Dinsdag 28/03/2023

Reconstructie't Stad plat na cyberaanval

Hoe Antwerpen gehackt werd: ‘De cyberaanvallers zijn tot in het hart van het systeem geraakt’

In Antwerpen zijn heel wat stads­diensten getroffen, wat erop wijst dat de hackers tot zeer diep in het netwerk zijn geraakt. Beeld DM
In Antwerpen zijn heel wat stads­diensten getroffen, wat erop wijst dat de hackers tot zeer diep in het netwerk zijn geraakt.Beeld DM

De digitale dienstverlening ligt al bijna twee weken plat terwijl honderden gigabytes aan gevoelige informatie over paspoorten en adressen gestolen zijn. De geslaagde cyberaanval op de stad Antwerpen is waarschijnlijk een van de grootste, zo niet de allergrootste, in zijn soort in dit land. Hoe kon dit gebeuren?

Bart Eeckhout

Verrassing alom. De naam ‘Antwerpen’ is gisterenmiddag plots verdwenen van de site van hackersorganisatie Play op het darkweb. Wat dat betekent, is nog onduidelijk, maar het dreigement dat de tonnen gestolen gegevens op straat belanden, lijkt opgeheven. Heeft de stad de criminelen dan toch betaald? Burgemeester Bart De Wever (N-VA), die twee weken zwijgt over de kwestie, zit alleszins vanochtend in De Zevende Dag. De gemeenteraad krijgt morgen meer uitleg.

Daarmee lijkt het einde in zicht van een kraak die begon op Sinterklaasnacht, van 5 op 6 december. Bij Digipolis, de zelfstandige dienst die de informatica beheert voor de stad Antwerpen, merken ze dan dat er wat misgaat. De telefoonlijst van Zorgbedrijf Antwerpen, dat de ziekenhuizen en zorginstellingen in de stad overkoepelt, moet een update krijgen. Een routineklus, tot blijkt dat er iets niet pluis is, zo bevestigen twee onafhankelijke bronnen aan deze krant. Toepassingen kunnen niet meer geopend worden, bestanden zijn versleuteld. De IT’ers weten meteen: dit is een cyberaanval.

De eerste blikken gaan, logischerwijs, naar het Zorgbedrijf. Een mastodont van een organisatie, met een massa digitale data over patiënten en zorgverlening is een interessant doelwit voor hackers. Directeur Johan De Muynck wordt in allerijl uit bed gebeld. Zo’n aanval op een grote zorginstelling zou niet de eerste zijn. In 2017 legden criminele hackers met behulp van de beruchte WannaCry-gijzelsoftware (ofte ransomware) de Britse nationale gezondheidsdienst NHS lam. Ondergaat het Zorgbedrijf nu hetzelfde lot?

Het antwoord, zo blijkt al snel, is neen. Het is erger. Het probleem zit niet bij het Zorgbedrijf, het zit bij Digipolis zelf. Alle diensten die met de IT-poot van de stad verbonden zijn, riskeren besmet te zijn. Dat zijn er nogal wat: zowat alles wat de stadsadministratie organiseert per computernetwerk loopt via Digipolis. Er rest het stadsbestuur geen enkele andere keuze dan al die diensten tijdelijk te annuleren. Hoelang ‘tijdelijk’ is? Niemand die het weet.

En zo wordt de Antwerpenaar op 6 december wakker in een andere stad. Een stad onder virtueel vuur. Een kort Belga-bericht verspreidt het nieuws vanaf 10.55 uur: “De stad Antwerpen is in de nacht van maandag op dinsdag het slachtoffer geworden van een cyberaanval. Dat bevestigt de stedelijke administratie. De digitale dienstverlening ondervindt daardoor hinder.” De eerste berichten klinken weinig ophefmakend. Er is sprake van impact op “de interne werking van de diensten en de dienstverlening aan burgers” en er wordt “gepoogd de back-ups weer online te krijgen”.

Dat zal niet lukken. Een eerste interne reconstructie bij Digipolis leert waarom. De cybercriminelen die de aanval hebben ingezet, zijn al langer actief in het informaticanetwerk van de stad. Sporen gaan volgens de ene bron “meerdere dagen” terug, volgens een andere zelfs tot 24 november. In die tijd zijn de hackers het netwerk binnengedrongen, hebben ze rondgeneusd en hun malware achtergelaten en hebben ze ook de back-ups aangetast.

