Analyse

De oorlog in Oekraïne is digitaler dan je denkt

Na jaren van cyberdreiging lijkt de oorlog in Oekraïne behoorlijk analoog te verlopen. Rusland valt aan met raketten, tanks en soldaten, terwijl de digitale infrastructuur grotendeels intact blijft. Loopt het conflict anders dan verwacht? Of is er meer aan de hand?

Huib Modderkolk
null Beeld JeRoen Murré
Beeld JeRoen Murré

Plots beweegt de cursor uit zichzelf over het beeldscherm van een technicus van het elektriciteitsnetwerk in Oekraïne. Hoe de technicus ook met zijn computermuis schudt, de cursor heeft een eigen plan: hij klikt een schermpje open van de bediening van een schakelaar in een distributiestation en selecteert ‘uitschakelen’. Dan gaat de cursor naar de volgende schakelaar en doet hetzelfde. De technici kijken vol verbazing naar hun schermen. ‘Moeten we de ict-jongens roepen?’ Tientallen distributiestations worden een voor een uitgeschakeld. Bij honderdduizenden mensen in Oekraïne gaat de stroom uit.

Deze actie van Russische militaire hackers, op een koude decemberavond in 2015, leek een nieuw soort oorlog aan te kondigen; een oorlog die zich vooral digitaal zou afspelen. Waarbij elektriciteits- en communicatienetwerken doelwit zouden zijn. Evenals banken, watervoorzieningen en het spoor.

Maar toen Rusland eind februari Oekraïne binnenviel, deed het dat met tanks en legervoertuigen. Terwijl de raketten neerdaalden, bleef de stroom aan. De Oekraïense president Volodimir Zelenski kon zijn videoboodschappen via sociale media verspreiden en Oekraïense televisienetwerken bleven uitzenden. Er kwam water uit de kraan en de treinen reden door. De oorlog van de toekomst zag er, op het eerste oog, behoorlijk ouderwets uit.

Of zoals de Britse BBC-correspondent Gordon Corera zei op de dag van de invasie: ‘Na alle voorspellingen over een ‘cyberoorlog’ laat deze dag zien dat als een conflict tot deze hoogte escaleert, cyber secundair is. Als je de infrastructuur van een land kapot wilt maken, dan zijn raketten doeltreffender dan computercodes.’

Verloopt de oorlog in Oekraïne inderdaad anders dan verwacht?

Invasie door Russen ging wel degelijk gepaard met ‘cyberacties’

‘We zien wel degelijk een nieuw soort oorlog’, zegt John Fokker, hoofd onderzoek bij het digitale-beveiligingsplatform Trellix. ‘Ik heb nog nooit eerder meegemaakt dat de digitale invasie van een land op deze schaal gevolgd werd door een kinetische fase.’ Fokker werkte jarenlang bij het Team High Tech Crime van de Nederlandse politie voordat hij overstapte naar Trellix. ‘Er is veel meer gaande dan alleen een traditionele oorlog.’ Maar dat is niet voor iedereen zichtbaar.

Op de dag van de invasie, 24 februari, toen de raketten op luchthavens vielen, tanks de grens overstaken en paramilitairen onderweg waren naar Kyiv, viel de verbinding van duizenden modems van de Oekraïense overheid weg. Deze modems werken met internet via de KA-SAT-satelliet van het Amerikaanse communicatiebedrijf Viasat. KA-SAT hangt sinds 2010 in de lucht en zorgt voor breedbandinternet in Europa en een deel van het Midden-Oosten.

Gelijktijdig met de invasie kampte Viasat met een ‘gedeeltelijke netwerkstoring’, zei het bedrijf later tegen de Amerikaanse tv-zender CNBC. Daarbij werden de ‘internetverbindingen van klanten in Oekraïne en elders in Europa’ zwaar geraakt. Sommige modems werden zo beschadigd dat ze nu nog steeds niet werken. Viktor Zhora, adjunct-directeur van de Oekraïense Organisatie voor Informatiebeveiliging, erkende deze week dat de Oekraïense overheid als gevolg van de hack ‘een enorm communicatieverlies leed aan het begin van de oorlog’.

