De verbijsterende SolarWinds-hack: ‘Cyberaanvallen kosten relatief weinig en zijn niet riskant’

De hack bij SolarWinds is verbijsterend in omvang en durf. Het Amerikaanse leger en 18.000 andere grote organisaties, waaronder ook Belgische, zijn gecompromitteerd. En toch valt het mee, volgens de expert in niet-conventionele oorlogsvoering Sico Van der Meer. ‘De rode lijn van sabotage is niet overschreden en het lijkt zich te beperken tot klassieke militaire spionage.’

Duizenden systeembeheerders en andere IT-specialisten, waaronder Belgische, staan voor een zeer stresserende eindejaarsperiode. Ze moeten hun systemen volledig uitkammen en nagaan of hackers informatie hebben gestolen en achterpoortjes in hun systemen hebben ingebouwd. Ze zijn het slachtoffer van een van de meest succesvolle stiekeme cyberaanvallen van de afgelopen decennia.

Op 13 december biechtte het Amerikaanse SolarWinds op dat hackers in maart dit jaar ongemerkt een achterpoort in een software-update hadden gesmokkeld. Meer dan 18.000 grote organisaties, waaronder het Amerikaanse ministerie van Defensie en de belangrijke cybersecurityspecialist FireEye, werden gecompromitteerd. Grote overheidsinstellingen en bedrijven gebruiken de software van SolarWinds om hun netwerken te beheren. Door de gehackte update raakten hackers ongemerkt binnen. Daarna kwam er een meer doelgerichte aanval bij besmette IT-infrastructuren. De focus van de hackers zou liggen op de Amerikaanse veiligheidsdiensten, maar ook gecompromitteerde Belgische organisaties zouden in het vizier genomen zijn. De namen van de Belgische slachtoffers zijn nog niet bekend.

“Volgens de Amerikaanse veiligheidsdiensten zit Rusland achter de geavanceerde aanval. Wellicht klopt dat”, zegt Sico Van der Meer. De onderzoeker aan de Nederlandse denktank Instituut Clingendael is gespecialiseerd in niet-conventionele oorlogsvoering. “Een gewone hacker krijgt een hack zoals de SolarWinds niet voor elkaar. Over het algemeen hebben enkel overheden de middelen en de expertise voor zulke gesofisticeerde aanvallen. Zij houden het meestal bij wat je klassieke politiek-militaire spionage zou kunnen noemen. Economische spionage is eigenlijk een taboe bij natiestaten. Maar cyberaanvallen zitten in een zeer vage ruimte, zonder harde grenzen. Er zijn nu veel grote bedrijven getroffen en dat komt wellicht omdat deze cyberaanval eerst op de softwareleveranciers mikt. De echte doelwitten zijn zwaar beveiligd en de aanvallers proberen via de supply chain de beveiliging te omzeilen. Die besmette software komt dan terecht bij grote bedrijven en overheidsorganisaties.”

De aftredende Amerikaanse president Donald Trump dreigde eerder dat hij desnoods met een kernaanval zou reageren als er een zware cyberaanval op de Verenigde Staten zou komen. De Russische president Vladimir Poetin moet ballen hebben om Trump zo uit te dagen.

SICO VAN DER MEER. “Deze cyberaanval heeft een enorme schaal, maar het lijkt zich voorlopig te beperken tot klassieke spionage. Dat hoort nu eenmaal bij het geopolitieke spel tussen natiestaten. De rode lijn van sabotage is niet overschreden. Rusland heeft bijvoorbeeld niet actief geprobeerd via deze hack de Amerikaanse verkiezingen te saboteren, zo lijkt het. De aanval is ook minder agressief dan de Stuxnet-aanval waarbij de Verenigde Staten en Israël de Iraanse centrifuges voor uraniumverrijking vanop afstand onklaar maakten. De Notpetya-aanval, wellicht vanuit Rusland gestuurd, richtte ook veel meer schade aan met de gijzeling van IT-infrastructuur. En denk aan de Russische cyberaanval op het Oekraïense elektriciteitsnet in 2015. Rusland heeft weinig scrupules bij dat soort operaties. Het gebruikt gifgas om tegenstanders uit te schakelen, zoals de overgelopen geheim agent Sergej Skripal en de dissident Aleksej Navalny. Het weet dat het daarmee wegkomt, zeker met cyberaanvallen. Cyberaanvallen kosten relatief weinig en zijn niet riskant. Vergeet ook niet dat alle grootmachten bijzonder agressief zijn in cyberspace. Het zijn niet alleen de Russen, maar ook de Amerikanen, de Chinezen, de Britten, enzovoort.”

