Dinsdag 15/10/2019

Update

Hackers proberen in te breken bij Europese energiebedrijven

Beeld thinkstock

Een groep hackers zou in Europa en de VS hebben ingebroken bij energiebedrijven. Ze gaan te werk door zogezegde uitnodigingen te verzenden voor nieuwjaarsfeestjes van de energiesector. Op die manier proberen ze wachtwoorden en data te verzamelen.

De informatie komt uit een rapport van Symantec, een bedrijf dat gespecialiseerd is in cyberveiligheid. Volgens hen gaat het om hackers van Dragonfly, een groep die al zeker sinds 2011 actief is.

Eind 2015 dook Dragonfly opnieuw op, dit keer met een phishing e-mailcampagne. Ze verstuurden uitnodigingen voor nieuwjaarsfeestjes in de energiesector, maar wie de uitnodiging opende, besmette de computer met een programmaatje. Dat stuurde dan gebruikersnamen en wachtwoorden naar de aanvallers. 

De hackers hebben ook websites besmet die vaak worden bezocht door mensen uit de energiesector. Dit zijn zogenaamde 'drinkplaats-aanvallen', waarbij de aanvaller wacht als een roofdier tot zijn prooi in de buurt is. 

Via de meldingen in beveiligingssystemen van klanten merkte Symantec een verhoogde activiteit van Dragonfly in 2017. Volgens sommige bronnen is die activiteit stilgevallen nadat Symantec haar rapport uitbracht.

In elk geval zijn er energiebedrijven in de Verenigde Staten, Turkije en Zwitserland getroffen, maar waarschijnlijk hebben de hackers ook in andere landen toegeslagen. Begin augustus meldde het Ierse Eirgrid nog dat ze enkele maanden eerder gehackt was, maar het is niet zeker of het om Dragonfly ging.

Febeg, de federatie van de Belgische elektriciteits- en gasbedrijven heeft geen weet van inbraakpogingen van Dragonfly in ons land. Ook het Centrum voor Cybersecurity (CCB) van de Belgische overheid kreeg geen meldingen. Het CCB is wel op de hoogte van de dreiging en volgt het probleem van dichtbij op. 

"Het is een dreiging die we ernstig nemen, omdat het over een vitale sector gaat", zegt Miguel De Bruycker, directeur van het CCB. In België behoren energie, transport, de financiële sector en de telecomsector tot de vitale sectoren. Door een nieuwe Europese richtlijn worden ook drinkbaar water en volksgezondheid daar binnenkort aan toegevoegd.

"De operatoren van die kritische diensten moeten voldoen aan veiligheidsrichtlijnen", zegt De Bruycker. "Zo hebben ze een notificatieplicht bij incidenten."

Dit soort dreiging neemt toe. Net als onze televisie of onze auto, zijn ook toepassingen in de industrie steeds meer met internet geconnecteerd en dus bereikbaarder dan vroeger voor hackers. Al wil dat niet zeggen dat een hacker zo maar het licht aan en uit kan doen in een land. 

"De zeer kritieke punten worden op gepaste wijze afgeschermd van het internet", zegt De Bruycker. "Ik weet bijvoorbeeld dat ze netwerken hebben die niet aan het internet gekoppeld zijn en dat ook in de toekomst niet zullen zijn."

Sabotage

Het is niet bekend wie achter Dragonfly zit maar volgens Symantec beschikt de groep over erg veel kennis en middelen. Waarschijnlijk worden de hackers gesteund door een staat. Dan kan er sprake zijn van overheidsspionage of zelfs oorlogsvoering.

Het doet denken aan de cyberaanvallen in Oekraïne vorig jaar. Hackers, die opereerden onder de naam Sandworm, slaagden er toen in om enkele uren de elektriciteit van hoofdstad Kiev lam te leggen. Die aanval werd toen aan Rusland toegeschreven. Symantec spreekt dan ook de zorg uit dat deze hackers potentieel in staat zijn om energiebedrijven op een strategisch moment te saboteren.

Anderen spreken dat tegen. De beveiligingsfirma Dragos, die onder meer de cyberaanvallen in Oekraïne onderzocht, stelt in een interview met Reuters dat deze hackers nog "ver afstaan van de mogelijkheid om de lichten uit te doen". Volgens hem is paniek nog niet meteen nodig.

Meer dan waarschijnlijk gaat het om een verkenningspoging, waarmee de hackers proberen te achterhalen hoe de energieproductie of -distributie in elkaar zit en waar de zwakke plekken zijn. "Je hebt heel veel informatie nodig om een deel van de energiedistributie te verstoren", zegt De Bruycker. "Het is belangrijk om elke verkenningspoging te detecteren en af te weren."  

Wie is Dragonfly?

De hackers achter Dragonfly zijn niet gekend.

Symantec ontdekte code in zowel het Russisch als het Frans, maar wijst erop dat minstens een van die twee talen een afleidingsmanoeuvre kan zijn. 

De groep was erg actief tussen 2011 en 2014. Toen leek ze verdwenen nadat beveiligingsfirma's erover hadden bericht. 

Sinds eind 2015 is Dragonfly er opnieuw. Symantec heeft daarom over Dragonfly 2.0. De afgelopen maanden was er sterk verhoogde activiteit.

De groep staat ook bekend onder een resem andere namen, zoals Energetic Bear, Koala, Iron Liberty en Crouching Yeti.

Meer over

Wilt u belangrijke informatie delen met De Morgen?

Tip hier onze journalisten


Op alle verhalen van De Morgen rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234