‘We zitten in een nieuwe fase,’ zegt Rickey Gevers. nadat Follow the Money hem vroeg wat zich de afgelopen dagen allemaal in het digitale domein van Oekraïne heeft afgespeeld.

De cybersecurity-specialist legt uit hoe de digitale aanvallen op het land in een week tijd dramatisch zijn opgeschaald: ‘Er vonden afgelopen week al DDoS-aanvallen plaats op banken en overheidswebsites. Daarmee werd onder meer de financiële infrastructuur in het land onbereikbaar gemaakt. Dat gebeurde in combinatie met sms'jes die de aanvallers naar grote groepen mensen stuurden. Je kunt je voorstellen wat voor paniek dat veroorzaakte. Volgens de Amerikanen en de Britten zat de Russische militaire inlichtingendienst GROe daar achter.’

Sinds afgelopen woensdag zijn de digitale aanvallen geëscaleerd, zegt Gevers. Bij verschillende bedrijven in Oekraïne zijn aanvallen geconstateerd met zogeheten wiperware. Dat is kwaadaardige software die alles kapot maakt (of uitwist) wat hij tegenkomt: ‘Je doet hiermee echt een aanval op een netwerk met als enige doel om dat te vernietigen.’ 

Het gebruik van deze malware gaat ver, zegt Gevers: ‘DDoS-aanvallen zorgen dat je niet meer bereikbaar bent. Dat is vervelend voor jou en voor je klanten, maar als zo’n aanval over is, kun je gewoon weer verder. Wiperware maakt je hele netwerk kapot, en dat  kan niet meer worden hersteld. Vergelijk het met een digitale bom die op een fabriek wordt gegooid’.

HermeticWiper

De wiperware, die HermeticWiper is gedoopt, werd ontdekt door twee internationaal opererende anti-virusbedrijven, het Slowaakse ESET en het Amerikaanse Symantec. Zij troffen de malware aan op honderden computers in Oekraïne, maar ook in Letland en Litouwen.

Volgens Symantec wordt de malware gebruikt om een breed spectrum aan instellingen en diensten aan te vallen: van defensie, luchtvaart en IT tot aan financiële instanties. Namen van bedrijven en instellingen worden omwille van de vertrouwelijkheid niet genoemd.

Woensdag publiceerden ESET en Symantec nagenoeg tegelijkertijd hun bevindingen. Het meest opvallend was, buiten de destructieve kracht van de software, dat die al maanden aanwezig was in de netwerken van de getroffen instellingen, maar uitgerekend de middag voor Poetins aankondiging van de invasie werd geactiveerd.

‘Deze hackers hebben de zaak goed voorbereid. Daar komt coördinatie en timing bij kijken’

Dave Maasland, directeur van de Nederlandse tak van ESET, zegt tegen Follow the Money: ‘Ons onderzoek laat zien dat de aanvallers hebben ingebroken en vervolgens hebben gewacht, kennelijk om op een specifiek moment de digitale omgeving van een organisatie te vernietigen. Ze hebben de tijd genomen. Daar komt coördinatie en timing bij kijken.’

De malware werd volgens Maasland vooral aangetroffen bij organisaties die zaken doen met financiële instellingen en overheden in Oekraïne: ‘Het gaat vooral om de laag rondom de vitale infrastructuur van het land: denk aan de toeleveranciers van banken en overheden. Dat waren echt doelwitten. Dit hebben we niet eerder gezien. Als dit de vitale infrastructuur raakt, zijn de gevolgen niet te overzien.’

De impact van de malware is volgens Gevers groot: ‘Het vernielt je master boot record, zeg maar het centrale logboeksysteem van een computer, waardoor het onmogelijk wordt je systeem nog op te starten. Zo’n wiper is echt de nachtmerrie in het cyberlandschap. Het zet je systeem niet op slot, zoals bij ransomware gebeurt, maar sloopt het volledig. Je kunt ook niet zomaar een back-up terugzetten, je zult alles opnieuw moeten installeren. Voor sommige organisaties is het dan game over.’

‘Geen financieel motief’

Bij cyberaanvallen is het vaak moeilijk vast te stellen wie verantwoordelijk is. ‘Bij ransomware worden bestanden door een aanvaller versleuteld totdat je losgeld betaalt. Maar hier is geen financiële motivatie. Er moet iets kapot. Dan heb je het al snel over een ideologische of politieke motivatie.’ Hoewel alle signalen in dit geval naar Rusland wijzen, is Maasland voorzichtig: ‘Zonder bewijs kun je daar niet vanuit gaan. Je kunt bijvoorbeeld niet uitsluiten dat een derde de aanvallen heeft geïnitieerd om olie op het vuur te gooien in de verhoudingen tussen Rusland en Oekraïne.’

