De omvang van de Russische cyberaanval op Amerikaanse overheidsinstanties en bedrijven lijkt met de dag te groeien. De aanval, opgebouwd rond het hack van SolarWinds, maakte al meer dan 200 slachtoffers.
Onderzoek naar het SolarWinds-hack dat eind 2020 aan het licht kwam, geeft stilaan een beeld van de omvang van de cyberaanval. Die werd vrijwel zeker uitgevoerd door de Russische inlichtingendienst. Russische hackers baanden zich een weg tot in het netwerk van de IT-managementspecialist waar ze de broncode van de populaire SolarWinds Orion-software aanpasten. Via die zogenaamde supply chain-aanval kregen de aanvallers toegang tot klanten van SolarWinds.
Aanvankelijk leek het erop dat de hackers hun toegang slechts misbruikten om rond te snuffelen bij een handvol Amerikaanse diensten, maar dat blijkt intussen ijdele hoop. Volgens de New York Times zijn al zeker 250 overheidsdiensten en bedrijven binnen de VS slachtoffer van de cyberaanval. Dat aantal kan nog groeien naarmate het onderzoek vordert. Onder andere de departementen van Financiën, Binnenlandse Zaken, Handel, Energie en Defensie werden geïnfiltreerd.
Voer voor geavanceerdere aanvallen
Naar het uiteindelijke doel van de aanval blijft het raden. Het spreekt voor zich dat de aanvallers cyberspionage voorogen hadden maar het is onduidelijk of ze nog andere doelen hadden. Denk daarbij aan de voorbereiding van aanvallen met een meer tastbare impact, zoals het uitschakelen van energiecentrales. Ook over welke informatie er precies gestolen is, bestaat er nog geen uitsluitsel.
lees ook
Minister Buitenlandse Zaken VS: Rusland zit achter de SolarWinds hack
Officieel gingen de aanvallers niet aan de haal met geclassificeerde informatie al ziet het er wel naar uit dat de Russen delicate informatie konden ontfutselen. Als voorbeeld heeft de NYT het Black Start-plan. Daarin staat gedetailleerd hoe de VS zijn energienetwerk wil heropstarten na een totale black-out. Gewapend met die informatie is het eenvoudiger om het Amerikaanse energienetwerk plat te leggen en vooral zo te houden. Een dergelijke digitale aanval is geen sciencefiction: Rusland legde in 2015 al een tijdlang de energievoorziening van Oekraïne plat.
Belangrijke feiten
Zelfs zonder de totale impact van het hack te kennen, is die enorm. Verder onderzoek zal haast zeker aanwijzen dat de omvang groter is dan vandaag geweten maar enkele zaken zijn intussen duidelijk.
- De VS hebben een cyberstrategie waarin aanval als de beste verdediging wordt gezien. Door zelf aanwezig te zijn in buitenlandse netwerken wilden de Amerikanen aanvallen ontdekken en stoppen nog voor ze goed en wel aan de gang waren. Die techniek heeft gefaald.
- De Russen wisten dat diensten als de NSA niet naar binnenlandse netwerken mogen kijken en misbruikten die kennis door hun aanvallen vanop Amerikaanse servers uit te voeren. Dat maakte detectie moeilijker.
- De VS vreesde een aanval op de verkiezingen en zou vooral daarop gefocust hebben wat cyberbeveiliging betreft. Dat zou een opening gecreëerd hebben voor de Russische hackers om andere systemen aan te vallen.
- SolarWinds, dat de hoeksteen vormde van de aanval, maakte een prioriteit van winst boven beveiliging. De NYT rapporteert dat het bedrijf dat gebaseerd is in Austin een groot deel van de productie uitbesteedde naar Oost Europa, waar de Russische inlichtingendienst promintenter aanwezig is. Bovendien werden aanbevelingen van experts over beveiliging genegeerd en stelde SolarWinds pas een Chief Information Officer en VP voor ‘Security Architecture’ aan toen Europese wetgeving daar in 2017 een verplichting van maakte.
- Hoewel Solarwinds centraal stond, probeerden de Russen ook binnen te raken bij andere organisaties met wisselend succes. Partners en toeleveranciers waren een geliefkoosd doelwit. Zo werd Microsoft via partners slachtoffer en ziet het er naar uit dat hackers de broncode van Microsoft-software konden bekijken, al benadrukt de softwarereus dat de aanvallers alleen lees-toegang hadden en dus geen malware konden introduceren zoals bij SolarWinds.
De hele historie toont aan dat Rusland zich erg agressief opstelt in het cyberdomein en de VS daar in snelheid gepakt werden. In welke mate de Russen zich ook op Europese klanten van SolarWinds richtten, is onduidelijk. De aanval kwam aan het licht nadat beveiligingsspecialist FireEye naar buiten kwam met de ontdekking van een intern hack. Specialisten vrezen dat zonder de onthulling van FireEye de aanval misschien nog steeds achter de schermen gaan de zou zijn. Dat stelt de huidige detectiemogelijkheden van het Westen in het algemeen en de VS specifiek dan weer in vraag.
lees ook