Diezelfde dag werden ook burgers en bedrijven getroffen door een internetstoring. Internetprovider Triolan, dat behoort tot de top-10 van de grootste providers ter wereld, kampte met een ‘aanval’, zei het bedrijf later via Telegram, waarbij hackers volgens het Amerikaanse Forbes toegang hadden tot de interne computers van Triolan en die terugzetten naar de fabrieksinstellingen. Sommige routers zijn onherstelbaar beschadigd.

Op 9 maart volgde een nieuwe aanval, waarbij Triolan volgens cijfers van analysebureau Kentik meer dan twaalf uur offline was. Ook de grootste telecomprovider van Oekraïne, Ukrtelecom, kampte die dag met een storing, waarschijnlijk als gevolg van een ddos-aanval.

Ontdekking destructieve malware houdt treinen rijdend

Eerder al vond een Amerikaans cyberteam volgens de Financial Times destructieve malware in het Oekraïense spoorsysteem, een zogeheten wiper die erop is gericht om het gehele computernetwerk uit te schakelen door cruciale bestanden te verwijderen. Het spoornetwerk was in de eerste dagen na de invasie een cruciale vluchtroute: één miljoen Oekraïners maakten er gebruik van om weg te komen. Een Oekraïense ambtenaar zei tegen FT dat als de malware niet was ontdekt, de gevolgen ‘catastrofaal’ hadden kunnen zijn.

Eenzelfde wiper trof computers van de Oekraïense douane bij de grens met Roemenië. Daardoor konden vluchtende burgers niet worden geregistreerd en liepen de wachttijden voor de grens enorm op.

De digitale oorlog verloopt niet alleen parallel aan de conventionele oorlog. Ruim voordat de tanks de grens overstaken, zag beveiligingsexpert Fokker de digitale activiteit in en rondom Oekraïne al toenemen.

In juli 2021 begon de voorbereiding van hackers van de Russische militaire inlichtingendienst voor een vergaande spionagecampagne, gericht tegen verschillende Oost-Europese en West-Aziatische landen, blijkt uit gegevens van Trellix. Vanaf september stuurden ze mails aan overheidsfunctionarissen in verschillende landen, waaronder Armenië. Dat land ligt tussen Turkije en Iran, en werkt samen met, maar is geen lid van de Navo. Als voormalige Sovjet-staat heeft het historische banden met Rusland. Bovendien is het een buurland van Georgië. Voor Rusland is het cruciaal te weten wat de intenties zijn van Armenië, zeker als Rusland Oekraïne zou binnenvallen.

De hackers richtten hun aanval specifiek op overheidsfunctionarissen die over nationale veiligheid en defensie gaan, en op enkele partijen die betrokken zijn bij defensie. Ze stuurden mails naar ambtenaren met een Excel-bijlage getiteld ‘parlement_rew’, naar veiligheidsexperts stuurden ze de bijlage ‘Missions Budget’, met een overzicht van de kosten van militaire operaties in 2022 en 2023. Behalve Armenië waren ook Polen en andere Oost-Europese landen het doelwit van de hackers.

null Beeld JeRoen Murré
Beeld JeRoen Murré

De aanval in Armenië was ‘succesvol’ en de hackers bereikten zelfs het kantoor van de Armeense president. Ze zochten daar volgens bronnen naar communicatie met de Navo, informatie over de contacten met de Europese Unie en Europese documenten.

