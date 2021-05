Gesloten benzinepompen. Lange rijen voor tankstations die nog wél open zijn. Verstokte automobilisten die noodgedwongen op de mountainbike naar hun werk gaan. En paniek in de Facebook-groep van een vriendengroep in Asheville, een middelgrote stad van 100.000 inwoners in de bergen van de Amerikaanse staat North Carolina. ‘Go get your gas!’ ‘Zorg dat je snel benzine haalt’, aldus een van de vrienden. In de hele stad was dinsdag geen benzine meer te krijgen.

De cyberaanval met ‘gijzelsoftware’ op Colonial Pipeline, het grootste olievervoerbedrijf in de VS dat bijna de helft van het brandstoftransport in het oosten van het land verzorgt, begint het leven van de Amerikaanse burger te raken.

Vrijdag maakte Colonial Pipeline bekend dat hackers hebben ingebroken in zijn computersystemen. Zij zouden netwerken en bedrijfsgegevens gijzelen en losgeld eisen om Colonial weer toegang te geven tot zijn informatietechnologie. Uit voorzorg legde het getroffen bedrijf zijn gehele pijplijnsysteem stil. Zo stopte het vervoer van brandstoffen van Texas naar het noordoosten van de VS.

Vijf vragen over een van de grootste aanvallen van gijzelsoftware op kritische infrastructuur in de VS tot nu toe.

1 Wat merkt Amerika?

Colonial Pipeline exploiteert een leidingennetwerk van 8.850 kilometer om benzine, diesel, kerosine en andere raffinageproducten te vervoeren. Zo transporteert het bedrijf 15 procent van het brandstofgebruik in de hele VS. Volgens deskundigen zouden dagelijks 13.000 tankwagens nodig zijn om het olietransport van de geblokkeerde pijpleiding over te nemen.

Persbureau Reuters meldde dinsdag dat de prijs van benzine en diesel aan de pomp op het hoogste niveau in drie jaar ligt. In sommige regio’s zouden automobilisten al volop aan het hamsteren zijn. De American Automobile Association, de Amerikaanse ANWB, vraagt automobilisten met klem dat niet te doen.

Colonial Pipeline levert ook rechtstreeks kerosine aan zeven luchthavens in het zuidoosten van de VS. Daar merken ze inmiddels de problemen met de pijpleiding. American Airlines, een van de grootste luchtvaartmaatschappijen van de VS, besloot zijn vluchten vanaf Charlotte, North Carolina, naar Honolulu en Boston een extra stop te laten maken op luchthavens onderweg om meer brandstof te tanken.

Het gehackte bedrijf stelde maandag dat het „aan het einde van de week” de meeste systemen weer operationeel denkt te hebben.

2 Wie zijn de daders?

Maandag noemde persbureau Reuters al het hackerscollectief DarkSide. En dinsdag bevestigde de FBI dat vermoeden. Volgens de inlichtingendienst gaat het om Russisch sprekende hackers. De kwaadaardige software die de groep gebruikt, zou zo zijn geprogrammeerd dat het geen aanvallen uitvoert op computers met een cyrillisch toetsenbord. De Amerikaanse president Joe Biden zei maandag dat de opsporingsdiensten tot dusver nog geen bewijs hadden gevonden dat de Russische staat betrokken was bij de cyberaanval. De Russische ambassade in de VS verwierp dinsdag elke verantwoordelijkheid.

DarkSide, dat voor het eerst van zich liet horen in augustus vorig jaar, stelde eerder dat de groep als doel heeft om geld te verdienen. „En niet om problemen te veroorzaken in de samenleving.” Beveiligingsexperts zeggen dat de groep te werk gaat als een professionele criminele organisatie. Het collectief zou echter geen gebruikmaken van heel geavanceerde technologie.

Als de groep haar zin niet krijgt, kan ze de gestolen databases ook doorverkopen aan andere cybercriminelen, aldus het Franse persbureau AFP. Ook zou de groep dreigen de gestolen gegevens te publiceren. Volgens Franse beveiligingsexperts vraagt een groep als DarkSide losgeld tussen 200.000 en 2 miljoen dollar (1,6 miljoen euro).

