EXPLAINER – De oorlog in Oekraïne is niet alleen op het slagveld voelbaar, maar vindt ook plaats in onze ict-systemen. Russische staatshackers voeren continu cyberaanvallen uit op Nederlandse overheidsinstellingen, kritieke infrastructuur, defensie en energiebedrijven. Wat zijn hun motieven, waarom is Nederland doelwit en hoe kunnen organisaties zich hiertegen verdedigen?
Begin september waarschuwde de MIVD (Militaire Inlichtingen- en Veiligheidsdienst) voor de aanvallen van Russische staatshackers op Nederlandse ict-systemen. Vooral bij overheden, defensie en energiebedrijven worden steeds meer cyberaanvallen waargenomen. Tot nu toe bleven grote gevolgen uit. Maar ook bedrijven en zorginstellingen moeten opletten, waarschuwen verschillende inlichtingendiensten. In een rapport, waarnaar de MIVD verwijst, waarschuwen de FBI, Cybersecurity and Infrastructure Security Agency (CISA), en National Security Agency (NSA) specifiek voor Eenheid 29155 van de Russische geheime dienst.
Die groep die onderdeel uitmaakt van de Russische militaire inlichtingendienst (GRU) richtte zich aanvankelijk op spionage en aanslagen in de fysieke ruimte. Ze worden onder meer gelinkt aan het opblazen van een Tsjechisch munitiedepot in oktober 2014. Dat was een Russische aanslag op Europees grondgebied die plaatsvond na de Maidan-opstand in Oekraïne. Die massale protestbeweging voor meer democratie en een sterkere Europese integratie leidde tot het aftreden van president Janoekovitsj en de annexatie van De Krim door Rusland. Ook is er de aanslag op dubbelspion Skripal die in 2018 in Engeland werd vergiftigd met het zenuwgif novitsjok waarmee de groep in verband wordt gebracht. Vanaf het jaar 2020 is de eenheid ook verantwoordelijk voor wereldwijde cyberoperaties, concluderen de inlichtingendiensten. De Russische groep gebruikt onder meer de zeer destructieve WhisperGate-malware die in 2022 de ict-infrastructuur van Oekraïense overheidsorganisaties verstoorde en de daarin aanwezige data vernietigde.
Navo-landen
De operaties van Eenheid 29155 richten zich naast Oekraïne op meerdere Navo-landen. ‘Het gaat hierbij om cybercampagnes zoals het overnemen en bekladden van websites, infrastructuurscans, data-exfiltratie en datalek-operaties. Sinds begin 2022 is de primaire focus van de groep het verstoren van inspanningen om Oekraïne te steunen’, schrijven de Amerikaanse cyberbeveiligings- en inlichtingendiensten. De FBI heeft meer dan 14.000 gevallen van domeinscanning waargenomen bij ten minste 26 Navo-lidstaten en EU-landen. Bovendien verkopen of publiceren deze cyberaanvallers vaak gestolen data, wat de reputatie en veiligheid van hun slachtoffers verder ondermijnt.
Wat is het motief van de aanvallers?
Computable vroeg ict-beveiliger Northwave om het rapport te bestuderen. Volgens Pim Takkenberg, de general manager van de onderzoeks- en innovatie-divisie aldaar, verschillen de aanvalstactieken van de Russische staathackers vaak nauwelijks van die van cybercriminelen met financiële motieven. Takkenberg stelt dat ze veelal gebruikmaken van bestaande kwetsbaarheden om systemen binnen te dringen of plat te leggen.
Ook zijn collega, senior cyber threat intelligence analyst Sander van der Maden, beaamt dat de werkmethodiek van de Russen voor ‘tachtig tot negentig procent’ hetzelfde is als die van ‘reguliere’ cybercriminelen die op financieel gewin uit zijn. Takkenberg scrolt door het technisch rapport van de inlichtingendiensten en ziet dat Russische hackers data buitgemaakten door deze te exfiltreren naar een soort van Dropbox die gehost wordt op het internetdomein van Nieuw-Zeeland waar cybercriminelen grote datasets opslaan. Voor het beheer en de migratie van die data naar die cloud-omgeving wordt opensource-tool Rclone gebruikt. Volgens Takkenberg een typisch voorbeeld van digitale tools die cybercriminelen voor het afpersen van bedrijven ook inzetten. Ook methoden om wachtwoorden te kraken, zoals brute force-aanvallen waarbij rekenhulp wordt ingeschakeld, staan in de lijst. Anders dan criminelen die losgeld eisen voor buitgemaakte data ziet hij dat de staatshackers wel vaker de neiging hebben om systemen stuk te maken en data te wissen. Hun aanpak is in grote lijnen dus hetzelfde als die van webcriminelen, maar hun einddoel is anders, stelt hij.