Rusland heeft niet op de huidige serie cyberaanvallen gereageerd, maar begin deze week, op 19 februari, ontkende het in alle toonaarden iets te maken te hebben met de DDoS-aanvallen waar Oekraïne toen mee kampte.

Maar de timing van de wiper-aanvallen, luttele uren voordat president Poetin de invasie van buurland Oekraïne aankondigde, maakt Rusland tot hoofdverdachte. Bovendien past deze aanval naadloos in de manier waarop Rusland zich de laatste jaren in het digitale domein heeft gemanifesteerd – vooral ten aanzien van Oekraïne

Eind 2015 werden energiecentrales in het land gehackt. Het gevolg was dat honderdduizenden mensen in het westen van Oekraïne middenin de winter zonder stroom kwamen te zitten. In 2016 was het weer raak. Beide aanvallen woerden door de Oekraïense overheid en westerse media aan Rusland toegeschreven. 

Een jaar later volgde de beruchte NotPetya-aanval. Ook dat was een wiper, ontworpen om de kwetsbaarheden in een specifiek Oekraïens boekhoudprogramma aan te vallen. Dat programma was niet alleen kwetsbaar, maar ook populair; zodoende bood het de aanvallers gelegenheid om snel bij een groot aantal ondernemingen en overheidsinstanties binnen te dringen.

Russische hackers waren binnengedrongen in computernetwerken van het Oekraïense leger, de energievoorzieningen en andere kritieke netwerken

En hoewel NotPetya primair op Oekraïne gericht was, maakte het pijlsnel de sprong naar Europa en de rest van de wereld. Het Rotterdamse havenbedrijf APM Terminals was een van de vele slachtoffers van de malware, die wereldwijd miljarden aan schade veroorzaakte. NotPetya is sindsdien door verschillende westerse veiligheidsdiensten toegeschreven aan de Russische geheime dienst.

In januari 2022 werd eveneens een wiper aangetroffen in de netwerken van twee overheidsinstanties in Oekraïne (WhisperGate), die verschillende werkstations en servers ‘leeg veegde’. Volgens het Nederlandse Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid vertoont WhisperGate ‘functionele overeenkomsten’ met HermeticWiper.    

Eerder deze maand berichtte The Washington Post op basis van Amerikaanse intelligence dat Russische hackers waren binnengedrongen in computernetwerken van het Oekraïense leger, de energievoorzieningen en andere kritieke netwerken, ‘met het doel om kennis te verzamelen en zich zo te positioneren om deze te kunnen frustreren in het geval van een invasie’.

Cyberaanvallen als oorlogsvoering

De huidige serie cyberaanvallen past in de modus operandi van de Russen. Dat vindt ook kolonel Han Bouwmeester, die in 2020 promoveerde op het gebruik van hybride conflictstechnieken door de Russische Federatie tijdens de annexatie van de Krim.

‘Cyberaanvallen zijn tegenwoordig een van de belangrijkste manieren van oorlogsvoering, en Rusland beheerst die kunst tot in de puntjes,’ zegt hij. Hij legt uit dat er voorafgaand aan de annexatie van de Krim een serie cyberaanvallen op Oekraïense politici, veiligheidsdiensten en telefooncentrales werd uitgevoerd. Daardoor was communicatie in het gebied nauwelijks mogelijk. Vervolgens verschenen de beruchte ‘groene mannetjes’: gewapende strijders in groene uniformen zonder insignes, waarvan volgens Bouwmeester later bleek dat ze bij de Russische militaire inlichtingendienst GROe hoorden. 

Samen met gewapende burgers en een legertje special operatives handhaafden de mannen in het groen ‘de orde’ op het schiereiland, totdat de al op de Krim gestationeerde Russische troepen en mariniers konden worden ingezet en het gebied kon worden geannexeerd. Bouwmeester: ‘In wezen zie je dat patroon nu terug. Alleen komt Rusland nu van alle kanten met grof oorlogsmaterieel binnenvallen.’

Cybersecurity-specialist Gevers vat het zo samen: ‘Woensdagmiddag deden ze digitaal wat ze donderdagochtend fysiek deden. De digitale wapens worden vooruitgeschoven.’

