Woensdag 06/07/2022

AchtergrondOorlog in Oekraïne

Welkom aan het cyberfront: zo ziet de onzichtbare Russische aanval op Oekraïne eruit

Een medewerker van de Russische binnenlandse veiligheidsdienst FSB inspecteert een in beslag genomen laptop. Beeld ANP / TASS
Een medewerker van de Russische binnenlandse veiligheidsdienst FSB inspecteert een in beslag genomen laptop.Beeld ANP / TASS

De oorlog in Oekraïne mag op het eerste gezicht ouderwets met tanks en raketten worden uitgevochten, buiten het zicht voltrekt zich een heel andere strijd. Welkom aan het cyberfront.

Huib Modderkolk

Terwijl de tanks hun land binnenrolden, ontvingen duizenden Oekraïners een bericht in hun inbox. De mail was summier, er stond een datum bij en een korte tekst. De datum was de dag van de Russische aanval, 24-02-02. Daaronder: ‘Gewerkte periode 01.02.2022 tot 24.02.2022’, alsof het een uitbetaling van het salaris betrof. In de bijlage zat een zip-file.

Hoeveel Oekraïners erop hebben geklikt, is onduidelijk. De Oekraïense organisatie voor speciale communicatie en informatiebeveiliging (SSSCIP) zag zich in elk geval genoodzaakt een waarschuwing te laten uitgaan: ‘Open de inhoud van dit soort brieven en berichten nooit!’ Volgens de dienst was de e-mail een bericht van de ‘vijand’ om ‘inlichtingen te verzamelen’: door mobiele apparaten en laptops te infecteren zou het gedrag van burgers kunnen worden vastgelegd. Ook militairen en hun familieleden worden massaal op hun apparaten aangevallen, zegt de dienst. Organisaties die waken over de digitale veiligheid zijn lamgelegd.

Al ruim acht jaar is Oekraïne verwikkeld in een digitale oorlog met Rusland. Rondom en tijdens de Russische invasie van deze week is die strijd geïntensiveerd, blijkt uit rapporten van beveiligingsbedrijven en berichten van inlichtingendiensten. Hackers proberen op verschillende manieren Oekraïne te ontwrichten, onder meer via uitgebreide phishingcampagnes.

Verschillende Russische groepen doen dit al langer. Gamaredon bijvoorbeeld, dat gelinkt is aan de binnenlandse veiligheidsdienst FSB. Het Amerikaanse IT-bedrijf Sentinel toonde in 2020 aan dat Gamaredon meer dan vijfduizend doelwitten in Oekraïne had bestookt, voornamelijk op plekken waar ook het Oekraïense leger is gestationeerd.

Destructieve malware

Half januari werden Oekraïense websites bevuild met dreigende teksten. In het Pools, Oekraïens en Russisch viel te lezen dat de persoonlijke gegevens van Oekraïense burgers waren gestolen en dat zij zich moesten ‘voorbereiden op het ergste’. Op hetzelfde moment werden Oekraïense organisaties doelwit van een aanval met destructieve malware. Documenten werden gewist en het besturingssysteem werd kapotgemaakt.

Ook vlak voor de invasie werd Oekraïne eerst digitaal getroffen. Russische hackers legden middels zogeheten DDoS-aanvallen de financiële sector en Oekraïense ministeries plat. Daarbij wordt zoveel internetverkeer naar bepaalde servers gestuurd dat deze overbelast raken. Volgens Britse inlichtingen ging het daarbij ‘vrijwel zeker’ om hackers van Ruslands militaire veiligheidsdienst GROe. De Britten leken een goed zicht te hebben op de gebruikte servers van de Russische hackers, die voornamelijk in westerse landen stonden.

Half januari werden Oekraïense websites bevuild met dreigende teksten. In het Pools, Oekraïens en Russisch viel te lezen dat de persoonlijke gegevens van Oekraïense burgers waren gestolen en dat zij zich moesten ‘voorbereiden op het ergste’. Beeld REUTERS
Half januari werden Oekraïense websites bevuild met dreigende teksten. In het Pools, Oekraïens en Russisch viel te lezen dat de persoonlijke gegevens van Oekraïense burgers waren gestolen en dat zij zich moesten ‘voorbereiden op het ergste’.Beeld REUTERS

Op de dag voor de aanval werden Oekraïense ministeries geraakt door DDoS-aanvallen. En een paar uur voordat de Russische president Poetin de invasie aankondigde, werd nieuwe destructieve malware gelanceerd. Deze malware, HermeticWiper genaamd, richt zich op de leveranciers van financiële instellingen en de overheid, zegt Dave Maasland, directeur van beveiligingsbedrijf Eset in Nederland.

“In een aantal gevallen hebben we ook gezien dat het centraal werd uitgerold via de active directory.” De active directory staat beheerders van een netwerk toe om rechten en instellingen in een netwerk te beheren. Het is een aanwijzing dat de hackers al eerder binnen waren en hebben gewacht op het juiste moment om toe te slaan. Het Amerikaanse Symantec vond in de malware sporen die teruggaan tot december 2021.

Amerikaanse en Britse veiligheidsdiensten waarschuwen dat Russische hackers sinds de inval ook een ander digitaal wapen in stelling brengen: Cyclops Blink. Dat is ongerichte malware die wordt verspreid in de hoop zoveel mogelijk slachtoffers te maken. Cyclops Blink infecteert apparaten die netwerken beveiligen en steelt wachtwoorden.

‘Help ons, hackers’

De vraag is of Oekraïne zich kan verdedigen tegen dit digitale geweld. De websites van overheden zijn slecht of niet bereikbaar. Communicatie gaat via Telegram en Facebook. Victor Zohra, digitaal expert bij SSSCIP, zegt op Facebook met bewijzen te komen van Russische misdragingen in cyberspace. De Oekraïense overheid roept sinds donderdag alle hackers op om het land te verdedigen en Russische militairen te bespioneren. “Het is tijd om te helpen met de cyberdefensie van ons land”, staat in een verzoek op hackersfora, meldt Reuters.

“De situatie is zwaar”, zegt Bogdan Dolintse vanuit Oekraïne. Hij werkt als manager aan een ICT-project voor de Oekraïense overheid. Hij is gevlucht uit Kiev. “Digitale aanvallen vinden de laatste weken regelmatig plaats”, zegt hij. Maar het zijn de raketten en geweren die nu doden en chaos veroorzaken. De invasie van Rusland heeft de prioriteiten veranderd. “Sorry, maar ik ben bezig met andere zaken”, zegt de directeur van een digitaal beveiligingsbedrijf in Kiev dat normaal bedrijven en de overheid bijstaat. Ook de Oekraïense cyberpolitie stuurt in haar Telegramkanaal steeds minder informatie over hackaanvallen door. Het laatste bericht: wie kan er woonruimte aanbieden aan medeburgers die voor het geweld op de vlucht zijn geslagen?

Meer over

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234