Is er digitaal ook oorlog tussen Rusland en Oekraïne?
Een artikel over het digitale conflict tussen Oekraïne en Rusland.
.jpeg)
De Russische president Vladimir Poetin verklaart op donderdag 24 februari 2022 in een speech een “speciale militaire operatie”, te starten in Oekraïne. Al snel zijn de eerste explosies te horen. Hoewel het conflict al langer aan de gang is, is dit het begin van de oorlog in Oekraïne. “Veel experts zaten een beetje te wachten of dit dan de oorlog zou zijn waar cyber echt een groot component speelt”, zegt Krijn de Mik van Hunt and Hackett, een bedrijf gespecialiseerd in cyberaanvallen. Zou dit dan de eerste oorlog zijn waar ook digitaal oorlog gevoerd wordt? Het digitale conflict bestaat in ieder geval wel al langer.
Het is 2015 als in West-Oekraïne het elektriciteitsnet plat komt te liggen. Medewerkers van verschillende energiebedrijven downloaden malware (1) uit valse e-mails. Hierdoor komen bijna 250.000 huishoudens zes uur zonder stroom te zitten. De Oekraïense geheime dienst wijst direct naar Rusland. Veel blijft onduidelijk, omdat de actie niet wordt opgeëist door een hackersgroep. Het verhaal gaat dat er voor de stroomstoring 13 maanden voorbereidingstijd aan vooraf is gegaan. “Het is niet zo’n regulier Windows-systeem dat je hackt. Waarbij je een beetje door bestandjes en foldertjes heen kan pluizen. Er zitten allemaal back-up mechanismen aan, dat is een ander soort technologie”, zegt Krijn de Mik, “Het vergt veel tijd om daar binnen te komen en als je binnen bent moet je de juiste mensen hebben die dat soort apparaten snappen en er iets mee kunnen.” In 2016 vindt nogmaals zo’n zelfde soort cyberaanval plaats, nu in de hoofdstad Kiev.
27 juni 2017. Een nieuwe cyberaanval gaat wereldwijd rond. De aanval is vooral gericht op energiemaatschappijen, busstations, benzinestations, vliegvelden en banken. Op het eerste gezicht lijkt het op Petya, een type ransomware dat voor het eerst wordt ontdekt in 2016. Er wordt losgeld geëist in bitcoins. Alleen elke getroffen computer ziet hetzelfde rekeningnummer. Het duurt niet lang of deze is geblokkeerd. Geld kan dan niet de reden zijn voor het verspreiden van de malware. Snel wordt het duidelijk dat dit niet de normale Petya is. Het werkt veel destructiever. De malware kan de eigen gemaakte wijzigingen niet ongedaan maken. Wat meer overeenkomt met een wiper (2). Vanwege de grote verschillen met Petya, krijgt het de naam NotPetya. De schade wereldwijd is naar schatting 10 miljard dollar. Ongeveer 80 procent van de getroffen bedrijven zitten in Oekraïne. “Als je bedenkt dat Rusland vanaf 2014 een deel van Oekraïne bezet heeft, dan ligt het heel erg voor de hand om te veronderstellen dat het uitschakelen van de elektriciteitsdistributie in 2015 en in 2016 en de inzet van de malware NotPetya verband houdt met het conflict tussen die twee landen”, zegt Paul Ducheine, bijzonder hoogleraar Military Law of Cyber Operations & Cyber Security aan de Universiteit van Amsterdam. “Als je kijkt naar motivatie en drijfveren, dan is de meest logische verklaring dat het Rusland zelf of één van hun bondgenoten uit de voormalige Sovjet Unie, daar een steentje aan bijgedragen hebben”, zegt de Mik. Ducheine is het hier niet helemaal mee eens: “ Je mag alleen militaire doelen aanvallen. Ook digitaal. Dus de Russische strijdkrachten mogen hun tegenstanders aanvallen, maar je mag niet zomaar de dingen afsluiten. Dat is verboden onder de oorlogsrecht. De aanvallen die gebeuren worden vaak gedaan door sympathisanten van het desbetreffende land.” Toch klaagt de Amerikaanse overheid, na grondig onderzoek van de FBI, zes GRU officieren uit Rusland aan op verdenking van de verantwoordelijkheid van onder andere de NotPetya-aanvallen en de aanvallen op de energiecentrales in 2015 en 2016. De zes mannen komen uit Unit 74455 van GRU, de Russische militaire inlichtingen eenheid, die ook wel bekend staat onder de naam Sandworm.
