De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) ziet dat staatshackers voortdurend van werkwijze veranderen om niet ontdekt te worden. Landen met offensieve cyberprogramma’s zoals Rusland, China, Iran en Noord-Korea gebruiken in toenemende mate commerciële software die binnendringers onzichtbaar maakt.
Dat meldt AIVD in zijn jaarverslag over 2022.
Genoemde software is oorspronkelijk ontwikkeld voor beveiligingsonderzoekers en valt niet specifiek te herleiden. Ook cybercriminelen weten zich hiermee te ‘verstoppen’. De AIVD ziet ook een toename in ‘living-off-the-land-aanvallen’, waarbij aanvallers niet bepaalde malware gebruiken om binnen te dringen, maar de bestaande functionaliteit benutten van software die vaak wordt gebruikt voor beheer en onderhoud. Zulke software is de ideale springplank, omdat er vaak vergaande gebruikersrechten bij horen. Ook gebruiken actoren anonimiseringstechnieken om het moeilijker herleidbaar te maken waar een aanval vandaan komt: ze routeren het eigen netwerkverkeer via steeds wisselende infrastructuur. Vaak bestaat die uit een netwerk van gehackte servers, specifiek opgezet voor het doen van digitale aanvallen.
Hoge kwaliteit
Het blijft voor statelijke actoren aantrekkelijk om bij hun activiteiten misbruik te maken van Nederlandse ict-infrastructuur. Want die is van hoge kwaliteit, is snel en stabiel, en kan bij veel aanbieders worden gehuurd.
Volgens de AIVD zijn staatshackers niet alleen uit op bedrijfsgeheimen, maar ook op persoonlijke gegevens van burgers. De dienst zag in 2022 dat verschillende landen met offensieve cyberprogramma’s probeerden data te stelen in de (Europese) reis- en luchtvaartsector. Ze zoeken vooral grote datasets. Informatie daaruit combineren ze met andere data om personen die ze op het oog hebben te identificeren, op te sporen of te volgen.
Een bijzonder gevaar van cyberaanvallen is dat de aanvaller de mogelijkheid inbouwt vitale infrastructuur lam te leggen, bijvoorbeeld energie- en communicatienetwerken. Verstoring of zelfs uitval daarvan kan leiden tot maatschappelijke ontwrichting en grote economische schade. De urgentie daarvan werd in 2022 onderstreept door een cyberaanval van een statelijke actor op Albanië. Die markeert waarschijnlijk de eerste keer dat een statelijke actor succesvol de overheidsnetwerken van een Navo-lidstaat aanvalt, met sabotage als doel. Albanië en andere Navo-lidstaten attribueren de aanval aan Iran.
Bijna al het geld dat de AIVD en zijn zusterorganisatie MIVD nu extra krijgen, gaat op aan versterking van cybercapaciteiten. Nieuw is de mogelijkheid om interceptie op de kabel uit te voeren. In theorie kon dat al jaren, maar technisch en juridisch waren er tot voor kort hindernissen. Die zijn nu weggenomen.
Interessant jaarverslag van de AIVD. De laatste jaren wordt het AIVD verslag steeds spannender, wat vooral te maken heeft met de snelle machtsverschuivingen in de wereld en de wijze waarop die worden veroorzaakt. Het verslag gaat maar voor een deel over de inzet van ICT, want net als bij de oorlog in Oekraïne, zijn er veel manieren om kennis, invloed of macht te verwerven en druk uit te oefenen en die manieren worden gecombineerd. Zo moeten we niet vergeten dat er rond Europa zwaar gewapende groene mannetjes varen op Russische vissersboten en oceanografisch onderzoeksschepen met wel heel veel antennes. En die mannetjes hebben niets te maken met beveiliging tegen moderne kaperij, maar met het bekijken van mogelijkheden om leidingen te saboteren. Volgens de AIVD ‘…lijkt Rusland meer bereid digitaal te spioneren bij landen die Oekraïne steunen. En – tegen de achtergrond van de Europese gastekorten – moet Rusland worden gezien als een grotere digitale bedreiging voor de wereldwijde energiesector.’ Hetzelfde geldt voor de kabels op de bodem van de Oostzee of Noordzee, waarover de AIVD ook heeft gerapporteerd.
Het uitvoeren van ‘living-off-the-land-aanvallen’ (een aanval uitvoeren via vertrouwde toeleveranciers, digitale dienstverleners of veelgebruikte (beheer)software en gebruik maken van de goede ICT-infrastructuur van een land als Nederland) betekent een verdere professionalisering bij de statelijke actoren. Minder avontuurlijk, maar wel gevaarlijker voor ons. Je hebt dus cellen die spioneren, cellen die via ransomeware geld binnenhalen en cellen die anderen een door hen gewenste schade proberen toe te brengen.
Maar we hoeven die statelijke actoren niet altijd te laten winnen schrijft de AIVD; ‘Dat gedegen patchwerk door ICT-afdelingen veel schade kan voorkomen, bleek in 2022 bij een intergouvernementele organisatie. Een statelijke actor probeerde de netwerken van die organisatie aan te vallen door een kwetsbaarheid in een populair softwarepakket te misbruiken. Maar op de dag dat die kwetsbaarheid wereldkundig werd, koppelde de ICT-afdeling de bewuste applicatie los van het internet, om eerst de noodzakelijke beveiligingsmaatregelen te nemen. Diverse dagen probeerde de statelijke actor tevergeefs verbinding te leggen met de organisatie.’ Onze sector kan en moet goed werk leveren.
De AIVD wil door de situatie meer bevoegdheden en stelt ‘Het kunnen bekijken van de (internationale) digitale verkeersstromen op een specifieke kabel, helpt enorm om inzicht te krijgen in de aanvalsstructuren van statelijke actoren, en helpt mogelijke (cyber)dreigingen vroeg onderkennen.‘ De AIVD zwengelt daarmee de discussie over de Tijdelijke wet cyberoperaties weer aan. Ze willen het toezicht verleggen van vooraf naar toezicht tijdens en achteraf bij de inzet van hackbevoegdheid en onderzoeksopdrachtgerichte interceptie. Helaas geven de AIVD en MIVD onvoldoende technische argumenten waarom ze die verlegging van toezicht nodig hebben. Dat is toch wel belangrijk als de AIVD zelf constateert dat ‘Het gedachtegoed dat Nederland wordt geregeerd door een kleine, kwaadaardige elite die de bevolking wil onderdrukken.’ Tenslotte zit in de Tweede kamer een fractie waar men aangeeft dat we door paarse krokodillen worden geregeerd.