Cyberaanvallen treffen Oekraïne sinds conflict met Rusland

Vier weken geleden vielen zwaarbewapende commando’s binnen bij het hoofdkantoor van de Oekraïense internetprovider Wnet in Kiev. Medewerkers keken verbouwereerd toe hoe gemaskerde mannen in camouflagepakken bureaulades open trokken, archiefkasten leeghaalden en computers loskoppelden.

Nog dezelfde dag bracht de Oekraïense geheime dienst SBOe een persbericht naar buiten. Wnet, zo stelde het bericht, werkte samen met de Russische geheime dienst FSB. Via slinkse weg leidde de provider zijn internetverkeer om naar een fake-bedrijf, waar Russische afluisterapparatuur stond opgesteld. De Oekraïense overheid kon wel proberen de Russen van hun internet te houden, via Wnet keek Moskou gewoon mee.

Lees ook: Oekraïne verdenkt Rusland, maar virus trof ook Russische bedrijven als Rosneft

Dergelijke invallen van de SBOe zijn niet ongewoon. Maar de uitbraak van het computervirus Petya, afgelopen week, zet het onderzoek van de Oekraïense geheime dienst naar Wnet ineens in een ander licht. Wat blijkt? Wnet is óók de provider van het bedrijf achter het Oekraïense boekhoudprogramma M.E.Doc, dat het doelwit was van de omvangrijke cyberaanval die deze week wereldwijd slachtoffers maakte en een deel van de Rotterdamse haven platlegde.

M.E.Doc is niet zomaar software. Het wordt door vrijwel alle Oekraïense bedrijven gebruikt om elektronische documenten te maken. Voor zaken met de belastingdienst en andere overheidsinstellingen is M.E.Doc een must. Ook buitenlandse bedrijven die zakendoen met Oekraïne raakten zo besmet: de Deense reder Maersk bijvoorbeeld, en pakketbezorger TNT.

Afgelopen dinsdag begonnen computers in heel Oekraïne aan een automatische update van M.E.Doc. Alleen haalden computers ditmaal niet de officiële software binnen, maar een fake-update die door hackers was klaargezet op de servers van Wnet. Nadat de kwaadaardige software computers was binnengedrongen, begon het zich snel te verspreiden.

Cyberspionage

Een cyberaanval via een boekhoudprogramma – het klinkt niet direct als de plot van een Bond-film. Maar het is niet voor het eerst dat dit soort software problemen veroorzaakt. Afgelopen mei besloot de Oekraïense regering het Russische boekhoudprogramma 1C te verbieden. Volgens Oleksandr Toertsjinov van de Oekraïense Veiligheidsraad, zou Rusland via 1C „cyberspionage” en „grootschalige cyberaanvallen” uitvoeren.

Wie of wat er achter het virus Petya zit, is onduidelijk. In eerste instantie leek het virus op ‘ransomware’, gijzelsoftware die computers blokkeert en pas vrijgeeft tegen betaling. Net als bij het virus Wannacry, dat enkele weken geleden wereldwijd chaos veroorzaakte, kregen ook Petya-slachtoffers deze week een melding over losgeld. Maar het betaalsysteem van Petya bleek opvallend slordig in elkaar gezet en hield al snel op te functioneren. Internationale experts, waaronder die van Kaspersky Lab, concludeerden dat geld niet het hoofddoel was, maar dat Petya bedoeld is om zoveel mogelijk schade aan te richten. Een ‘wiper’ in vakjargon.

Lees ook: Dit lijkt geen gewone gijzelsoftware

Het Slowaakse beveiliginsgbedrijf Eset kwam vrijdag met nieuwe aanwijzingen dat Petya deel uitmaakt van een gecoördineerde aanval op de Oekraïense infrastructuur. Eset ziet overeenkomsten met een hackgroep die ‘Telebots’ is gedoopt en ook doet of ze losgeld wil. Dat is schijn, schrijft Eset. „De Telebots-groep blijft zich ontwikkelen met het doel om destabiliserende aanvallen uit te voeren op Oekraïne.”

Koude douche

Is Petya het werk van cybercriminelen of van een vijandige natiestaat? Rusland misschien? De Oekraïense regering twijfelt er niet aan.

Sinds in 2014 het conflict met Rusland uitbrak, ligt Oekraïne permanent onder cybervuur uit Russische hoek. De eerste echt grote aanval vond plaats in mei 2014, ten tijde van de presidentsverkiezingen. „Dat was als een koude douche, het was de eerste slag in de cyberoorlog”, vertelde Viktor Zjora, directeur van het Oekraiense IT-bedrijf Infosafe in 2015 tegen de Russische zakenkrant Vedomosti. Immers, als het kiessysteem de resultaten niet kon publiceren, zou de legitimiteit van de verkiezingen in twijfel kunnen worden getrokken. Zover kwam het niet, cyberspecialisten wisten de aanval op tijd te stoppen.

Volgens de Oekraiense cyberexpert Sergej Radkevitsj hebben Oekraiense overheidsinstanties sinds het begin van het conflict met Rusland al duizenden aanvallen te verduren gehad.

Zo kwamen in 2015 250.000 Oekraïeners zonder stroom te zitten door een aanval op een regionaal verdeelstation. In 2016 zorgde een vergelijkbare aanval ervoor dat eenvijfde van de hoofdstad zonder stroom zat. Beide aanvallen werden door de Oekraïense veiligheidsdiensten op conto van Rusland geschreven. „De aanvallen in 2016 en 2015 verschilden niet erg, alleen waren die in 2016 veel complexer en beter georganiseerd”, aldus de Oekraïense cyberexpert Oleksi Jasinski in januari tegen de BBC.

Deskundigen nemen de dreiging zeer serieus. Sommigen menen zelfs dat Oekraïne als testgebied fungeert voor Russische hackers, die er hun messen slijpen voor aanvallen wereldwijd. „Oekraïne is geraakt door slechte actoren die het gebruiken als testgebied voor cyberwapens”, aldus Greg Martin van cyberfirma JASK. Kenneth Geers, NAVO-ambassadeur voor cyberveiligheid ziet hetzelfde. „De handschoenen zijn uit. Dit is de plek waar je het slechtste kunt uithalen zonder repercussies of vervolging. Oekraïne is geen Frankrijk of Duitsland. Veel Amerikanen kunnen het niet eens op een kaart vinden, dus dat is waar je kunt oefenen”, aldus Geers in juni tegen techsite Wired

Terug naar Kiev waar de helpdesk van de boekhouders van M.E.Doc een vrolijk muziekje laat horen. Ook na ruim een kwartier wachten, neemt niemand op. Terugbellen levert niets op, de chatfunctie reageert niet. Wel staat er een melding op de website: ‘Automatische updates geblokkeerd.’