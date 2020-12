Het leek zo’n succesvol jaar voor de Amerikaanse cyberwaakhond Cybersecurity and Infrastructure Security Agency (CISA). Ruim een maand geleden liet de dienst een verklaring uitgaan over de presidentsverkiezingen. Die waren „op geen enkele manier” gecompromitteerd. Hoofd van de dienst Chris Krebs werd een paar dagen later ontslagen omdat de president niet blij was met die mededeling, maar hij werd als een held onthaald in de Amerikaanse media. Zijn dienst had er toch maar voor gezorgd dat buitenlandse machten geen vat hadden gekregen op het verkiezingssysteem, zoals dat in 2016 wel was gebeurd.

Deze week speelt CISA de hoofdrol in een veel pijnlijker dossier. Hackers blijken zichzelf in een geduldige operatie toegang te hebben verschaft tot essentiële Amerikaanse overheidsinstellingen als de ministeries van Defensie, Binnenlandse Veiligheid, Financiën en Energie, verantwoordelijk voor het beheer van de Amerikaanse kernwapens – een functie die volgens een woordvoerder niet in gevaar is gekomen. Zeker 18.000 bedrijven en overheidsinstellingen zijn slachtoffer geworden van de cyberaanval die vooral gericht lijkt op de VS: op een ‘hittekaart’ die softwaregigant Microsoft maakte is 80 procent van de schade zichtbaar in de VS.

CISA bracht donderdag dan ook een beslist minder triomfantelijke verklaring naar buiten. Deze aanval vormt „een ernstig gevaar voor de overheid” en voor instanties met zeggenschap over „essentiële infrastructuur” en voor bedrijven. De dader is „vakkundig, vrijwel onzichtbaar en bereid aanzienlijke middelen aan te wenden om zijn heimelijke operatie uit te blijven voeren”. De cybertak van geheime dienst NSA waarschuwde ook voor deze „serieuze dreiging”.

De ware omvang, de ware daders en de ware schade zijn nog niet duidelijk. Wat wel duidelijk is: de aanval werd niet ontdekt door de Amerikaanse overheidswaakhond, maar door oplettende werknemers van IT-bedrijf FireEye, dat zelf gehackt werd. In de meeste Amerikaanse media worden Russische groepen of regeringsinstanties aangewezen als de hackers. Eerder deze week wees The Washington Post naar de aan de Russische overheid gelieerde groep ‘Cozy Bear’, die bekend werd door aanvallen op Amerikaanse overheidsinstanties en de Democratische Partij voorafgaand aan de verkiezingen van 2016.

Maar FireEye en Microsoft weerspreken dat in The Wall Street Journal. Zij denken dat dit het werk is van een groep die ze nooit eerder hebben gezien. Topman Mandia van FireEye zegt dat, „na jaren van reageren op cyberinbraken, jaren van de methode proberen te begrijpen, deze aanval anders voelde”. Hij vergeleek het met „de kogel van een scherpschutter die een kogelvrij vest doorboort”.

Trump reageerde nog niet

De onthulling van de aanval is pijnlijk voor de Amerikaanse overheid. Tot nog toe heeft de regering niet of sussend gereageerd op het nieuws. President Trump heeft er niets over gezegd, hij twittert nog steeds elke dag zijn verdachtmakingen van de verkiezingsuitslag rond. Minister van Buitenlandse Zaken Pompeo noemde het een aanval zoals die dagelijks door Rusland wordt uitgevoerd op Amerikaanse instellingen en bedrijven. „China en Noord-Korea doen het nog erger”.

De berichtgeving laat juist zien dat het veel erger is dan gebruikelijk. De aanval is volgens experts in Amerikaanse media uitgevoerd met zorgwekkende precisie, subtiliteit en uithoudingsvermogen. Het wezen van de aanval is een normale spionagetruc: vermommen om te infiltreren. Maar het niveau en de schaal waarop dit hier gebeurde, zijn bijzonder. Door in te breken via het Amerikaanse softwarebedrijf SolarWinds, toeleveringsbedrijf voor al die aangevallen instanties, door te werken met Amerikaanse IP-adressen, door oude domeinnamen op te kopen en om te bouwen voor deze aanval en door, eenmaal binnen, zichzelf beveiligingssleutels toe te kennen voor verdere infiltratie, konden de hackers heel lang onzichtbaar blijven.

De hackgroep ontplooide al vier jaar geleden voorbereidende activiteiten, zei topman Steven Adair van IT-veiligheidsbedrijf Volexity in The Wall Street Journal. Door de langdurige en diepe infiltratie, schrijft CISA, „zal het verwijderen van deze aanvallers uit de gecompromitteerde omgeving zeer complex en lastig zijn”. CISA zegt bovendien bewijs te hebben dat ook andere toeleveringsbedrijven dan SolarWinds zijn gebruikt om in te breken. Dat betekent dat de schade nog niet te overzien is.