‘Grootmeester in hybride conflictstechnieken’ 

De cyberaanvallen passen naadloos in de strategie van hybride conflictstechnieken, waarin Rusland volgens Bouwmeester een grootmeester is. ‘Poetin gelooft in de kracht van subversieve oorlogsvoering. Een kernelement van die strategie is dat je niet frontaal op je vijand klapt, maar je richt op zijn psyche en de informatie die hij tot zich neemt. Die wil je beïnvloeden.’ 

‘Alles is erop gericht om de bevolking in haar normen en waarden te raken en twijfel en wantrouwen te zaaien’

De cyberaanvallen passen in dat profiel: ‘Wanneer je als aanvaller overheidsdiensten platlegt, tast dat het vertrouwen van de bevolking in de regering aan en boezem je angst in. Dat is een effectieve manier om weerstand te breken en ontwrichting te veroorzaken.’

Het zijn niet de enige terugkerende conflictstechnieken. Net als tijdens een conflict in 2008 in Georgië en tijdens de annexatie van de Krim in 2014, vinden de cyberaanvallen ook nu weer plaats tijdens of rond de Olympische Spelen, kennelijk een beproefde afleidingsmanoeuvre. 

En, zo voegt de kolonel toe: ‘Net als op de Krim en in Georgië zie je dat Rusland voorafgaand aan deze invasie in de conflictregio Dondas Russische paspoorten heeft uitgedeeld. Daarmee koop je loyaliteit van de lokale bevolking. Alles is erop gericht om de bevolking in haar normen en waarden te raken en twijfel en wantrouwen te zaaien.’

Gevolgen voor Nederland niet uit te sluiten

Of de cyberaanvallen onderdeel zijn van psychologische spelletjes of niet, dat de malware uiterst destructief is, is buiten kijf. De impact beperkt zich bovendien niet tot Oekraïne. Het Amerikaanse cybersecurity-bedrijf Symantec trof de malware ook al aan in Letland en Litouwen, op computers van twee lokale bedrijven die voor de Oekraïense overheid werken. 

Vikram Thakur, technisch directeur van Symantecs threat intelligence team, zei hierover tegen nieuwssite Zero Day: ‘Dit ziet er extreem gericht uit. De [malware] gaat niet alleen achter Oekraïense organisaties aan, maar ook achter organisaties die specifieke rollen vervullen om de Oekraïense overheid te ondersteunen. Het maakt de aanvallers dus niet uit waar die organisaties fysiek zijn gevestigd.’

De vraag dringt zich op of de malware ook in Nederland kan opduiken. Eind januari meldde het Nationaal Cyber Security Centrum al dat veel Nederlandse organisaties en bedrijven zich zorgen maakten over de spanningen tussen Rusland en Oekraïne. Er waren immers al eerder digitale aanvallen op Oekraïne uitgevoerd die gevolgen hadden voor Nederland, waaronder NotPetya. Het NCSC stelde in januari  dat er geen concrete aanwijzingen waren dat de aanvallen van dat moment Nederland zouden kunnen raken, maar gaf gelijk aan dat het  ‘eventuele gevolgen in de toekomst niet uitsluit’.  

Over HermeticWiper schreef het NCSC op 24 februari dat er ‘vooralsnog geen indicaties zijn dat deze nieuwe wiper enige functionaliteit bevat die [zou] kunnen leiden tot een worm waardoor via het netwerk gekoppelde systemen geïnfecteerd zouden kunnen worden’.

De collega’s van het NCSC in het Verenigd Koninkrijk waarschuwden intussen uitgebreid voor het risico op mogelijke spillovers van de aanvallen op Oekraïne. Ook in de Verenigde Staten wordt daar nadrukkelijk voor gewaarschuwd. 

Ook Maasland acht het niet ondenkbaar dat de wiper zijn weg naar Nederland vindt: ‘Er zijn veel Nederlandse bedrijven die zaken doen met Oekraïne of daar vestigingen hebben. Als de netwerken verbonden zijn, kan het op die manier zijn weg vinden. Wij zien nu al dat veel klanten zich zorgen maken en zich bij ons melden. Dat geldt voor allerlei sectoren.’

Europarlementariër en voormalig hoofd van het Bureau Cyber Security van het ministerie van Defensie Bart Groothuis waarschuwt eveneens: ‘De dreiging voor mensen en instellingen in Oekraïne is zo gigantisch groot, dat je spillover effecten kunt krijgen. Elk bedrijf zou daarom moeten nagaan welke connectie het heeft met bedrijven of instellingen in Oekraïne en of het Oekraïense software gebruikt. Als die connectie of zulke software er is, moet je rekening houden met zo’n effect. Dat wil niet zeggen dat de malware via zo’n connectie bij je terecht komt, maar je moet er klaar voor zijn, zodat je bedrijf niet meteen plat ligt als het zo is.’ 

