Nieuwscyberoorlog

Zo ziet de onzichtbare Russische aanval op Oekraïne eruit

De oorlog in Oekraïne mag op het oog dan ouderwets met tanks en raketten worden uitgevochten, buiten het zicht voltrekt zich een heel andere strijd.

Huib Modderkolk
Een medewerker van de Russische binnenlandse veiligheidsdienst FSB inspecteert een in beslag genomen laptop. Beeld ANP / TASS
Een medewerker van de Russische binnenlandse veiligheidsdienst FSB inspecteert een in beslag genomen laptop.Beeld ANP / TASS

Terwijl de tanks hun land binnenrolden, ontvingen duizenden Oekraïners een bericht in hun inbox. De mail was vrij summier, er stond een datum bij en een korte tekst. De datum was de dag van de Russische aanval, 24-02-02. Daaronder: ‘Gewerkte periode 01.02.2022 tot 24.02.2022’, alsof het een uitbetaling van het salaris betrof. In de bijlage zat een zip-file.

Hoeveel Oekraïners erop hebben geklikt, is onduidelijk. De Oekraïense organisatie voor speciale communicatie en informatiebeveiliging (SSSCIP) zag zich in elk geval genoodzaakt een waarschuwing te laten uitgaan: ‘Open de inhoud van dit soort brieven en berichten nooit!’ Volgens de dienst was de e-mail een bericht van de ‘vijand’ om ‘inlichtingen te verzamelen’: door mobiele apparaten en laptops te infecteren zou het gedrag van burgers kunnen worden vastgelegd. Ook militairen en hun familieleden worden massaal op hun apparaten aangevallen, zegt de dienst. Organisaties die waken over de digitale veiligheid zijn lamgelegd.

Al ruim acht jaar is Oekraïne verwikkeld in een digitale oorlog met Rusland. Rondom en tijdens de Russische invasie van deze week is die strijd geïntensiveerd, blijkt uit rapporten van beveiligingsbedrijven en berichten van inlichtingendiensten. Hackers proberen op verschillende manieren Oekraïne te ontwrichten, onder meer via uitgebreide phishingcampagnes. Verschillende Russische groepen doen dit al langer. Gamaredon bijvoorbeeld, dat gelinkt is aan de binnenlandse veiligheidsdienst FSB. Het Amerikaanse it-bedrijf SentinelOne toonde in 2020 aan dat Gamaredon meer dan 5.000 doelwitten in Oekraïne had bestookt, voornamelijk op plekken waar ook het Oekraïense leger is gestationeerd.

Russische hackers

Digitale inlichtingen zijn bijzonder nuttig in een oorlog. Zo viel in de nacht van woensdag op donderdag al uit gegevens van Android-telefoons op te maken dat er een file stond op een van de Russische wegen richting de Oekraïense grens.

Serieuzer zijn de saboterende aanvallen op overheidsorganisaties en financiële instellingen. Half januari werden Oekraïense websites bevuild met dreigende teksten. In het Pools, Oekraïens en Russisch viel te lezen dat de persoonlijke gegevens van Oekraïense burgers waren gestolen en dat zij zich moesten ‘voorbereiden op het ergste’. Op hetzelfde moment werden Oekraïense organisaties doelwit van een aanval met destructieve malware. Documenten werden gewist en het besturingssysteem werd kapotgemaakt.

Ook vlak voor de invasie werd Oekraïne eerst enkele malen digitaal getroffen. Russische hackers legden middels zogeheten DDoS-aanvallen de financiële sector en Oekraïense ministeries plat. Daarbij wordt zoveel internetverkeer naar bepaalde servers gestuurd dat deze overbelast raken. Volgens Britse inlichtingen ging het daarbij ‘vrijwel zeker’ om hackers van Ruslands militaire veiligheidsdienst GROe. De Britten leken goed zicht te hebben op de gebruikte servers van de Russische hackers, die voornamelijk in westerse landen stonden, ook in Nederland. ‘De aanval laat een voortdurende minachting zien voor de soevereiniteit van Oekraïne’, zei een woordvoerder van het Britse nationale cybersecuritycentrum (NCSC). ‘Deze activiteit vormt een nieuw voorbeeld van Ruslands agressieve acties tegen Oekraïne.’

