Rusland valt buurland Oekraïne niet enkel aan op het land en in de lucht. Ook in de digitale wereld wordt er strijd gevoerd. Een cyberoffensief met DDoS-aanvallen, splinternieuwe malware en misinformatie moet chaos zaaien binnen Oekraïense rangen.
Vladimir Poetin, president van de Russische Federatie, gebruikt het gros van het arsenaal van zijn land in een aanval tegen buurland Oekraïne. Dat offensief wordt door de Westerse wereld als barbaars, onuitgelokt en onverdedigbaar omschreven. De land- en luchtmacht speelt een centrale rol, gesteund door de zeemacht bij troepenlandingen aan de kust van de Zwarte zee. Poetin brengt zo voor het eerst in decennia oorlog naar het Europees continent, maar daar houdt het niet op. Ook in cyberland woedt een hevige strijd en die heeft het potentieel om ook buiten Oekraïne voor disruptie te zorgen.
DDoS-barrage
Rusland heeft heel wat hacktalent al dan niet rechtstreeks op de loonlijst staan. Het land toonde de afgelopen jaren al meermaals tot welke digitale aanvallen het in staat is. Bij de start van het Russische offensief tegen Oekraïne werden die kennis en ervaring allemaal ingezet ter ondersteuning van de militaire operatie.
Het digitale offensief begon met een golf van DDoS-aanvallen waarmee Rusland verschillende belangrijke websites in Oekraïne offline haalde. Dat stelde ESET research vast. Het gaat om websites van overheidsdiensten en financiële diensten. Het was niet de eerste keer dat Oekraïense websites geviseerd werden door DDoS-aanvallen, waardoor de aanval in enkele uren werd gemitigeerd.
Nieuw cyberwapen
De DDoS-aanvallen effenden het pad voor de echte cyberwapens. Het eerste stuk malware werd opnieuw door ESET Research ontdekt en heet HermeticWiper. HermeticWiper is helemaal nieuw en werd voor het eerst gespot op woensdagavond. ESET ontdekte echter dat de code al op 28 december vorig jaar werd gecompileerd. Dat suggereert dat het digitale wapen al een tijdje klaarstond voor gebruik.
De wiper wist zoals de naam suggereert data en maakt zo computersystemen stuk. De geavanceerde malware misbruikt daarvoor legitieme drivers van EaseUS Partition Master. Dat is software die normaliter dient om je schijven te onderhouden en partities aan te maken. Verder ontsnapt de malware aan detectie met de hulp van een legitiem digitaal certificaat, afkomstig van een Cypriotisch bedrijf: Hermetica Digital Ltd. Dat gebruik gaf HermeticWiper zijn naam.
De software heeft enkel een destructief nut.
Symantec bevestigt de bevindingen van ESET. De malware vernietigt de Master Boot Record (MBR) van geïnfecteerde computers waardoor die onbruikbaar worden. De software heeft enkel een destructief nut: er vindt geen encryptie van data plaats en er is geen sprake van losgeld. Honderden Oekraïense systemen zouden al ten prooi zijn gevallen aan de aanval. Volgens Symantec konden hackers al in december van 2021 via een lek in Microsoft Exchange Server binnenbreken.
Het is opvallend dat het cyberwapen niet alleen in Oekraïne slachtoffers maakt. Symantec ontdekte dat minstens één organisatie uit Litouwen ook al slachtoffer werd.
Botnet
Ongeveer gelijktijdig ontdekte netwerkbeveiligingsbedrijf WatchGuard dat Russische hackers hadden ingebroken in firewalls van het bedrijf. Ongeveer één procent van de firewalls van WatchGuard zou geïnfecteerd zijn met Cyclops Blink. De malware circuleert al een tijdje en werd door de VS gelinkt aan het Russische leger.
Met Cyclops Blinks kunnen hackers data stelen, maar geïnfecteerde computers worden ook onderdeel van een botnet waarmee ze DDoS-aanvallen kunnen uitvoeren. Het is onduidelijk in welke mate dit botnet deelneemt aan aanvallen tegen Oekraïne. De malware heeft wel het potentieel om buiten Oekraïne schade aan te richten.