Takkenberg en Van der Maden, wijzen erop dat Russische cybercriminelen nauwelijks gehinderd worden door juridisch restricties. De Russische overheid juicht digitale aanvallen op in hun ogen anti-Russische doelen juist toe. Ook is er sinds de oorlog in Oekraïne geen rechtshulprelatie meer met Rusland om Russische cybercriminelen te kunnen uitleveren. Daardoor hebben de hackers in zekere zin de vrije hand om hun aanvallen te plegen en westerse economieën en samenlevingen te schaden. De Northwave-collega’s vinden het verder opvallend dat een Russische militaire eenheid zich naast Oekraïne, waarmee het direct in oorlog is, ook richt op aanvallen op Navo-landen. Ook springt in het oog dat een eenheid die eerder fysieke aanslagen pleegde steeds meer digitale middelen inzet en jonge mensen naar voren schuift om onder leiding van ervaren mensen digitale sabotage te plegen.
Wat motiveert Russische staatshackers?
Daarvoor is een geschiedenisles nodig. Na het uiteenvallen van de Sovjet-Unie en het wegvallen van het grote machtsblok van Oost-Europese landen (Warschaupact) zijn steeds meer buurlanden van Rusland lid geworden van de Navo en toegetreden tot de EU. ‘Het Kremlin ziet die beweging als een ondermijning van Ruslands machtspositie’, duidt Van der Maden. ‘Sinds buurland Oekraïne ook meer naar EU-hoofdstad Brussel beweegt, zet Rusland alles op alles om dit te dwarsbomen. Al sinds de genoemde Maidan-revolutie in 2014 richt het land daarbij niet alleen zijn pijlen op Oekraïne, maar ook op de Navo en de EU. ‘We beginnen in Europa eindelijk te beseffen dat we al in een schemerzone tussen vrede en oorlog zitten.’
We zitten al in een schemerzone tussen vrede en oorlog
Qua militaire slagkracht is Rusland vele malen zwakker dan het Europees-Amerikaanse machtsblok, behalve op het gebied van kernkoppen waarvan Rusland er ongeveer evenveel heeft. Maar dat is in de praktijk vooral een afschrikmiddel. Het land voert zijn strijd met het Westen dan ook steeds meer op digitaal vlak. Ons land is een belangrijk doel omdat het openlijk (wapen)steun levert aan Oekraïne. Bovendien speelt de Rotterdamse haven daarbij een belangrijke rol. Wapentransporten gaan nu al voor een deel via Rotterdam. In het geval het Russisch-Oekraïense conflict zich uit zou breiden naar het grondgebied van de Europese Unie, doceert het duo.
Als er een grootschalige verscheping van militair materieel uit de VS en Groot-Brittannië komt, dan wordt de Rotterdamse haven nog belangrijker. Het vergroot de alertheid op sabotage op bijvoorbeeld internetkabels in onze kustwateren. Maar ook energiebedrijven moeten oppassen. Russen zijn uit op het ontwrichten van de economie en samenleving en zullen het niet laten om, als ze diep in de systemen kunnen doordringen, de stroom uit te schakelen in het geval van escalerende spanningen. ‘Het gaat hier om drie dingen: Nederland is een belangrijke logistieke hub voor goederen en energie, maar ook voor wapenleveranties aan Oekraïne. Nederland is een belangrijke internethub. En Nederland steunt Oekraïne openlijk’, sommen de Northwave-experts op.
Nepnieuws
Ook wijzen Takkenverg en Van der Maden op nepnieuws-campagnes. Anders dan cybercriminelen die uit zijn op geld, is voor staatsgestuurde hackers het ontwrichten van de maatschappij een belangrijk doel. ‘De Russen hebben in de communistische tijd een heel propaganda-apparaat opgebouwd om landgenoten te beïnvloeden. Ze gebruiken die methoden nu ook in het digitale tijdperk. Via internet en sociale media richten ze die campagnes steeds vaker op het buitenland en dan met name landen die in Russische ogen zich tegen hen keren, zo hebben ze potentieel een wereldwijd publiek’, stellen Takkenberg en zijn collega vast. Het gaat om beïnvloeding waarbij ze zelfs de Amerikaanse verkiezingen en politieke besluitvorming n Nederland en de EU proberen te beïnvloeden.
Russen zetten propaganda nu digitaal in
In hoeverre is die link tussen de Russische staat en hackers bewezen?
‘Er is voldoende bewijs, onder andere in aanklachten in de VS en het VK. Daarin staat dat groepen als Eenheid 29155 in dienst van de Russische overheid opereren. Ook is er bewijs dat Russische cybercriminelen, zoals ransomware-groepen), samenwerken met de Russische overheid’, stelt Van der Maden.
