null Beeld Shutterstock
Beeld Shutterstock

russische hackers

Waarom heeft Rusland toch zo'n levendige hackersindustrie?

Russische hackers zijn berucht. Met regelmaat worden ze in verband gebracht met grootschalige cyberaanvallen op bedrijven en overheden. Hoe kan dat en in hoeverre heeft het Kremlin daar iets mee te maken?

Naar eigen zeggen liet Joe Biden er afgelopen juni tijdens zijn eerste ontmoeting met zijn Russische collega Vladimir Poetin geen misverstand over bestaan. Tijdens de tête-à-tête stelde de Amerikaanse president dat cyberaanvallen op kritieke Amerikaanse infrastructuur ‘verboden terrein’ is voor het Kremlin. ‘Ik keek hem aan en vroeg: hoe zou u zich voelen als ransomware de pijpleidingen van uw olievelden aan zou vallen”’

Hoewel de uitspraak voor de buitenwacht wellicht een hoog melodramatisch Hollywoodgehalte had, was Biden bloedserieus. Een maand eerder had zich aan de oostkust van de Verenigde Staten namelijk een van de grootste cyberaanvallen uit de geschiedenis voltrokken. Met een digitale aanval die gebruik maakte van zogeheten ransomware lukte het hackers om van buitenaf de computersystemen van Colonial Pipeline binnen te dringen.

In alle gevallen gijzelingssoftware

Door die hack viel vrijwel het hele pijpleidingennetwerk van het Amerikaanse bedrijf stil. Met alle consequenties van dien. Colonial Pipeline geldt immers als een van de belangrijkste beheerders van oliepijpleidingen in de VS en dus ontstond er na de hack een schrijnend tekort aan brandstof aan de Amerikaanse oostkust. In diverse staten kwamen benzinestations zonder brandstof te zitten en elders ontstonden lange rijen met automobilisten die brandstof wilden hamsteren.

Daags voor de ontmoeting tussen Biden en Poetin was het bovendien weer raak toen hackers de systemen van vleesverwerker JBS binnen wisten binnen te dringen, waardoor tientallen slachterijen in de VS hun werk stil moesten leggen. Ook een grootschalige hack bij Kasaeya, een ontwikkelaar van IT-managementsoftware, zorgde er in juli voor dat zo’n 1500 bedrijven wereldwijd werden lamgelegd.

In alle bovenstaande gevallen maakten hackers gebruik van zogenoemde ransomware. In het Nederlands vaak vertaalt als ‘gijzelingssoftware’: software gijzelt en blokkeert een computer- of besturingssysteem en vervolgens eisen hackers losgeld in de vorm van bitcoins of andere cryptovaluta in ruil voor een digitale sleutel waarmee bedrijven hun systemen weer van het slot kunnen halen.

De Amerikaanse autoriteiten denk dat Poetin of het Kremlin daarmee te maken hebben. Volgens Washington leidde het spoor van de recente grote cyberaanvallen zoals die tegen JBS, Colonial Pipeline en Kaseya zonder uitzondering naar Rusland. Ze zouden het werk zijn van criminele groeperingen met sciencefictionachtige namen als REvil en DarkSide. Die cybercriminelen zouden bovendien nauw samenwerken met de Russische veiligheidsdiensten die op hun beurt weer handelen in opdracht van het Kremlin.

null Beeld ANP
Beeld ANP

Rusland zal het wel weer hebben gedaan

Het klinkt als vragen naar de bekende weg: de systemen liggen plat, er heerst chaos, het Kremlin zal er wel achter zitten. Eén plus één is twee. Maar zo eenvoudig is het niet, weet Dennis Broeders, hoogleraar Global Security and Technology aan de Universiteit Leiden. ‘Er zijn inderdaad sterke vermoedens dat diverse Russische hackersgroepen in nauw contact staan met de Russische autoriteiten, maar het valt nooit helemaal te bewijzen.’