Gevaar voor de infrastructuur
Intussen breekt er een volgende fase van digitale aanvallen aan. Het lijkt er steeds meer op dat Rusland het gemunt heeft op de internetconnectiviteit van zijn buurland. Rond de stad Kharkiv in het noordoosten van het land valt de connectiviteit al gedeeltelijk weg. Het probleem ligt bij internetprovider Triolan. Het is onduidelijk of de problemen het gevolg zijn van schade afkomstig van de fysieke gevechten.
Het is denkbaar dat Rusland zijn pijlen op de fysieke communicatie-infrastructuur van Oekraïne zal richten. Het land probeert immers een narratief gebaseerd op leugens rond de oorlog naar buiten te brengen, maar dat wordt tegengesproken door feiten op het terrein. Connectiviteit vernietigen maakt het moeilijker om correcte informatie de buitenwereld in te sturen.
Misinformatie (of onkunde van Twitter)
Rusland probeert momenteel al volop valse informatie te delen en legitieme beelden van het internet te weren. Daarbij worden sociale media-accounts geviseerd die bijvoorbeeld de ware toedracht van Russische troepenverplaatsingen in beeld brengen. Al van enkele dagen voor de start van de invasie werden dergelijke accounts zogezegd massaal gerapporteerd, zeker via Twitter. Die website is niet voorbereid op dergelijke acties, en speelt in de kaarten van Rusland door de relevante accounts effectief offline te halen.
Twitter demonstreert al jaren dat het niet consequent of doordacht kan reageren op fake news of propaganda. Dat blijkt nu helaas niet anders. Twitter gaf in een reactie aan dat het om vergissingen ging en dat er geen sprake was van massale rapportage. Wat dan aanleiding heeft gegeven tot de verwijdering van accounts die Russische propaganda met feiten ontkrachten, is onduidelijk. We twijfelen bovendien of die uitleg voor de verwijdering geruststellender is.
Gevaar voor bijkomende schade
De Russische cyberaanvallen gecombineerd met een aanhoudende desinformatiecampagne zullen vermoedelijke niet tot Oekraïne beperkt blijven. Eerdere Russische aanvallen zoals Not.Petya illustreerden al hoe eenvoudig malware zijn doel voorbijschiet. Bovendien zijn de gebruikte cyberwapens nu publiekelijk beschikbaar. In tegenstelling tot een raket ontploffen ze niet na hun impact. Zodra ze worden losgelaten, kunnen hackers wereldwijd ze onderzoeken, nabouwen en zelf misbruiken.
Het CCB laat intussen weten dat er vooralsnog geen gerichte dreiging is vanuit Rusland op de digitale infrastructuur van bedrijven en organisaties in ons land. Ook het CCB wijst er wel op de reële kans dat aanvallen tegen Oekraïne al dan niet opzettelijk overlopen en andere landen treffen. Het is met andere woorden een goed idee om je cyberweerbaarheid na te kijken en je back-ups te controleren.
Vrijwilligers in de tegenaanval
Rusland krijgt ook tegenwind in cyberland en dat uitonverwachte hoek. Een verbond van Belgische hackers werkte donderdag samen om Rusland een koekje van eigen deeg te geven. Via een DDoS-aanval haalden ze enkele Russische websites onderuit. Rusland heeft de aanval intussen geblokkeerd maar de hackers plannen niet om al op te geven.
De overheid van Oekraïne roept vrijwilligers intussen op om het land te helpen met aanvallen tegen Rusland maar ook om de verdediging tegen de Russische aanvallen te verbeteren. Het land heeft zelf geen militaire cybertak om een antwoord te bieden op de Russische dreiging.
In het licht van het cyberoffensief heeft Europa een Cyber Rapid-Response Team (CRRT) opgericht. Dat bestaat uit acht tot twaalf experts afkomstig uit Litouwen, Kroatië, Polen, Estland, Roemenië en Nederland. Het CRRT helpt bij de digitale bescherming van Oekraïne. Van een gecoördineerde tegenaanval uit Westerse hoek is vooralsnog geen sprake.