Hoe komt dat?

VAN DER MEER. “Het digitale domein is nog altijd te veel het Wilde Westen. Door het gebrek aan regelgeving en normen wint diegene die het snelste kan schieten of diegene met het grootste geweer. Bovendien is er een gebrek aan transparantie. De oorsprong van een gelanceerde raket met kernwapens is te traceren. Over het algemeen zijn fysieke wapens ook gemakkelijk op de een of andere manier te tellen, maar cyberwapens zijn onzichtbaar. Het is meestal moeilijk om voor 100 procent zeker te zijn wie erachter zit, onder meer omdat men zich in cyberspionage of cyberoorlogsvoering vaak probeert te vermommen als een andere partij, de false flag-operaties. Zelfs als je betrapt wordt, kan je het makkelijker ontkennen dan bij een fysieke aanval.

“Je hebt eigenlijk de vrijheid te doen wat je wil, een cyberaanval is een vrij risicoloos wapen. Je hoeft niet te vrezen voor een snelle en harde vergelding, al zijn er natuurlijk politieke en economische sancties of juridische vervolging mogelijk.”

Er wordt al jaren gepleit voor een soort digitale conventie van Genève die regels oplegt voor cyberoorlogsvoering en spionage, en die onder meer het aantal onschuldige burgerslachtoffers moet beperken

.

VAN DER MEER. “Onder meer Microsoft trekt daarvoor aan de kar, maar tegelijk zijn veel mensen ook voorzichtig. Er wordt gevreesd dat die wereldwijde regels voor cyberaanvallen net een versoepeling zullen zijn. De Verenigde Naties hebben ook al gezegd dat ze cyberwapens als gewone wapens zien. Het bestaande oorlogsrecht is duidelijk over burgerslachtoffers, over dat je geen ziekenhuizen mag aanvallen, enzovoort. De grootmachten staan sowieso op de rem voor extra regels. Ze hebben de beste capaciteiten in cyberspionage en -oorlogsvoering. Ze zien er het nut niet van in hun handen te binden. Ik denk dat ze enkel hun tegenstand zullen laten varen als ook de kleinere landen zich op cyberwapens gooien. Maar de onderhandelingen over beperkingen worden een frustrerend proces. De onderhandelingen over wapenbeheersing hebben in het verleden ook gemakkelijk twintig jaar aangesleept.”

Is er ondertussen volledige straffeloosheid?

VAN DER MEER. “Los van het probleem om te weten te komen wie achter de aanval zit, zijn er wel mogelijkheden om cyberaanvallen af te schrikken. De meest voor de hand liggende is investeren in meer cyberveiligheid. Er zijn ook sancties en vergeldingsmaatregelen. Dat kan ver gaan. Israël heeft bijvoorbeeld onlangs een gebouw in de Gazastrook gebombardeerd omdat het wist dat er vandaar een grote cyberaanval zou komen. Die fysieke vergelding is natuurlijk geen wenselijk scenario. Daarom moeten we streven naar een gezamenlijke en wereldwijde set van regels en normen, het liefst via de VN. Want daar zitten alle landen aan tafel. De kleine landen en de bedrijven hebben daar veel bij te winnen. België kon op zijn eentje niks doen, wanneer het ontdekte dat de Britten en de Amerikanen Belgacom hadden gehackt in 2011. Maar via een VN-orgaan zou het wel sterker staan.”