De invasie van Oekraïne is het eerste conflict dat op zo’n grote schaal ook in de cyberwereld wordt uitgevochten. Wat betekent dat voor cybersecurity en wat mogen we nog verwachten?
‘De invasie van Oekraïne gaat gepaard met een reeks cyberaanvallen’, zo schreven we in februari. Die lijken grotendeels bedoeld om de Russische grondtroepen te ondersteunen, maar cyberaanvallen zijn in het land geen nieuwe trend, zo benadrukt Robert Lipovsky, senior malware researcher bij het Slovaakse ESET, een securitybedrijf dat de situatie in Oost-Europa al jaren opvolgt. “De cyberaanvallen zijn niet begonnen met de invasie. Je zag ze voor het eerst echt aantrekken aan het einde van 2013 en het begin van 2014, bij de start van de oorlog op de Krim.”
Wel lijkt het soort aanvallen te zijn veranderd. Sinds het begin van de invasie merkte ESET onder meer een grote hoeveelheid ‘wiper malware’ op. Dat is software die als belangrijkste doel heeft om data te vernietigen en op die manier veel schade toe te brengen aan de systemen die het infecteert. Veel van die wipers worden gelinkt aan Sandworm, een ‘advanced persistent threat’-groep (APT). Dat is security speak voor een professionele, gevaarlijke organisatie, in dit geval gelinkt aan de GRU, de Russische militaire geheime dienst. “Zij hebben een voorliefde voor destructieve aanvallen, waaronder wipers in alle verschillende vormen”, zegt Lipovsky.
Black-out
Eén zo’n aanval die al een tijd terug gebeurde gebruikte BlackEnergy, een malware die uiteindelijk in 2015 tot een black-out leidde in grote delen van Oekraïne. “BlackEnergy had plug-ins die je harde schijf konden wissen, en het installeerde componenten die we zelf Killdisk hebben genoemd. Ook dat was een wiper. Daarnaast zie je nog andere aanvallen op het elektriciteitsnet, zoals Industroyer.” Die Industroyer kent u misschien als de malware die op kerstdag 2016 het licht deed uitgaan in Kiev.
Wipers bestaan dus al even, maar waar ze de voorbije acht jaar nog redelijk zeldzaam waren, en afgewisseld werden door meer verborgen aanvallen voor spionage, is dat sinds februari anders, zegt Lipovsky: “Je ziet nu een veel intensiever gebruik van wipers. We hadden verschillende soorten, waaronder HermeticWiper, IsaacWiper, en CaddyWiper. En die werden niet op één locatie gebruikt, maar in verschillende campagnes.”
‘Ransomware’
Nog iets dat sinds februari opvalt: aanvallen zijn niet langer verborgen. Voordien werd zo’n aanval bijvoorbeeld verpakt als valse ransomware, waarbij het losgeldbriefje eerder een afleiding was voor het echte doel: data vernietigen of spioneren. “NotPetya is daar een berucht voorbeeld van, maar het is niet het enige”, zegt Lipovsky. “De motivatie daar is niet geld.”
NotPetya kent u als de ‘ransomware’ die in 2017 verspreid werd via een boekhoudsoftware en uiteindelijk wereldwijd allerlei bedrijven neerlegde, waaronder bijvoorbeeld de logistieke gigant Maersk. Als het om een aanval specifiek op Oekraïne gaat, was het dan de bedoeling dat die zo ver zou uitdeinen? “Daar hebben we het raden naar”, zegt Lipovsky. “Voor NotPetya was het waarschijnlijk onbedoelde nevenschade. In sommige gevallen zie je echter specifieke campagnes gericht op ambassades, diplomaten en bedrijven die veel waarde hebben voor een natiestaat.”
Eén zo’n erg gerichte aanval werd bijvoorbeeld in 2014 ingezet door de eerder genoemde Sandworm. “Daarbij stuurde de groep een PowerPointpresentatie over de Donbas-situatie rond om slachtoffers te lokken, wat toch lichtjes sarcastisch is. Het ging om een zogeheten lijst met namen van separatisten in het oosten van het land, en volgens de phishing mail moesten parlementsleden bij hun personeel nagaan of ze op die lijst stonden.” De spearphishing campagne was opvallend omdat ze een op dat moment ‘zero-day’ kwetsbaarheid gebruikte in Microsoft PowerPoint. Slachtoffers die de presentatie openden, werden geïnfecteerd met een bug die nog niet door securitysoftware werd herkend. “Zero-days zijn zeldzaam. We zien ze erg weinig en het is een teken dat er iets groots aan de hand is wanneer er zo eentje op die manier verschoten wordt door aanvallers.” Microsoft patchte de bug dan ook snel nadat de aanval bekend raakte.
Gamaredon
In het PowerPoint-geval ging het om een campagne die specifiek gericht was op parlementsleden in Oekraïne. Maar net als bij financieel gemotiveerde criminelen, is het beste doelwit soms gewoon hetgene je kan raken. “Deze groepen hebben specifieke doelen en doelwitten, maar soms is er een compromis en breken ze in bij een organisatie die niet meteen degene is die ze willen,” zegt Lipovsky.
Hij geeft het voorbeeld van Gamaredon, een groep die wordt toegeschreven aan de FSB, de Russische civiele geheime dienst. Het is de meest actieve Russische APT-groep die zich op Oekraïne richt. “Ze zijn niet zo gesofisticeerd als Sandworm, maar veel actiever als het gaat om volume,” zegt hij. “Je ziet echt enorm veel aanvallen van hen, maar een klein deel daarvan met echt gerichte malware. We denken dat het om een ‘initial access group’ gaat, die probeert eender welke organisatie binnen te geraken, en dan de doelwitten kiest die interessant zijn en hen overdraagt aan anderen.”
Cyberoorlog
Rest nog de vraag of het hier echt gaat om de eerste cyberoorlog. “Op deze schaal hebben we het in ieder geval nog niet gezien. De cyberaanvallen in Oekraïne zijn ongeëvenaard”, zegt Lipovsky. “Dat gaat ook hand in hand met het conflict tussen Oekraïne en Rusland, waar altijd een sterke cybercomponent was.”
Was, maar ook ‘is’. “Ik denk niet dat het snel gaat eindigen”, zegt Lipovsky. “Het hangt er natuurlijk van af hoe de oorlog verder verloopt maar ik verwacht dat het nog even zal doorgaan. Misschien niet aan de intensiteit van de laatste maanden, maar zoals in de vorige acht jaar, met occasionele disruptieve aanvallen en meer frequente spionagepogingen. Het unieke aan cyberaanvallen is dat ze niet makkelijk te achterhalen zijn. Je kan niet zomaar bewijzen wie er achter zit, dus gebeuren ze niet alleen in tijden van oorlog, maar ook in vredestijden. We zijn er zeker van dat deze soort activiteiten niet snel zullen verdwijnen.”
Fout opgemerkt of meer nieuws? Meld het hier