Cybersecurity-specialist Gevers verwacht niet dat Rusland zich door het risico op spillovers naar andere landen dan Oekraïne zal laten afschrikken: ‘Rusland vindt collateral damage niet erg. Daar doen ze totaal niet moeilijk over. Dus je kunt erop wachten dat er in Nederland bedrijven zullen worden aangevallen die bijvoorbeeld Oekraïense banden hebben.’

Oog om oog

De cybersecurity-experts met wie Follow the Money sprak sluiten directe cyberaanvallen op Nederlandse doelwitten niet uit. Het kabinet heeft de afgelopen weken meermaals verklaard bereid te zijn onder meer helmen, scherfvesten, geweren en radarapparatuur naar Oekraïne te sturen. Daarnaast beloofde de regering deelname aan het Cyber Rapid Response Team, een team van EU-landen dat de cyberweerbaarheid van Oekraïne moet verhogen. 

Wat die cyberhulp precies inhoudt, is niet duidelijk. Eerder deze maand stelde een woordvoerder van het ministerie van Defensie in de Volkskrant dat hij vanwege de gevoeligheid niet kon zeggen ‘hoe de Nederlandse bijdrage er precies uitziet’.

‘Als Rusland Oekraïne aanvalt en jij helpt Oekraïne, dan valt Rusland jou aan’

Volgens Maasland is dat nog altijd onzeker: ‘De hulp lijkt erom te draaien Oekraïne te helpen zichzelf actief te verdedigen. Daar hebben we in Nederland inderdaad veel kennis van. Waarschijnlijk zal Nederland binnen organisaties helpen uit te zoeken of er aanvallers in hun netwerken zitten, of ze dreigingen herkennen of digitale voetsporen kunnen vinden. De vervolgstap zal dan zijn om in te grijpen wanneer een organisatie geïnfecteerd blijkt.’

De keerzijde van de hulp is volgens zowel Maasland als Gevers dat Nederland een grotere kans loopt om door Russische hackers te worden aangevallen: ‘Uiteraard,’ zegt Gevers, ‘dat is hoe Rusland werkt. Als Rusland Oekraïne aanvalt en jij helpt Oekraïne, dan valt Rusland jou aan. Cyberaanvallen zijn ook wat dat betreft een strategisch middel.’

De sancties die de Europese Unie Rusland oplegt, vergroten volgens Europarlementariër Groothuis de kans dat de Russen meer cyberaanvallen zullen uitvoeren; het zal de EU daarbij niet sparen: ‘De klassieke toolbox van de Russen is oog om oog. Wij zetten een diplomaat uit, zij ook. Wij nemen een handelsmaatregel, zij spiegelen. Maar de sancties die nu door de EU worden opgelegd, en sancties die zo nodig nog volgen, kunnen ze op een gegeven moment niet meer spiegelen. Dan zullen ze alternatieven zoeken. Cyberaanvallen zijn zo’n alternatief. Wij zijn in het digitale domein niet dominant, de Amerikanen evenmin. Maar juist daarin blinken de Russen uit.’

Wat kun je doen? 

Ondanks de desastreuze gevolgen van HermeticWiper is de manier waarop de malware een netwerk binnendringt volgens Maasland niet heel geavanceerd: ‘Het is geen magisch stukje software. Het maakt gebruik van de aanvalstechnieken die we kennen. Ze komen binnen via een zwak wachtwoord, een besmet bestand of bekende kwetsbaarheden.’ 

Dat maakt de bescherming eenvoudiger. ‘Ons belangrijkste advies is om als organisatie zoveel mogelijk basismaatregelen te nemen. Multifactor-authenticatie, secuur zijn bij het toekennen van rechten en bevoegdheden, alert zijn op software-updates. Met die basiszaken kun je ook dit soort aanvallen grotendeels buiten de deur houden,’ zegt Maasland. ‘Daarnaast is het raadzaam om te investeren in monitoring en detectie. Zeg maar: digitaal cameratoezicht.’ 

Europarlementariër Bart Groothuis: ‘Als een van je netwerken banden heeft met een bedrijf of instelling in Oekraïne, zorg dan dat je die verbinding monitort en dat netwerk gescheiden houdt van de rest van je netwerk. Dan doe je echt al veel om de kans op spillover-effecten te verkleinen.’