knappe koppen die bij Microsoft, Adobe of andere softwaregiganten hebben gewerkt als ontwikkelaar, bijvoorbeeld, en naar de donkere kant zijn overgestapt. Zij kennen het systeem natuurlijk door en door.»

HUMO Kan zo’n cyberoorlog in een echte fysieke oorlog uitmonden?

BAUDEWIJNS «Ik denk dat we in de toekomst meer hybride oorlogvoering zullen zien, waarbij de twee hand in hand gaan.

»Het probleem in deze business is dat je zoveel ongeleide projectielen hebt, die allerlei oorlogsstrategieën kunnen doorkruisen. Neem nu Nord Stream 2, de omstreden gaspijpleiding tussen Duitsland en Rusland: daar is het netwerk twee weken geleden ook een tijdlang platgelegd. Die leiding ligt politiek uiterst gevoelig, maar we weten niet wie het gedaan heeft: het kan een inlichtingendienst zijn, maar evengoed een activist. In ­Oekraïne doet Poetin een inval, en we mogen blij zijn dat we weten dat hij het is. In de hackerswereld weet je dat niet. Er zijn zoveel motieven om iets te saboteren. De verantwoordelijke aanwijzen is een gevoelige kwestie.»

GROENEWEGEN «Ja, dat is nog veel gevaarlijker geworden dan het al was. Wat als we na een cyberaanval voorbarig met de beschuldigende vinger naar een land wijzen, en andere landen gaan als reactie op knoppen drukken en raketten afvuren? Dan ontketenen we op basis van een dwaalspoor en valse signalen misschien wel een derde wereldoorlog.»

Vandaag

Urgente achtergronden en interviews

Meer Vandaag

Instellingen

Personaliseren

Meer HUMO

Vragen & Contact

Rubrieken

Ontdek

Rubrieken

Reageren op een artikel, uw mening ventileren of een verhelderend inzicht delen met de wereld

Ga naar Open Venster

Algemeen

Service

Meer HUMO

Navigeer

Op alle artikelen, foto's en video's op humo.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar redactie@humo.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234

Raad voor de Journalistiek GoPress License 2 Publish Jury voor Ethische Praktijken Centrum voor Informatie over de Media