Op de dag voor de aanval werden Oekraïense ministeries geraakt door DDoS-aanvallen. En een paar uur voordat de Russische president Vladimir Poetin de invasie aankondigde, werd nieuwe destructieve malware gelanceerd. Deze malware, HermeticWiper genaamd, richt zich op de leveranciers van financiële instellingen en de overheid, zegt Dave Maasland, directeur van beveiligingsbedrijf Eset in Nederland. ‘In een aantal gevallen hebben we ook gezien dat het centraal werd uitgerold via de active directory.’ De active directory staat beheerders van een netwerk toe om rechten en instellingen in een netwerk te beheren. Het is een aanwijzing dat de hackers al eerder binnen waren en hebben gewacht op het juiste moment om toe te slaan. Het Amerikaanse Symantec vond in de malware sporen die teruggaan tot december 2021.

Amerikaanse en Britse veiligheidsdiensten waarschuwen dat Russische hackers sinds de inval ook een ander digitaal wapen in stelling brengen: Cyclops Blink. Dat is ongerichte malware die wordt verspreid in de hoop zoveel mogelijk slachtoffers te maken. Cyclops Blink infecteert apparaten die netwerken beveiligen en steelt wachtwoorden.

In het verleden hebben dit soort aanvallen ook verschillende Nederlandse slachtoffers gemaakt. In 2017 verspreidde de destructieve malware NotPetya zich over de hele wereld en legde onder meer terminals in de Rotterdamse haven dagenlang plat. Die risico’s bestaan nu ook. ‘Wij maken ons momenteel zorgen over HermeticWiper’, zegt Vaisha Bernard, digitaal expert bij beveiligingsbedrijf Eye. Hij zegt dat HermeticWiper geen ‘worm’ is, zoals NotPetya dat was. Een worm heeft als doel zich automatisch te verspreiden. Bernard: ‘Maar hoewel het geen worm is, is het wel opgedoken in landen als Letland en Litouwen. Dat moet dus heel bewust zijn gedaan. Voor Nederlandse bedrijven bestaat het risico vooral bij netwerkkoppelingen met vestigingen in deze landen.’

Cyberdefensie

De vraag is of Oekraïne zich kan verdedigen tegen dit digitale geweld. De websites van overheden zijn slecht of niet bereikbaar. Communicatie gaat via Telegram en Facebook. Victor Zohra, digitaal expert bij SSSCIP, zegt op Facebook met bewijzen te komen van Russische misdragingen in ‘cyberspace’. De Oekraïense overheid roept sinds donderdag alle hackers op om het land te verdedigen en Russische militairen te bespioneren. ‘Het is tijd om te helpen met de cyberdefensie van ons land’, staat in een verzoek op hackersfora, meldt Reuters.

Nederland had eerder digitale hulp aangeboden via een Europees cyberteam. Dat internationale team, een paar man sterk waaronder één specialist van Defensie uit Nederland, zou deze week naar Oekraïne vertrekken voor een eerste verkenning van de Oekraïense netwerken. Op de dag dat het team zou afreizen, viel Rusland binnen. Het team kijkt nu naar mogelijkheden om eventueel op afstand Oekraïne digitaal te ondersteunen, zegt een woordvoerder van Defensie.

‘De situatie is zwaar’, zegt Bogdan Dolintse vanuit Oekraïne. Dolintse werkt als manager aan een ict-project voor de Oekraïense overheid. Hij is gevlucht uit Kiev. ‘Digitale aanvallen vinden de laatste weken regelmatig plaats’, zegt hij. Maar het zijn de raketten en geweren die nu doden en chaos veroorzaken. De invasie van Rusland heeft de prioriteiten veranderd. ‘Sorry, maar ik ben bezig met andere zaken’, zegt de directeur van een digitaal beveiligingsbedrijf in Kiev, die normaal bedrijven en de overheid bijstaat. Ook de Oekraïense cyberpolitie stuurt in haar Telegramkanaal steeds minder informatie over hackaanvallen door. Het laatste bericht: wie kan er woonruimte aanbieden aan medeburgers die voor het geweld op de vlucht zijn geslagen?

Meer over