Takkenberg noemt als voorbeeld de hackersgroep Conti waar Northwave onderzoek naar heeft gedaan. Dat was een hackerscollectief dat zich na de inval van Rusland in Oekraïne volledig achter die oorlog schaarde via een openlijke steunbetuiging op hun website. Die melding op de site waar slachtoffers van ransomware hun gestolen data konden terugkopen, trok de aandacht van de internationale ethische hackersgemeenschap. Zij legden de versleutelde communicatie tussen de Conti-leden bloot. Al zijn er ook vermoedens dat het om een (pro-)Oekraïens lid van Conti ging. Die berichten geven een inkijkje in de werkwijzen en organisatie van de groep en hun banden met de Russische staat.
Zo spraken leden van deze cybercriminele organisatie af op het hoofdkantoor van de FSB in Sint-Petersburg. Ook zijn bij een recente gevangenenruil tussen de VS en Rusland een aantal Russische gevangenen vrijgekomen die bekend staan als grote cybercriminelen. ‘Blijkbaar hebben die mensen veel waarde voor Rusland. Ook zijn er steeds vaker samenwerking tussen dit soort groepen’, concludeert Takkenberg.
Informatie-oorlog
We hadden het eerder al over nepnieuws. Maar feitelijk woedt er online een informatie-oorlog. Dat gebeurt onder meer via zogenoemde trollenfarms waar teams constant nepnieuws verspreiden gericht op onder meer de VS, Duitsland en Nederland. ‘Ze pakken precies de pijnpunten van onderwerpen die spelen in de samenleving. Zoals migratie, inflatie, enzovoort. Het gaat echt over het verzwakken van samenlevingen door op grote schaal nepnieuws te verspreiden en de polarisatie in de maatschappij te voeden’, concludeert Takkenbergs collega. Via berichten op X halen dergelijke berichten ook regelmatig de reguliere media. Dat verspreiden van nepnieuws gebeurt ook steeds vaker via softwarematige producten die op grote schaal geautomatiseerd profielen maken en reacties versturen, ziet Northwave.
Adviezen
De inlichtingendiensten geven in hun rapport een aantal adviezen om de gevolgen van aanvallen te beperken.
* Organisaties wordt aangeraden om routine-updates uit te voeren waarbij prioriteit wordt gegeven aan periodieke systeemupdates en het oplossen van bekende kwetsbaarheden.
* Ook netwerksegmentatie, ofwel het opdelen van netwerken om de verspreiding van kwaadaardige activiteiten te voorkomen, wordt genoemd.
* Als derde wordt geadviseerd om phishing-bestendige multi-factorauthenticatie (mfa) in te voeren voor alle (externe) accounts. Dat geldt met name voor webmail, vpn en accounts die toegang hebben tot kritieke systemen.
* De inlichtingendiensten adviseren ook om gebruik te maken van de Mitre att&ck-matrix, een raamwerk dat inzicht biedt in de tactieken en technieken van cyberdreigingen.
* Voor Eenheid 29155 worden verschillende technieken benadrukt, waaronder datavernietiging (T1485) en verkenning van ip-bereiken (T1595.001). ‘Dit biedt organisaties handvatten om de activiteiten van deze groep te detecteren en te mitigeren’, adviseren de diensten in het rapport.rganisaties wordt aangeraden om routine-updates uit te voeren waarbij prioriteit wordt gegeven aan periodieke systeemupdates en het oplossen van bekende kwetsbaarheden.
Updaten, netwerksegmentatie en mfa
Takkenberg: ‘Veel beveiligingsmaatregelen die wij bedrijven adviseren tegen een hacker die drie straten verder op een zolderkamer zit, zijn grotendeels ook effectief tegen cybercriminele organisaties en dus ook tegen staten. Tenzij die staten kwetsbaarheden hebben gevonden die nog niemand kent, de zogenoemde zero-days. Ook als ze in staat zijn de menselijke factor te misbruiken, bijvoorbeeld door iemand op een linkje te laten klikken of iemands wachtwoord te pakken krijgen, verzwakt de beveiliging.’ Bedrijven hoeven in zijn ogen niet direct een andere aanpak te kiezen in de beveiliging tegen statelijke actoren, maar moeten zich er bewust van zijn dat die statelijke actoren dezelfde methodieken gebruiken als cybercriminelen. Hij nuanceert: ‘De maatregelen die werken tegen een hacker zijn een basis die ook werkt voor staten. Maar als je jezelf beter wilt beschermen tegen een staat zal je meer moeten doen. Wat dat precies is, is afhankelijk van de organisatie.’
Zijn collega voegt toe: ‘Mochten die statelijke actoren het netwerk binnenkomen, dan nog moeten ze binnen dat netwerk gaan bewegen om informatie te vinden en toegang te krijgen tot operationele technologie of beheerrechten. Die bewegingen bieden de kans voor monitoringsystemen om hen te detecteren.’ Takkenberg: ‘Daarmee gelden de genoemde beveiligingsmaatregelen zoals updaten, netwerksegmentatie, multi-factorauthenticatie en monitoring op verdachte activiteiten ook als beste verdediging tegen staatshackers.’