Oekraïne krijgt al jarenlang zware cyberaanvallen te verduren. Tot nu bleven die beperkt tot het verstoren van netwerken (ddos-aanvallen) of het gijzelen van IT-systemen (ransomware). Die veroorzaken grote schade en ongemak, maar geen permanente schade. Bij de start van het Russische offensief in Oekraïne werd die rode lijn wel overschreden. De Slowaakse cybersecurityspecialist ESET Labs meldt dat veel Oekraïense bedrijven en overheidsinstellingen aangevallen worden met de malware HermeticWiper, een geavanceerd computervirus dat alle data probeert te wissen.
...

Oekraïne krijgt al jarenlang zware cyberaanvallen te verduren. Tot nu bleven die beperkt tot het verstoren van netwerken (ddos-aanvallen) of het gijzelen van IT-systemen (ransomware). Die veroorzaken grote schade en ongemak, maar geen permanente schade. Bij de start van het Russische offensief in Oekraïne werd die rode lijn wel overschreden. De Slowaakse cybersecurityspecialist ESET Labs meldt dat veel Oekraïense bedrijven en overheidsinstellingen aangevallen worden met de malware HermeticWiper, een geavanceerd computervirus dat alle data probeert te wissen. "We hebben via via een kopie van die malware (een verzamelnaam voor virussen en andere schadelijke software, nvdr) te pakken gekregen", zegt Geert Baudewijns van het Vlaamse Secutec. "We zagen met onze tool om cyberaanvallen te monitoren ook meteen dat IT-systemen in Oekraïne zwaar aangevallen werden. Het wipervirus is heel destructief. Het maakt IT-systemen totaal onbruikbaar. Het is op zich al opvallend dat een virus data wist. Cybercriminelen zijn daar niet in geïnteresseerd. Zij willen losgeld eisen. Maar nog intrigeerender is de manier waarop het virus IT-systemen infecteert. Het gebruikt een onbekend beveiligingslek. Enkel de cybergrootmachten hebben de middelen en de expertise om zulke zwakke plekken te vinden. Bovendien zijn die meestal maar zowat een jaar houdbaar. Cybersecurity- en softwarebedrijven zoeken zelf voortdurend naar zwakke plekken en achterpoortjes, en maken die snel bekend of ze lanceren updates. Deze aanvallen komen dus totaal niet overeen met de klassieke malware die cybercriminelen gebruiken. Het wipervirus valt wel zeer gericht systemen aan in Oekraïne en verspreidt zich niet automatisch naar andere systemen. Maar het blijft heel verontrustend hoe geavanceerd het is. Dit is echt machtsvertoon. Diegene die het heeft uitgestuurd, wil opvallen en we kunnen maar in één richting kijken." Specialisten in cybersecurity hoeden zich ervoor daders aan te wijzen, tenzij ze 200 procent zeker zijn, maar alles wijst op een grootschalige Russische cyberoorlog. De Amerikaanse cybersecurityspecialist Talos, een onderdeel van de techgigant Cisco, schetste in een briefing vorige donderdag de omvang van het offensief. Naast het wissen van IT-systemen leggen de ddos-aanvallen andere systemen plat. Met geruchten en gekaapte websites wordt online ook geprobeerd paniek of verwarring te zaaien. Talos waarschuwt dat het Westen ook een agressief cyberoffensief moet vrezen, nu het almaar zwaardere economische sancties treft tegen Rusland. Talos verwijst naar de gijzelsoftware die vorig jaar een Amerikaanse uitbater van oliepijplijnen trof en brandstofschaarste veroorzaakte in verschillende Amerikaanse staten. De aanval focuste op enkele administratieve systemen; de bediening van de pijplijn bleef operationeel. De uitbater legde de pijplijn zelf stil, omdat hij niet meer kon factureren. De rode lijn van permanente schade werd dus niet overschreden, maar zulke aanvallen kunnen wel veel onrust en economische averij veroorzaken. De waakzaamheid is groot. Al enkele uren na de start van het Russische offensief in Oekraïne riep het belangrijkste orgaan voor cyberveiligheid in België, het Centrum voor Cybersecurity (CCB), de bedrijven op hun cybernoodplannen af te stoffen. In België zijn het NAVO-hoofdkwartier en de belangrijkste Europese instellingen gevestigd, waardoor ons land een aantrekkelijk doelwit is. Maar de oproep tot meer waakzaamheid kwam er vooral uit voorzorg. "Door de geopolitieke spanningen is er een verhoogde cyberdreiging, maar we zien geen concrete dreigingen of aanvallen", zegt CCB-directeur Miguel De Bruycker. "Drie kwart van de cyberaanvallen kwam al uit Rusland. We weten dat daar veel cybercriminelen actief zijn. Er is ook geen significante verandering in het patroon van die aanvallen. Maar het valt nooit uit te sluiten dat er iets gebeurt. Het is heel belangrijk dat alle bedrijven en organisaties in België hun interne noodplannen bekijken, dat ze weten hoe ze cyberincidenten zullen aanpakken, dat hun back-upsystemen goed werken en dat ze hun IT-systemen up-to-date houden. Zo zijn er minder zwakheden die snel misbruikt kunnen worden. Al die systemen up-to-date houden is natuurlijk niet vanzelfsprekend. België heeft de voorbije jaren zo'n probleem gehad. Alle achterpoortjes waren gesloten, maar één verouderde VPN-server was niet uitgeschakeld. Daarmee komen we bij het grote probleem: in de fundamenten van het internet zit te weinig veiligheid ingebouwd. We proberen daar nu laagjes bovenop te leggen, maar het blijft een moeilijk te verdedigen omgeving. We moeten naar een nieuw internet waar veiligheid wel in de kern zit." "Het nieuws is niet allemaal slecht, zeker niet wat België betreft", gaat De Bruycker verder. "Het CCB heeft de voorbije jaren belangrijke maatregelen kunnen uitrollen. In enkele jaren is het niveau in België fors gestegen. In een internationale index die onder meer scant op het kleinste aantal geïnfecteerde systemen en onbeveiligde netwerkpoorten, staat België op de tweede plaats. Vier jaar geleden stonden we nog in de onderste helft. In een andere internationaal erkende cybersecurity-index staan we op de vijfde plaats in Europa. We halen met een beperkt budget heel goede resultaten. Ik ontken niet dat er uitdagingen zijn, maar België staat er zeker niet slecht voor." De Bruycker wijst ook op belangrijke stappen in de bescherming van pijlers van de Belgische economie, zoals energiecentrales, telecomoperatoren en banken. "De voorbije jaren kregen sleutelsectoren en bedrijven extra wettelijke regels opgelegd. Bij het CCB en het Federaal Crisiscentrum groeperen we die als 'organisaties van vitaal belang'. Zij zijn bijvoorbeeld verplicht incidenten te melden en strenge audits te laten doen. Het CCB heeft ook een early warning system opgezet voor die organisaties, dat onder meer nagaat of er een dreiging is tegenover een domeinnaam van zo'n organisatie. Zij krijgen dan een automatische waarschuwing." België is dus veel weerbaarder geworden tegen cyberaanvallen. Geert Baudewijns stelt evenwel dat ons land moet samenwerken met de andere Europese landen, om agressieve natiestaten af te schrikken of de pas af te snijden. "De gevaarlijkste cyberaanvallen komen van spionage- en inlichtingendiensten van overheden. Er is echter geen coherente Europese aanpak. We hebben geen Europese tegenhanger van de Russische of de Amerikaanse inlichtingendiensten. Dat is nochtans wel mogelijk. Israël telt slechts 9 miljoen inwoners, maar de expertise en de kracht in cybersecurity van dat land staan hoog aangeschreven. Op zijn minst zou de kern van de Europese Unie, desnoods samen met Groot-Brittannië, veel nauwer moeten samenwerken. We zouden soortgelijke geavanceerde aanvallen moeten kunnen uitvoeren, want dat zou betekenen dat we veel meer expertise hebben gekregen in het opsporen van zwakke plekken. Als wij ze als eerste vinden, kunnen we er tenminste voor zorgen dat ze niet tegen ons worden gebruikt."