Hacken zoals de Russen het doen in vier stappen

Militaire inlichtingendienst De Amerikaanse Justitie dagvaardt zes medewerkers van de Russische militaire inlichtingendienst GROe. Hoe werken deze hackers?

Een poster van de zes Russische hackers wordt getoond terwijl John Demers van de Nationale Veiligheidsdivisie het podium betreedt, 19 oktober 2020.
Een poster van de zes Russische hackers wordt getoond terwijl John Demers van de Nationale Veiligheidsdivisie het podium betreedt, 19 oktober 2020. Foto Andrew Harnik / POOL / AFP

Verwarring zaaien tijdens verkiezingen, malware-aanvallen op vijandelijke overheden, hacks bij sportevenementen en bij organisaties die Rusland de voet dwars zetten. De afgelopen jaren hebben Russische hackers in overheidsdienst overal ter wereld digitale chaos veroorzaakt en daarbij grote politieke, economische en psychologische schade aangericht.

Maandag publiceerde de Amerikaanse Justitie een dagvaarding tegen zes medewerkers van de Russische militaire inlichtingendienst GROe. Het betreft leden van de beruchte eenheden Fancy Bear (ook wel APT28) en afdeling 75544, beter bekend als het Sandworm Team. Zij bedienen zich van geavanceerde digitale hackmethodes, zoals phising, DDOS-aanvallen, zerodays (kwetsbare plekken in software) en van kwaadaardige malware. Onder deskundigen staan ze bekend als de gevaarlijksten ter wereld.

De zes worden verdacht van samenzwering en ernstige computer-, email- en identiteitsfraude in zeven landen, waaronder Nederland. In Den Haag deden vermeende Fancy Bear-agenten in 2018 een mislukte hackpoging bij de Organisatie voor het Verbod op Chemische Wapens (OPCW), die onderzoek deed naar de inzet van gifgas in Syrië en het gebruik van het zenuwgas novitsjok. Hun doel: ontwrichten, manipuleren, ondermijnen en straffen: vaste ingrediënten van de hybride oorlogvoering waar Rusland zich sinds de annexatie van de Krim in heeft gespecialiseerd.

Lees ook: De waaghalzerij van de Russische inlichtingendienst GROe

Al in 2014 publiceerde de Amerikaanse inlichtingenfirma Booz Allen Hamilton een analyse van 200 cyberincidenten die worden toegeschreven aan de GROe. En aangezien de GROe door het leger wordt geleid, volgen alle operaties een strak patroon. Hoe ziet dat stappenplan eruit?

1 Doelwit bepalen

Leidraad bij het bepalen van het doelwit is de militaire doctrine van de Russische Federatie. Dit document uit 2014 bevat een scala aan militaire risico’s en dreigingen, variërend van NAVO-expansie tot het steunen van anti-Russische regimes, en campagnes die de „historische, spirituele en patriottische tradities ter verdediging van het Moederland” ondermijnen. „Bedrijven of overheden die hun agenda’s zien botsen met die van de Russische overheid op een manier die door het Kremlin kan worden geïnterpreteerd als een van de 23 risico’s zoals beschreven in de militaire doctrine, moeten rekening houden met een aanval van een van Rusland’s beroemde hackgroepen”, aldus Booz Allen in het rapport. In 2015 werd het afvallige Oekraïne slachtoffer van het beruchte NotPetya-virus, geavanceerde ransomware die ook in Nederland grote schade aanrichtte. Ook het NAVO-lidmaatschap van Montenegro, leidde tot hackaanvallen en zelfs tot een mislukte staatsgreep door GROe-agenten. Eerder dit jaar beschuldigde het pro-westerse Georgië de GROe van verschillende cyberaanvallen.

2 Ontwikkelen en uitvoeren

De aangeklaagde GROe-medewerkers zijn geen alledaagse spionnen, maar twintigers en dertigers met een militaire training en een schat aan digitale kennis. De 29-jarige Anatoli Kovaljov, die eerder in verband werd gebracht met de hack van de Amerikaanse verkiezingen, wordt ervan beschuldigd aan de hack van de Franse verkiezingen in 2018 te hebben meegewerkt. Daarbij werden via phishingtechnieken, net als in 2016 gebeurde bij de Amerikaanse Democratische Partij, e-mails van Macrons progressieve partij En Marche! gestolen, in de race met de pro-Russische Marine Le Pen. GROe-hackers werden ingezet voor het ontregelen van de Olympische Spelen van 2018 in PyeongChang, waarvan Russische spelers wegens doping waren uitgesloten.

Lees ook: Zo gijzel je een netwerk, in twaalf stappen

3 Oogsten en verspreiden

Een van de belangrijkste doelen van cyberoperaties is het buitmaken en uitspelen van schadelijke informatie. Dat laatste gebeurt niet zelden via derde partijen die een eigen voordeel hebben bij het verspreiden ervan. Zoals de Republikeinse partij in 2016 gretig de e-mails van Clinton verspreidde, speelde het pro-Russische platform Wikileaks een rol bij het verspreiden van Macrons berichten. Daarna is het een kleine stap om feitelijke informatie te vermengen met nepnieuws en zo nog meer twijfel te zaaien. Nepberichten dat Macron geheime bankrekeningen bezat op de Bahama’s werden door zijn tegenstanders verspreid.

4 Ontkennen

Is de operatie eenmaal uitgevoerd, dan begint het grote ontkennen, waar Rusland een ster in is geworden. De GROe treedt nauwelijks in de openbaarheid, dus die taak ligt bij het Kremlin. Toch gaat het niet altijd goed. Zo liep de hackpoging bij de OPCW uit op een fiasco.

Het is dan ook zeer onwaarschijnlijk dat de zes spionnen ooit zullen voorkomen. De dagvaarding, kort voor de Amerikaanse verkiezingen, lijkt bedoeld om het signaal te geven dat de VS de Russische digitale sabotageacties niet door de vingers zien.