Hackers: saboteurs die hard toeslaan en zelden sporen achterlaten

Cyberoorlog Oekraïne werd eind vorige week te midden van oplopende militaire spanningen met Rusland getroffen door hackers. Het past in een hybride conflict. Vijf vragen over cyberoorlog.
Russische legervoertuigen op de Krim, dinsdag. Het door Rusland geannexeerde schiereiland is één van de regio’s waar Russische militairen zich hebben verzameld.
Russische legervoertuigen op de Krim, dinsdag. Het door Rusland geannexeerde schiereiland is één van de regio’s waar Russische militairen zich hebben verzameld. Foto AP

Een mogelijke Russische inval in Oekraïne zal worden voorafgegaan door cyberaanvallen, waarschuwden deskundigen en politici de afgelopen weken. Het land kreeg daar al vaker mee te maken, bijvoorbeeld toen in 2015 het elektriciteitsnetwerk door hackers werd aangevallen. Vrijdag werden overheidswebsites in Oekraïne getroffen door wederom hackers.

1 Wat is er tot nu toe gebeurd?

De websites van verschillende Oekraïense overheden waren vorige week na een cyberaanval door onbekenden enige tijd uit de lucht. Daarvoor was op ten minste een van die sites een onheilspellende boodschap te lezen: „Oekraïeners, wees bang en bereid je voor op het ergste”, viel er in het Oekraïens, Russisch en Pools te lezen. Het Oekraïense ministerie van Digitale Transformatie zegt bewijs te hebben dat Rusland achter de hack zit. Dat zou met dit soort vandalisme „de Oekraïense samenleving willen intimideren, de overheid willen destabiliseren, en wantrouwen willen zaaien”, stelt het ministerie in een persverklaring.

Na de hack verscheen op Oekraïense overheidswebsites een onheilspellende boodschap in het Oekraïens, Russisch en Pools.

Zorgwekkender misschien was het bericht dit weekend dat beveiligingsexperts van Microsoft kwaadaardige software hebben ontdekt op tientallen computersystemen van overheden, non-profits en IT-organisaties in Oekraïne. De software doet zich – na activatie – voor als ‘gewone’ ransomware: gijzelsoftware die bestanden versleutelt en losgeld eist om dat weer ongedaan te maken. Maar volgens Microsoft worden de getroffen systemen in werkelijkheid onherstelbaar verwoest.

Microsoft zegt niet wie voor de software verantwoordelijk is, maar verwijst in een blog naar de „geopolitieke gebeurtenissen” rond Oekraïne.

2 Zijn er eerdere voorbeelden?

De nu door Microsoft ontdekte malware heeft in ieder geval een eigenschap gemeen met de beruchte NotPetya-aanval die Oekraïne in 2017 trof. Via een malafide update van een in Oekraïne veelgebruikt programma voor onder meer belastingaangifte werd toen een ‘worm’ verspreid die eveneens ogenschijnlijk bedoeld was om slachtoffers af te persen, maar die uiteindelijk maximale schade aanrichtte aan getroffen computersystemen. NotPetya veroorzaakte ook veel ellende buiten Oekraïne. In de Rotterdamse haven lagen bijvoorbeeld twee containerterminals dagenlang stil. Ook in december 2015 werd Oekraïne al eens slachtoffer van een cyberaanval. Toen werden distributiestations van het elektriciteitsnetwerk door hackers aangevallen, en zaten 230.000 Oekraïeners urenlang zonder stroom. En in 2007 al werden overheidswebsites en -diensten in Estland aangevallen door „activistische hackers” na de omstreden verplaatsing van een oorlogsmonument uit de Sovjettijd in de hoofdstad Tallinn.

Cyberaanvallen beperken zich niet tot de voormalige Sovjet-Unie. Berucht is de sabotage van Iraanse nucleaire installaties met behulp van de computerworm Stuxnet in 2010, die vrijwel zeker het werk was van Amerikaanse en Israëlische diensten. Iran wijst ook naar die landen in verband met de cyberaanval die vorig jaar een groot deel van de benzinepompen in Iran platlegde.