‘Cyberoperatie vermoedelijk voorbode invasie’

Hoewel Trellix het land niet bij naam wil noemen, wordt Armenië wel vermeld in bestanden die op antiviruswebsite Virustotal staan. ‘De partijen achter deze aanval lijken zeer geavanceerd te zijn gezien hun werkwijze, de malware die ze gebruiken en de infrastructuur van de operatie’, schrijft Trellix, dat toevoegt dat de hackers op werkdagen actief waren en in de tijdzone van Rusland werkten. Wat duidt op professionele hackers. ‘Klassieke spionage’, zegt John Fokker, die het onderzoek kent.

Maar daar bleef het niet bij. Diezelfde hackers drongen in het najaar Oekraïense overheden binnen. Ze gebruikten dezelfde geavanceerde technieken, zoals het inzetten van de cloudopslag OneDrive als aanvalsserver. ‘Achteraf is het makkelijk praten’, zegt Fokker, ‘maar deze operatie was vermoedelijk een voorbode voor de invasie. Rusland wilde zijn informatie op orde hebben: hoe staan de andere landen in de wedstrijd? Zeker de landen die tegen de Navo aanschuren.’

Nog een aanwijzing dat Rusland zich voorbereidde op een invasie: nadat de militaire hackers Oekraïense documenten hadden gestolen, lieten ze een wiper los. Een paar uur voordat de Russische president Vladimir Poetin de militaire operatie in Oekraïne aankondigde, werd nóg zo’n wiper gelanceerd. Fokker: ‘Dat was dus niet een digitale aanval over de volle breedte, maar een doelgerichte aanval op plekken waartoe Rusland al toegang had. Doelgericht prikken op de Oekraïense overheid.’

Nieuwe krachten

Sinds de invasie is het speelveld radicaal veranderd en hebben zich allerlei nieuwe krachten gemeld. De digitale tegenaanval komt van Oekraïense hackgroepen, gesteund door een internationaal legioen van jonge computerexperts. Russische activistische hackers proberen terug te slaan. Het zijn deze groepen die momenteel online de meeste onrust veroorzaken. Op Telegram verenigen ze zich en spreken ze doelen af.

Een aanjagende rol speelt Hacken, een jong Oekraïens cybersecuritybedrijf met zo’n vijftig werknemers, dat voor de oorlog kwetsbaarheden zocht in de netwerken van westerse klanten. Dat vijftigtal opereert vanuit Spanje, volgens nieuwssite Politico, en valt Russische bedrijven en infrastructuur aan.

Het bedrijf roept iedereen op zich aan te sluiten bij het ict-leger en looft beloningen uit aan hackers die zwakke plekken in Russische netwerken vinden. ‘Je moet kritieke kwetsbaarheden vinden en veiligheidsproblemen in de digitale infrastructuur van de agressor en de propagandamachine’, staat op de site van Hacken. ‘We zullen deze informatie doorgeven aan de Oekraïense cyberkrachten. Die zullen de valse informatie verwijderen en de feiten over de Russische platforms verspreiden.’

Elke Oekraïense burger met een telefoon doet mee in de informatie-oorlog

Hackgroepen kloppen zich graag op de borst over hoe succesvol hun aanvallen zijn. Een pro-Oekraïense groep claimde de persoonlijke gegevens van 120 duizend Russische soldaten te hebben gelekt. Na verificatie bleken sommige data inderdaad van Russische militairen te zijn die actief zijn in Oekraïne, andere waren verouderd. De groep Kelvin Security zei een Russische kernreactor te hebben gehackt, maar de beelden die de groep als bewijs daarvan verspreidde, waren afkomstig uit een oude video, ontdekte beveiligingsbedrijf Check Point.

Het hacken over en weer mag dan vooral gericht en haastig zijn, de oorlog in Oekraïne is de digitaalste tot nu toe. Elke Oekraïense burger met een telefoon doet mee in de informatieoorlog. Video’s van gevangen Russen, foto’s van plaatsnaamborden die naar ‘Den Haag’ verwijzen, beelden van kapotte Russische legervoertuigen, een president die het moreel hooghoudt via sociale media, TikTok-filmpjes met instructies om tanks te besturen, transcripties van afgeluisterde telefoongesprekken van Russische militairen, video’s van een bombardement vanuit meerdere perspectieven. Praktisch alles wordt gedocumenteerd en gedeeld via sociale media.