Wat wél met grote zekerheid valt te zeggen, is dat cybercriminelen in Rusland een stuk vrijer kunnen bewegen dan in veel andere landen. Dat heeft alles te maken met een ongeschreven contract tussen de staat en de hackerscollectieven, meent Broeders. ‘Zolang hackers Russische bedrijven met rust laten en geen bedreiging vormen voor het Kremlin of mensen verbonden aan het Kremlin, kunnen internetcriminelen min of meer doen en laten wat ze willen.’

Broeders vergelijkt de verstandhouding tussen het Kremlin en de hackersgroeperingen met een hofcultuur uit de middeleeuwen. ‘Cybercriminelen weten wat ze kunnen maken ten opzichte van het regime. Ze zijn er goed van doordrongen wat de tsaar toelaatbaar vindt en wat absoluut niet door de beugel kan.’ Bovendien snijdt het mes aan twee kanten, stelt de hoogleraar. ‘De hackers vallen het Kremlin niet lastig en in ruil daarvoor houdt het Kremlin cybercriminelen doorgaans de hand boven het hoofd, bijvoorbeeld door ze niet uit te leveren aan andere landen.’

Daarnaast zijn er ook genoeg verhalen over de Russische geheime diensten die rekruteren in het criminele circuit. ‘Cybercriminelen die hun kop te ver boven het maaiveld uitsteken, worden zeker wel eens benaderd door veiligheidsdiensten als de FSB, GROe en SVR’, zegt Broeders. ‘Ze worden vervolgens onder zachte dwang ertoe aangezet om wat hand- en spandiensten te verrichten voor de inlichtingendiensten. Daar valt voor die hackers waarschijnlijk wel mee te leven, aangezien ze voor de rest een plek onder de zon hebben in Rusland. Ze kunnen in de relatieve luwte hun leven leiden.’

Iemand die daarover mee kan praten is Dmitri Artimovitsj. De Russische ex-hacker bewoog zich altijd al langs de schaduwzijde van het internet, vertelt hij in een e-mail vanuit Novosibirsk. ‘Ik hield me vooral bezig met het ontwikkelen van een botnet (een softwareprogramma dat automatisch ongewenste e-mails verstuurt naar talloze internetgebruikers, red.) waarmee ik spam stuurde voor viagra.’ Een betrekkelijk onschuldige bezigheid waarmee hij vrij ongestoord zijn gang kon gaan en het nodige geld verdiende.

Pas in 2013 overschreed hij een grens. ‘Iemand vroeg me om een DDoS-aanval op het betalingssysteem van Aeroflot (de Russische nationale luchtvaartmaatschappij, red.) uit te voeren. Dat deed ik. Ik vond het een interessante opdracht en realiseerde me niet dat het onwettig was’. Dankzij die opdracht belandde Artimovitsj in 2013 in de cel. Klaarblijkelijk was hij een grens gepasseerd bij de Russische autoriteiten.

Liever een vrij man

Tijdens zijn voorarrest werd Artimovitsj benaderd door een celgenoot. ‘Hij vertelde me over ‘mogelijkheden om voor de FSB te werken’’. Hij zei dat mensen die vastzitten voor cybermisdaden nog voor hun rechtszaak vrij konden komen als ze namens de veiligheidsdienst voor de overheid gingen werken. Artimovitsj wees het aanbod af en belandde één jaar in een strafkamp. ‘Ik was liever een vrij man’, legt hij zijn keuze uit.

Zoals Artimovitsj lopen er duizenden mensen rond in Rusland. Allemaal zijn ze handig met computers en velen van hen bewegen zich in het gebied van de cybercriminaliteit. Dat komt volgens de ex-hacker voornamelijk doordat mensen met een IT-opleiding in Rusland moeilijk aan regulier werk komen. ‘De Sovjet-Unie stond bekend om het goede IT-onderwijs. Toen de USSR viel, konden veel jonge mensen geen baan meer vinden, maar ze hadden wel een computer. Dat betekende makkelijk geld verdienen via de cybercriminaliteit.’

Eigenlijk is er sinds de jaren negentig wat dat betreft weinig veranderd. De IT-opleidingen in Rusland behoren nog altijd tot de beste van de wereld, maar het ontbreekt in Moskou aan een goede Russische tegenhanger van Silicon Valley waar whizkids bij grote techbedrijven salarissen als moderne rocksterren verdienen. Zodoende belanden veel van hen in het grijze gebied tussen criminaliteit en overheid.