DarkSide voert lang niet altijd zelf de cyberaanvallen uit. Veel digitale criminelen werken sinds twee tot drie jaar via een gedistribueerd model: ze kopen vaak diensten in van diverse ‘leveranciers’.

De hackers doen zich af en toe ook voor als digitale Robin Hoods: ze stelen van rijke bedrijven en doneren aan de armen. De BBC meldde in oktober dat de groep 10.000 dollar in bitcoins had gedoneerd aan hulporganisatie Children International. De ngo weigerde volgens de BBC vervolgens het „gestolen geld”.

3 Hoe hebben ze de aanval kunnen uitvoeren?

Hoe de hackers zijn binnengedrongen bij Colonial Pipeline is nog niet bekend. Deskundigen houden er rekening mee dat het oliebedrijf is aangevallen via onbeveiligde toegang op afstand.

„De pandemie en de mobiliteitsbeperkingen van het afgelopen jaar waren voor veel organisaties een reden om toegang op afstand, vanuit huis, mogelijk te maken”, aldus Stefan van der Wal van de Nederlandse tak van het Amerikaanse computerbeveiligingsbedrijf Barracuda. „Maar zoals we hebben gezien bij andere beveiligingsincidenten op operationele technologie, zijn veel van de hiervoor gebruikte systemen niet goed beveiligd.”

Hij benadrukt het belang van encryptie (versleuteling van gegevens), meervoudige autorisatie (niet slechts één gebruikersnaam en wachtwoord) en de mogelijkheid dat werknemers op afstand niet in het gehele systeem kunnen inloggen, maar alleen op het deel van het bedrijfsnetwerk waar ze echt iets te zoeken hebben.

Verder blijft e-mail een zwakke schakel in een bedrijfsnetwerk. Via ‘social engineering’, het slim verleiden van werknemers, klikt iemand snel op een link die de pc (en de rest van het netwerk) kan besmetten. Denk aan mails met een link om deel te nemen aan een videovergadering, om samen te werken aan een gedeeld document of een track-en-trace-bericht van een bestelling.

4 Moet je daders betalen?

Aanvallen met gijzelsoftware zijn een groeiend probleem voor bedrijven, overheden en andere organisaties. Niet alleen in de VS, maar ook in Nederland en de rest van de westerse wereld. Het betalen van losgeld om weer toegang te krijgen tot netwerken en bedrijfsgevoelige informatie wordt ontraden door opsporingsdiensten. De FBI benadrukte deze week nog dat je daarmee andere daders alleen maar aanmoedigt.

Ook de Nederlandse digitale politie, het Nationaal Cyber Security Centrum (NCSS), zegt dat je beter niet kan betalen. Slachtoffers die wel hebben betaald, blijken nog steeds veel moeite te hebben om alle toegang en informatie te herstellen. Bovendien weet je nooit of de daders een achterdeurtje hebben open gelaten om later nogmaals in te breken.

Een woordvoerder van het Witte Huis wilde maandag niet zeggen of Colonial Pipeline inmiddels losgeld heeft betaald. Ook het bedrijf zelf doet geen mededelingen over betalingen. Sommige deskundigen zien dat als bewijs dat wordt gesproken met de gijzelnemers.

5 Wat doet Amerikaanse regering?

Het Witte Huis werkt aan een plan om de Amerikaanse cyberdefensie te versterken. Dat komt vooral neer op meer samenwerking tussen bedrijven en overheden en meer internationale samenwerking. „We moeten dringend investeren in de beveiliging van onze kritische infrastructuur”, zei de Amerikaanse president Biden maandag. Het incident toont volgens een woordvoerder van het Witte Huis opnieuw aan hoe kwetsbaar de VS in dit opzicht zijn. In de afgelopen maanden zijn (hogere en lagere) overheden in de VS al veel meer slachtoffer geweest van cybercriminelen. De incidenten lopen inmiddels in de tientallen. De Amerikaanse toezichthouder voor energie riep maandag op strengere beveiligingsstandaarden te verlangen van exploitanten van oliepijpleidingen.