3 Hoe kom je te weten wie de cyberaanval heeft uitgevoerd?

Anders dan bij een traditionele, ‘kinetische’ oorlog, is het bij cyberaanvallen vaak lastig om met zekerheid vast te kunnen stellen wie de daders zijn. Hackers zijn er meestal goed in om hun herkomst te verbergen of dwaalsporen uit zetten. Met digitaal forensisch onderzoek lukt het soms om verbanden te leggen, bijvoorbeeld door overeenkomsten in de werkwijze of programmacode van verschillende soorten malware, maar dat kost tijd en biedt niet altijd uitsluitsel.

Bovendien zijn hackers – zelfs als ze zijn geïdentificeerd – lang niet altijd rechtstreeks in verband te brengen met een staat. „Je hebt Russische hackersgroepen die zijn gelieerd aan de strijdkrachten of de inlichtingendiensten, en je hebt andere hackersgroepen, die vaak als proxy’s gebruikt worden door die overheidsorganisaties, waardoor de link naar de staat vertroebeld wordt, waardoor het minder makkelijk is om de vinger te wijzen naar de Russische staat”, zegt Paul Ducheine, bijzonder hoogleraar recht van militaire cyberoperaties aan de Universiteit van Amsterdam. „Staten gebruiken die vaagheid om onder die drempel van een gewapend conflict te blijven.”

4 Is cyberoorlog ook oorlog?

„Als men digitaal binnendringt in de systemen van de Oekraïense krijgsmacht en daar omvangrijke vernielingen weet aan te brengen, dan zou je kunnen zeggen: dit is een digitale vliegtuigbom die bij ons is binnen geworpen”, zegt Ducheine. „Een fysieke vliegtuigbom afwerpen boven Oekraïne door Russische strijdkrachten, wordt gezien als oorlogsdaad, dus als dat een digitale bom zou zijn: idem dito. Alleen is het moeilijker te bewijzen dat dat een Russische digitale bom zou zijn geweest.”

In 2015 stelde een werkgroep van de Verenigde Naties vast dat het volkenrecht ook in cyberspace van kracht is – al wordt over de concrete gevolgen daarvan nog onderhandeld. En in juni herhaalden de NAVO-landen tijdens een top in Brussel dat ook bij een digitale aanval artikel 5 van het NAVO-verdrag van toepassing kan zijn – het artikel dat een gewapende aanval op een van de leden beschouwt als een aanval op het hele bondgenootschap.

Lees ook ‘Het Russische leger zal niet als een brede rode pijl over Oekraïne trekken’

Toch zal een louter digitale aanval niet snel als een oorlogsdaad worden aangemerkt, denkt Ducheine, alleen al omdat vaak moeilijk met zekerheid is vast te stellen wie erachter zit. Rusland zal die ruimte willen gebruiken, denkt Ducheine. Zolang er geen sprake is van ‘echte’ oorlog, is het slachtoffer immers beperkt in zijn reactiemogelijkheden. „Dan zijn tegenmaatregelen in het recht maar tot op zekere hoogte toegestaan. En ook in de publieke opinie is dat natuurlijk een totaal andere situatie. Als je een staat aanvalt zonder juridische grondslag, dan ben jij de agressor.”

5 Is Oekraïne voldoende op cyberaanvallen voorbereid?

Dit weekend verscheen op de Oekraïense nieuwssite Fokus een kritisch artikel over de cyberveiligheid van het land. De hack op de overheidswebsites was volgens deskundigen die Fokus sprak mogelijk door een lek dat al maanden bekend was, en eenvoudig te repareren. Wel hebben de Verenigde Staten en het Verenigd Koninkrijk deskundigen naar Kiev gestuurd om het land te helpen zich beter voor te bereiden op cyberaanvallen.

Toch is het de vraag of het land voldoende weerstand kan bieden. Het elektriciteitsnetwerk, geliefd doelwit van eerdere cyberaanvallen, is bijvoorbeeld sterk verouderd: het dateert nog grotendeels uit de tijd van de Sovjet-Unie, met onderdelen van Russische makelij. Russische hackers weten er dan ook prima de weg, wat ze in 2015 pesterig duidelijk maakten door – terwijl medewerkers van het elektriciteitsbedrijf hulpeloos toekeken – de stroom wijk voor wijk uit te schakelen, om te eindigen met de noodstroom in de controlekamer.

Bovendien speelt het verrassingselement bij uitstek in digitale oorlogsvoering een belangrijke rol, schrijft onderzoeker Jason Healy op defensieblog War on the Rocks. „Cyberoperaties berusten op misleiding, dus ze overvallen je altijd.”