‘Over de volle breedte is een informatieoorlog gaande. Opportunistisch, onoverzichtelijk, waarbij ook allerlei gelegenheidsnetwerken zich melden’, zegt John Fokker. Hackerscollectief Anonymous, een los verband van naar schatting enkele honderden hackers, heeft sinds de invasie de kant van Oekraïne gekozen. Het riep mensen op berichten achter te laten op de websites van restaurants in Rusland vermomd als recensies, en hierin aan Russen duidelijk te maken welke oorlog zich werkelijk afspeelt. Het collectief legde met ddos-aanvallen verschillende Russische overheidssites plat, publiceerde 364 duizend documenten van Roskomnadzor, de Russische organisatie die verantwoordelijk is voor de censuur van media, en hackte de Russische staatstelevisie om beelden van de oorlog in het buurland door te geven.

Oekraïne weet zich prima staande te houden op dit front. Dimitri Alperovitch, medeoprichter van het Amerikaanse beveiligingsbedrijf Crowdstrike, concludeert op Twitter: ‘Ondanks alle vrees de laatste tien jaar voor de Russische mogelijkheden in de hybride/informatieoorlog en de inzet van trollegers, hebben de Russen deze informatieoorlog in Oekraïne compleet verloren.’

Illustratief is de Oekraïense reactie op Russische desinformatie. Meermaals heeft het Kremlin beweerd dat president Zelenski was gevlucht of zich had overgegeven. Zelenski, tv-producent en acteur voordat hij president werd, reageerde daar telkens direct op door een video van zichzelf op te nemen en via sociale media te verspreiden. Toen Russische hackers een deepfake van Zelenski op Oekraïense televisie verspreidden waarin hij burgers opriep zich over te geven – een noviteit in een conflict –, plaatste de president meteen een video op Instagram waarin hij het bericht ontkende en Russen opriep te vertrekken. Oekraïense hackers namen wraak door een deepfake van Poetin te verspreiden. Ruslandexpert Stephan Kotkin in weekblad The New Yorker: ‘Een televisieproducent een land laten besturen is in vredestijd geen goed idee, maar in oorlogstijd, wanneer de informatieoorlog een van je doelen is, is het fantastisch om te hebben.’

Waarom Rusland digitaal niet harder toeslaat, is een raadsel

Toch wringt er iets. Waarom liet Rusland, dat erom bekendstaat goede en agressieve hackers te hebben, de Oekraïense president zo lang vrijelijk communiceren? Waarom stuurden ze een raket naar de televisietoren in Kyiv maar lieten ze de Oekraïense televisiezenders digitaal ongemoeid? Waarom vielen ze niet over de volle breedte digitaal aan? En wat zegt dit over de plek van ‘cyber’ in een conflict?

Dat zijn vragen die ook de Nederlandse inlichtingendiensten bezighouden. Zij hebben goed zicht op de Russische online activiteiten, vertellen bronnen, al investeren de diensten flink om meer te weten te komen over de Russische intenties. Wat bereidt het Kremlin voor? Het valt op dat Rusland het digitale potentieel niet benut ‘in de mate die je zou verwachten’, zegt een inlichtingenbron.

Naar de redenen is het gissen. Misschien zijn Russische hackers toch niet zo goed als altijd gedacht. Misschien hadden ze geen baat bij het kapotmaken van de Oekraïense infrastructuur – ze wilden het land immers snel overnemen. Misschien hadden ze meer voorbereidingstijd nodig, of hebben ze de Oekraïense communicatie-infrastructuur zelf nodig, voor inlichtingen en eigen communicatie. Een aanwijzing voor die laatste hypothese is de aanhouding van een Oekraïense hacker, die het Russische leger toegang gaf tot het mobiele netwerk in Oekraïne.