Daarom is het ook onwaarschijnlijk dat de opdracht voor de hack van bijvoorbeeld Colonial Pipeline of JBS direct vanuit het Kremlin of de veiligheidsdiensten kwam, stelt Broeders. ‘Daarvoor zijn er simpelweg te veel particuliere hackerscollectieven actief in Rusland.’ En dat is niet de enige reden, gaat hij verder. ‘Door niet direct met hackers samen te werken maar ze oogluikend toe te staan, kan het Kremlin elke betrokkenheid bij een aanval makkelijk ontkennen door te zeggen dat het om onafhankelijk opererende organisaties gaat.’

Net als de kapersbrieven van destijds

Wat dat betreft lijken de Russische hackers van nu nog het meest op de vrijbuiters die in de zeventiende en achttiende eeuw de wereldzeeën bevoeren. Daar waar de zeerovers van toen via een zogeheten kaapbrief toestemming kregen van een staat om schepen van vijandige landen te kapen en te plunderen zolang ze de vloot van de eigen natie maar met rust lieten, hebben de Russische hackers van nu de zegen van het Kremlin, zolang ze Russische bedrijven met rust laten.

Colonial Pipeline betaalde naar eigen zeggen vijf miljoen dollar aan de digitale vrijbuiters om de toegang tot hun systeem weer terug te krijgen. Ook JBS betaalde met elf miljoen dollar de hoofdprijs. Om te stellen dat het Kremlin daar als opdrachtgever direct schuldig aan is, gaat te ver. Doordat de Russische autoriteiten oogluikend de gijzeling en plundering van buitenlandse bedrijven fiatteren, gaan ze ook niet vrijuit. Er is sprake van een gedoogbeleid met duidelijke grenzen.

Zolang de hackers zich kortom aan het ongeschreven contract met de autoriteiten houden, leggen diezelfde autoriteiten ze geen strobreed in de weg. ‘Waarom zouden ze ook?’, vraagt Broeders zich hardop af. ‘Het Kremlin heeft er zelf geen last van en tegelijkertijd worden hun geopolitieke tegenstanders er wel mee geraakt.’

Explosieve toename cyberaanvallen door professionalisering

Cybercriminaliteit zit de laatste jaren in de lift, dat blijkt uit recent onderzoek van onder meer Group-IB en SonicWall, twee gerenommeerde bedrijven op het gebied van internetveiligheid. Zo concludeerde Groep-IB in het rapport ‘Ransomware 2020-2021’ dat het aantal cyberaanvallen in een jaar tijd met meer dan 150 procent steeg. Ook SonicWall kwam met verontrustende getallen. In de eerste zes maanden van dit jaar registreerde het bedrijf bijna 304,7 miljoen losse incidenten ten opzichte van 304,6 miljoen incidenten in heel 2020.

Volgens Denis Legezo, cyberveiligheidsexpert bij Kaspersky een wereldwijde leverancier van digitale beveiligingsoplossingen, heeft die toename vooral te maken met de professionalisering onder hackers. ‘Er is een professionaliseringsslag geweest. Hackerscollectieven maken steeds meer gebruik van zogeheten ransomware-as-a-service-bedrijven. Dat zijn organisaties die zelf niet per se een cyberaanval uitvoeren, maar die wel bepaalde diensten aan hackers verlenen.’

Die bedrijven werken met verschillende afdelingen, zo stelt Legezo. ‘Een afdeling verkoopt de malafide software, een andere leidt de onderhandelingen over losgeld, de derde verwerkt de betalingen en weer een andere afdeling is verantwoordelijk voor de communicatie. Uiteraard zijn die diensten niet gratis. Als betaling krijgen ze een percentage van het losgeld dat criminelen bij de cyberaanval verdienen.’

(Trouw)

Meer over

Reageren op een artikel, uw mening ventileren of een verhelderend inzicht delen met de wereld

Ga naar Open Venster

Op alle artikelen, foto's en video's op humo.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar redactie@humo.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234