Cyberoorlog in Oekraïne moet ook het Westen intimideren: ‘Dit is echt machtsvertoon’

© Getty
Stijn Fockedey
Stijn Fockedey Hoofdredacteur a.i.

Het Russische legeroffensief in Oekraïne gaat gepaard met intense cyberaanvallen. Van geïnfecteerde IT-systemen worden onder meer alle data gewist. De aanvallers gebruiken een zwakke plek, die maar met veel moeite achterhaald kon worden. Dat kan enkel een natiestaat met diepe zakken. Rusland is verdachte nummer één, maar zal er niet om malen als het officieel beschuldigd wordt.

Oekraïne krijgt al jaren zware cyberaanvallen te verduren, maar die beperkten zich tot voor kort vooral tot aanvallen om netwerken te verstoren (ddos-aanval) of het gijzelen van IT-systemen (ransomware). De schade en het ongemak zijn enorm, maar er raakt niets permanent beschadigd. Die rode lijn werd woensdag bij de start van het Russische legeroffensief in Oekraïne wel overschreden. De Slowaakse cybersecurityspecialist ESET Labs meldt dat veel Oekraïense bedrijven en overheidsinstellingen aangevallen worden met de malware HermeticWiper, een geavanceerd computervirus dat na infectie alle data probeert te wissen.

‘Wij hebben woensdag via via een kopie van de malware (verzamelnaam voor virussen en andere schadelijke software, nvdr) te pakken kunnen krijgen’, zegt Geert Baudewijns van het Vlaamse Secutec. ‘We hebben een eigen tool om cyberaanvallen te monitoren, en zagen meteen dat IT-systemen in Oekraïne zwaar aangevallen worden. Het wipervirus in kwestie is zeer destructief. Het maakt IT-systemen totaal onbruikbaar. Het is op zich al opvallend dat een virus data wist. Cybercriminelen zijn daar niet in geïnteresseerd. Zij willen losgeld kunnen eisen. Maar de manier waarop het virus IT-systemen kan infecteren intrigeert mij nog meer. Het gebruikt een onbekend beveiligingslek dat we nog niet gevonden hebben in ‘commerciële’ malware die cybercriminelen gebruiken.’

De beveiligingslekken die in Oekraïne gebruikt worden, zijn zeer moeilijk op te sporen. Alleen de echte cybergrootmachten hebben de middelen en de expertise om zulke zwakheden te verzamelen.’

Geert Baudewijns, Secutec

Volgens Baudewijns is dat een zeer belangrijke aanwijzing. ‘Dergelijke beveiligingslekken zijn zeer moeilijk op te sporen. Enkel de echte cybergrootmachten hebben de middelen en de expertise om zulke zwakheden te verzamelen. Bovendien zijn die meestal slechts zowat een jaar houdbaar. Cybersecurity- en softwarebedrijven zoeken immers zelf voortdurend naar zwakke plekken en achterpoortjes, en maken die snel bekend of lanceren updates. Het wipervirus valt zeer gericht systemen aan in Oekraïne, en verspreidt zich niet automatisch naar andere systemen. Maar het blijft zeer verontrustend hoe geavanceerd het is. Dit is echt machtsvertoon. Degene die het heeft uitgestuurd, wil opvallen en we kunnen maar in één richting kijken.’

Geblokkeerde pijplijn

Cybersecurityspecialisten hoeden zich ervoor daders aan te wijzen, tenzij ze 200 procent zeker zijn, maar alles wijst dus op een grootschalige Russische cyberoorlog. De Amerikaanse cybersecurityspecialist Talos, een onderdeel van de techgigant Cisco, schetste donderdag in een briefing de omvang van het offensief. Naast het wissen van IT-systemen, worden ook andere systemen platgelegd via de ddos-aanvallen. En met onder meer online geruchten en gekaapte websites proberen ze paniek of verwarring te zaaien. Talos waarschuwt dat het Westen ook een cyberreactie moet vrezen, nu het almaar zwaardere economische sancties treft tegen Rusland. En die aanvallen kunnen agressief zijn. Talos verwijst naar de gijzelsoftware die vorig jaar een Amerikaanse uitbater van oliepijplijnen trof en in verschillende Amerikaanse staten brandstofschaarste veroorzaakte. De aanval concentreerde zich toen wel op enkele administratieve systemen; de bediening van de pijplijn bleef operationeel. De uitbater legde zelf de pijplijn stil, omdat hij niet meer kon factureren.

Noodplannen afstoffen

Zeker als Rusland bereid is zijn waardevolste beveiligingslekken in te zetten, kan het ook in het Westen veel schade aanrichten. De waakzaamheid is groot. Al enkele uren na de start van het Russische offensief in Oekraïne riep het belangrijkste orgaan voor cyberveiligheid in België, het Centrum voor Cybersecurity (CCB), bedrijven op hun cybernoodplannen af te stoffen. In België zijn het NAVO-hoofdkwartier en de belangrijkste Europese instellingen gevestigd, waardoor ons land een aantrekkelijk doelwit is. Maar de oproep tot meer waakzaamheid kwam er vooral uit voorzorg. ‘De geopolitieke spanningen veroorzaken een verhoogde cyberdreiging, maar we zien op dit moment geen concrete dreigingen of aanvallen’, zegt CCB-directeur Miguel De Bruycker. ‘Driekwart van de cyberaanvallen kwam al uit Rusland. Maar we weten dat daar veel cybercriminelen opereren, en er is geen significante verandering in het patroon van die aanvallen.’

‘Het valt nooit uit te sluiten dat er iets gebeurt’, gaat De Bruycker verder. ‘Het is daarom zeer belangrijk dat alle bedrijven en organisaties in België hun interne noodplannen bekijken, en weten hoe ze cyberincidenten zullen aanpakken. Is hun contactenlijst wel up-to-date, hebben ze van alle sleutelpersonen de contactgegevens, en weten ze hoe ze die op alternatieve manieren kunnen bereiken als een IT-systeem plat ligt? Weet iedereen wat ze moeten doen? Weet men met welke leveranciers of specialisten men contact kan opnemen voor de problemen die kunnen opduiken? Bij een ddos-aanval om een netwerk te verstoren, kan dat vaak al gewoon de Internet Service Provider zijn. Het is absoluut geen slechte zaak om dat nu allemaal te bekijken en bij te werken.’

Naast het meer organisatorische aspect mag ook het technische niet verzuimd worden, stelt De Bruycker. ‘De goede werking van back-upsystemen is cruciaal, om snel te kunnen heropstarten na een succesvolle virusaanval of gijzeling. Vaak blijkt bij zulke incidenten dat de back-ups ook aangetast of niet goed uitgevoerd werden. Dan is het natuurlijk te laat. Het is ook belangrijk dat bedrijven kijken of ze tijdelijk op een alternatieve manier kunnen functioneren, met bijvoorbeeld slechts enkele IT-systemen of toepassingen. Tot slot blijft het natuurlijk zeer belangrijk dat bedrijven en organisaties hun IT-systemen up-to-date houden. Zo zijn er minder zwakheden die snel misbruikt kunnen worden.’

Partner Content