Victor Zhora van de Oekraïense Organisatie voor Informatiebeveiliging gaf deze week vanuit een bunker in Kyiv nog een mogelijke verklaring: ‘Russische hackers passen zich niet snel genoeg aan de militaire operatie aan. Ze slagen er niet in om Oekraïense overheden en industrie te identificeren en compromitteren.’

Navo helpt Oekraïne al enige tijd bij digitale beveiliging

Daar had hij nog een argument bij kunnen geven: Oekraïne krijgt al een aantal jaar hulp van de Navo in het beveiligen van kritieke systemen. Amerikaanse en Britse cyberteams zijn vanaf eind december in het land om de infrastructuur vrij te houden van Russische malware. Volgens een reconstructie van de Financial Times bestond de groep uit militairen en burgers, werkzaam voor private Amerikaanse partijen. Zij ontdekten onder meer de wiper in het spoorsysteem.

Oekraïne toont dat een echte oorlog zwart-wit is: hij begint op het moment dat de eerste tanks de grens oversteken. De digitale oorlog, die in Oekraïne feitelijk al acht jaar gaande is, speelt zich af in het grijze gebied. Proberen je tegenstander onder de radar te verzwakken, ontkennen dat er sprake is van een echte oorlog, chaos creëren en onrust zaaien. Zoals BBC-correspondent Corera op de dag van de invasie zei: ‘De rol van cyber is wellicht het creëren van verwarring.’

Ciaran Martin, voormalig hoofd cybersecurity bij de Britse spionagedienst GCHQ, pleit daarom in een opinieartikel voor de cyberblog Lawfare voor ‘cyberrealisme’. Martin: ‘Ondanks dat Rusland een van de meest vooraanstaande cybermachten is, is de Russische invasie tot dusverre uiterst conventioneel geweest in haar brutaliteit, gezien de vreselijke beelden uit Kyiv, Charkiv en andere steden.’

John Fokker zou dat graag nuanceren. ‘De grote klap mag dan niet gekomen zijn, er is van alles aan de hand en het wordt met de dag complexer’, zegt hij. Eén ding weet Fokker zeker: mochten de tanks op een dag vertrekken, dan zullen de hackers blijven. ‘Tanks kunnen weer terug de grens over, maar de digitale dreiging laat zich niet verjagen.’

Bijkomend gevaar

De claims en ongecontroleerde aanvallen van internationale hackerscollectieven baren veiligheidsexperts zorgen. Zo opereren de vijftig werknemers van het Oekraïense beveiligingsbedrijf Hacken vanuit Spanje, een Navo- en EU-land. Wat als zij de kritieke infrastructuur van Rusland binnendringen? Ziet Rusland dat als een oorlogsdaad van een Navo-lidstaat? Hierdoor kan de oorlog gevaarlijk escaleren.

Die zorgen zijn er ook over Russische criminele hackers, zoals over de leden van ransomwaregroepen die de afgelopen jaren in het Westen honderden miljoenen dollars hebben buitgemaakt met het afpersen van bedrijven. Mengen zij zich ook in de oorlog?

Conti, een van de beruchtste groepen, dreigde westerse landen aan te vallen als vergelding voor acties tegen Rusland. Met die waarschuwing moet niet lichtzinnig worden omgesprongen; waarschijnlijk is Conti al bij verscheidene bedrijven binnengedrongen. Het heeft bovendien, zo lieten interne documenten zien, nauwe banden met de Russische veiligheidsdienst FSB. Veiligheidsexpert John Fokker: ‘De Russische overheid heeft dit soort groepen jarenlang bescherming geboden. Zij kunnen groepen als Conti hiermee chanteren: je sluit je bij ons aan of je verliest je bescherming.’

Meer over