Tijd blijkt een belangrijk component als het gaat om een impactvolle cyberaanval. “In theorie zou je alles kunnen platleggen”, zegt Paul Ducheine, “de vraag is alleen heb je de kennis en de middelen en de tijd om dat ook te doen.” Dit is misschien ook wel de reden dat tijdens de lopende duur van de oorlog met Oekraïne je online vooral DDoS-aanvallen (3) ziet. Aanvallen die wel een effect hebben, maar dusdanig niet veel schade aanrichten. “DDoS-aanvallen kunnen door iedereen gedaan worden. Grote aanvallen vergt een bepaalde expertise, voorbereiding en funding. Niet iedereen kan dit zomaar”, zegt Krijn de Mik. Iets wat Oekraïne niet heeft. Ze zoeken dan ook hulp van over de grenzen. Een hackersgroep Anonymous meldt zich aan. Deze doet vervolgens meerdere aanvallen op Russische overheidssites en bedrijven. Zo zetten ze de data van het ministerie van defensie uit Rusland via Twitter online. Niet veel later wordt dit verwijdert vanwege het overschrijden van de voorwaarden. Wel posten ze een foto van een site die niet meer te bereiken is. “Tuurlijk is het hinderlijk dat je niet op de website van het Russische ministerie van buitenlandse zaken kan komen, maar daar stort over het algemeen niet de wereld van in”, zegt Ducheine. Ook meldt de Oekraïense vicepremier Michailo Fedorov dat het land een cyberleger wil creëren. Vrijwilligers kunnen zich hiervoor aanmelden via Telegram. Ondertussen zijn er 285.000 hackers die online mee willen vechten. Toch lijkt het gewenste effect uit te blijven. “Wat het wel demonstreert is dat er blijkbaar sympathie is voor Oekraïne”, vindt Paul Ducheine.
Ook vanuit Rusland zie je weinig impact makende cyberaanvallen. Wel worden er drie wipers ontdekt, waarvan het vermoeden is dat die al een tijdje klaarstonden. Wachtend op het moment dat het geactiveerd kan worden. “We weten niet precies welke wipers dit waren, maar het moet verband houden met het moment van invasie”, aldus Ducheine. Of die ook echt ingezet zijn is onduidelijk. Wel geven verschillende bronnen aan dat de Amerikaanse overheid in het laatste halfjaar vorig jaar en het begin van dit jaar veel tijd samen met triumviraat partijen heeft gespendeerd aan allerlei belangrijke systemen en organisaties in Oekraïne. “Eén van de vermoedens is dan ook dat heel veel voorkomen is door van te voren een soort threat hunting te doen.”, vertelt Krijn de Mik. Hierdoor kunnen een hoop cyberaanvallen voorkomen zijn. “Ik denk niet dat dit een cyberoorlog te noemen is. Het is gewoon oorlog en cyber is daar onderdeel van”, zegt Krijn de Mik, “cyberoorlog klinkt als iets wat echt op zichzelf staand is, ik zie het meer als een middel.” Daarnaast kan je met een digitale oorlog geen land veroveren. Iets waarvan verwacht wordt dat dit wel de intenties zijn van Rusland. “Je kunt wel een hoop saboteren digitaal en je kunt een hoop vernielen, maar daarmee maak je jezelf nog geen meester van dat grondgebied en kan je ook niet de regering overnemen. Daarvoor heb je echt fysieke activiteiten nodig”, zegt Paul Ducheine. De kans dat de komende tijd alsnog een digitale oorlog losbarst is niet nul, maar de kans dat dit gebeurt is zeer klein. “Het kan natuurlijk nog steeds, maar dan had ik het eerder in deze oorlog verwacht”, aldus Krijn de Mik, “dat zou meer impact hebben gehad.”
TMI biedt handvatten en tools die jongeren en hun omgeving op een leuke en leerzame manier leren over mediawijsheid. Cybercrime is één van de onderwerpen waar wij les over geven. Benieuwd naar onze andere onderwerpen?
- Malware staat voor malicious software (schadelijke/kwaadaardige software). Het is een software die gebruikt wordt om computersystemen te verstoren, gevoelige informatie te verzamelen of toegang te krijgen tot private computersystemen.
- Een wiper is gemaakt om digitaal te slopen. Als je naar ransomware kijkt worden bestanden versleuteld en vragen aanvallers om losgeld. Bij een wiper worden de bestanden kapot gemaakt en is er vaak geen weg terug.
- DDoS betekent letterlijk distributed denial of service. De hacker probeert het moeilijker te maken om een computer, computernetwerk of online dienst te bereiken. Goed te herkennen aan het ongebruikelijke traag zijn van internet, het niet kunnen bezoeken van een website of een flinke toename van spam-mails.
Meld je aan voor de webinar
.png)
.jpeg)
.png)
.jpeg)
