Zondag 13/06/2021

De eerste cyberoorlog was gelukkig maar een slappe

Als het Kremlin inderdaad de dader was van een gecoördineerde aanval op de websites van Estse overheidsinstellingen, nieuwsmedia en banken, dan heeft zich de afgelopen weken de allereerste cyberoorlog afgespeeld. Maar het bleef bij een kleintje: voor een 'echte' elektronische aanval, waarbij het belangrijkste deel van de infrastructuur van een land wordt platgelegd, zijn veel zwaardere middelen nodig.

Door Ronald Meeus

Toen Esten met Russische roots twee dagen lang rel schopten in de hoofdstad Tallinn, gewoon omdat de Estse overheid het standbeeld van een sovjetsoldaat verplaatste van een drukbezocht plein naar een buitenwijk van de stad, wist Hillar Aarelaid dat er stront aan de knikker was. "Als er op straat gevochten wordt, volgt er ook een rel op het internet", zegt de directeur van het Estse Computer Emergency Response Team (CERT), een overheidsorgaan dat de internetinfrastructuur in het land beschermt, in de Amerikaanse krant The New York Times.

Op 29 april was het zover: de mailserver van het Estse parlement kreeg zoveel betekenisloze e-mails te verwerken dat hij plat op zijn buik ging. De dagen erna werden de websites van onder meer de president, de eerste minister, verschillende overheidsorganen, de twee grootste nieuwsdiensten en de twee grootste banken van het land bestookt en verscheidene malen platgelegd. De servers werden met man en macht weer aan de praat gebracht, vaak om later alweer overstag te gaan onder de aanvallen.

Op 9 mei kwam de grote charge, die gelukkig mislukte: gehackte computers overal ter wereld - de Estse overheid schat dat het er tot een miljoen waren - werden gebruikt om een aanval uit te voeren op de 'routers' en 'switches' van de internetinfrastructuur in Estland, de computers die het internetverkeer in het land regelen, met de ultieme bedoeling die lam te leggen. Alleen al tijdens de twee eerste weken van mei werden er 128 aanvallen uitgevoerd.

De daders gebruikten voor de meeste aanvallen een zogenaamde 'denial of service attack'. Doelwitten van zo'n aanval zijn servers die vanaf het internet kunnen worden bereikt, zoals servers die e-mails ontvangen of waarop een website staat. Ze worden aangevallen door duizenden fictieve bezoeken, die worden georkestreerd vanaf evenveel wereldwijd verspreide computers. De eigenaars van die toestellen weten dat meestal niet: het gaat om gehackte computers van bedrijven of individuele gebruikers, die op de achtergrond luisteren naar een commando dat wordt verstuurd vanop de computer van de daders.

Beveiligingsexperts zeggen dat de aanvallen op Estse doelwitten, die in beperkte mate nog altijd regelmatig worden uitgevoerd, alleen vanaf gehuurde 'botnets' kunnen zijn vertrokken. Die zijn in handen van internationale cybercriminelen, die zich met behulp van virussen toegang hebben verschaft tot de individuele computers van duizenden eigenaars en die tegen betaling dit soort aanvallen inzetten.

In het onderzoek dat de Estse overheid ondertussen beval, kwam een aantal IP-adressen (een soort serienummers) terug van computers wier eigenaar een Russische overheidsmedewerker is. Het Kremlin ontkent elke betrokkenheid, maar het merendeel van de aanvallen vertrok vanuit Rusland, zei de Estse minister van Buitenlandse Zaken Urmas Paet begin mei, tijdens een bijeenkomst van de Europese Ministerraad in Straatsburg.

Als het Kremlin achter de aanval zit, dan zou het de eerste keer zijn dat een overheid een min of meer geslaagde aanval uitvoert op een andere overheid. "Het was een kwestie van nationale veiligheid", zei Jaak Aviksoo, de Estse minister van Defensie, in de Estse media. "Je kunt het vergelijken met het blokkeren van een haven."

De aanval heeft in elk geval een hoop schade berokkend. Hansabank bijvoorbeeld, de grootste bank in het land, claimt dat de aanvallen haar ongeveer een miljoen euro verlies hebben opgeleverd.

"Een groter en groter deel van de economie van een land draait via het internet", zegt beveiligingsexpert Eddy Willems van Noxs, een Belgisch importeur van beveiligingstechnologie. "Je moet de disruptie van zulke aanvallen niet onderschatten: die kunnen een land ontregelen. Stel je eens voor dat bij ons het Taxonwebsysteem wordt platgegooid op de laatste dag waarop mensen hun belastingaangifte kunnen indienen, en dat die actie samenvalt met nog andere aanvallen: de chaos zou enorm zijn."

En toch waren de cyberaanvallen op Estse websites nog 'braaf', zeggen verscheidene beveiligingsexperts. De aanvallen legden wel publieke servers lam, maar niet het computernetwerk dat daarachter zit. Theoretisch is dat nochtans mogelijk: een traditionele hackeraanval begint bijna altijd met de publieke servers in een netwerk, zoals de webserver en de e-mailserver, en wringt zich van daaruit verder naar crucialere punten in het netwerk. Met virussen of zogenaamde 'logic bombs', programma's die de interne software van een server doen crashen, kunnen die netwerken eventjes worden platgelegd.

De meest dystopische visie van een cyberoorlog ziet er ongeveer als volgt uit: mogendheid A plant een invasie op het grondgebied van mogendheid B, dus hackt ze eerst de computersystemen van banken, valutamarkten, overheidsorganen, communicatienetwerken en infrastructuurleveranciers, zoals de eigenaars van het transport-, elektriciteits- en waternetwerk. Zulke aanvallen veroorzaken zo'n landelijke chaos dat het vijandelijke leger bij wijze van spreken gewoon kan binnenwandelen.

Zo ver zijn we gelukkig nog niet. "Zelfs in theorie lijkt het moeilijk uit te voeren", zegt Willems. "De aanvallen op Estse websites en -diensten kunnen door een ploegje van vier of vijf mensen uitgevoerd zijn. Het is een relatief eenvoudige tactiek, die vooral bestaat uit het geven van een bevel aan duizenden individuele computers. Voor een gecoördineerde hackeraanval is wel wat anders nodig: een legertje van een paar duizend goedgetrainde hackers, om te beginnen. Die moeten tegelijkertijd handmatig tot de netwerken doordringen om ze schade te berokkenen. Dat zal dus nog niet voor morgen zijn. Maar bij elke georkestreerde internetaanval vraag ik me hetzelfde af: wat als dit slechts een voorbereiding was op het zwaardere werk?"

Ondertussen speelt er op internationale schaal nog een groter probleem: eigenlijk is er op dit moment in Estland nog niets strafbaars gebeurd. Gebruikmaking van cyberwapens is voorlopig nog niet gedefinieerd in het internationale oorlogsrecht, al zijn er initiatieven in die richting aan de gang vanuit de NAVO en de Verenigde Staten. "Er is op dit ogenblik geen enkele internationale wet die dit soort aanvallen veroordeelt", zegt Willems. "De overheid die slachtoffer wordt van zulke cyberaanvallen kan het honderd keer een oorlogsdaad noemen, in essentie is het er nog geen."

Meer over

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234