Met pen en papier

Met het verstrijken van de eerste dag wordt duidelijk hoeveel diensten getroffen zijn. De rampberichten krijgen iets anekdotisch, romantisch zelfs bijna. Loketbeambten die weer op pen en papier moeten overschakelen, een school die op Facebook vrijwillige tolken zoekt om de oudercontacten te begeleiden, nu de tolkendienst onbereikbaar is. Het Nieuwsblad meldt zelfs een stadsdienst waar men de automatische deuren barricadeert, uit angst dat ze anders in het digitale slot vallen.

Maar de toestand is wel degelijk ernstig. Zorgbedrijf Antwerpen is – gelukkig – maar zijdelings geraakt, maar ondervindt toch flinke hinder omdat bijvoorbeeld de digitale agenda met de medische voorschriften van woon-zorgbewoners onbruikbaar is. Het OCMW kan geen attesten meer afleveren, zelfs het mailverkeer van de politie loopt mank. Gevreesd wordt dat, als de datagijzeling blijft aanhouden, ook de loonadministratie voor de ambtenaren een probleem wordt.

En er is nog iets. Burgers zien enkel de bomen: de vele diensten die onbeschikbaar zijn. Vervelend, maar voorlopig niet meer dan dat. Experts zien het bos. Als zoveel toepassingen op zwart moeten, kan dat alleen maar betekenen dat de cyberrovers tot diep in het netwerk zijn geraakt, zeer diep. Mogelijk tot in de zogenoemde ‘active directory’, het centrale beheer van het netwerksysteem, het digitale zenuwcentrum van de stad. Als een IT-netwerk een bank is, dan is de active directory de kluis. “Een andere conclusie is bijna onmogelijk”, zegt iemand met kennis van zaken. “Als zoveel toepassingen ‘gecompromitteerd’ zijn, dan moet de cyberaanval tot in het hart van het systeem geraakt zijn.”

Heeft Antwerpen gewoon pech gehad of zit er een fout in het beleid? Het antwoord is genuanceerd. Andere overheden, van het ministerie van Defensie vorig jaar tot de stad Diest deze week, werden ook het slachtoffer van een aanval. Toch valt het op dat de kraak in Antwerpen wel erg vlot en diep in het systeem is geraakt. In de bevoegde commissie van de gemeenteraad zegt schepen van Digitalisering Erica Caluwaerts (Open Vld) dinsdag dat de stad “niet beschaamd” moet zijn over haar cyberveiligheidsbeleid. Boven op een investering van 4,8 miljoen euro is in november vorig jaar ook afgesproken om tussen nu en 2024 nog eens 14,6 miljoen te besteden aan cyberveiligheid. De aanval komt met andere woorden net te vroeg.

Schepen Caluwaerts zegt nog iets op die commissiezitting. De extra investering kwam er als gevolg van twee audits: een van consultancypartner Deloitte, en een door de Vlaamse overheid. Die audits, die nooit gepubliceerd zijn, blijken erg kritisch te zijn voor het digitale beleid. Deloitte stipt aan dat Digipolis ondergefinancierd is, maar ook dat het met te veel en verouderde systemen moet werken en dat “beveiliging nooit een beleidsdoelstelling op zich” was.

De uitleg van de schepen dat juist daarom de extra investering afgesproken is, voldoet niet voor de oppositie. “De vraag om meer middelen vanwege Digipolis is niet nieuw en ze is terecht gebleken”, zegt Niel Staes, die zich voor Groen in het dossier vastgebeten heeft. “De historische onderinvestering staat in schril contrast met de massale middelen die naar ordehandhaving en lokale politie gaan: 20 procent van het totale stadsbudget. De vraag dringt zich op of burgemeester De Wever (N-VA) niet de verkeerde prioriteiten en de verkeerde oorlog heeft uitgekozen.”

Dat ziet de burgemeester anders. “Digipolis moet de informatica overzien van tientallen diensten”, antwoordt zijn woordvoerder. “Dat stroomlijn en bescherm je niet zomaar op korte termijn. Die operatie is volop aan de gang, maar we worden nu getroffen door een zware tegenslag. Je kan niet zeggen dat we ons niet bewust zijn van het cyberprobleem. Juist nu voeren we vanuit de stad een campagne om onze burgers te waarschuwen voor de risico’s. En ja, wij zien de bittere ironie daarvan zelf in.”

‘De vijand luistert mee’

Over hoe de cyberkraak in Antwerpen is kunnen gebeuren geven burgemeester noch schepenen ook maar een snipper commentaar. “Dit is een oorlog. De vijand luistert mee”, zegt een Antwerps politicus die zelfs dat niet on the record wil verklaren. Veel opties zijn er nochtans niet.

“Dit gaat niet om supergesofisticeerde technieken, zoals je die ziet bij spionage of een cyberoorlog tussen staten”, vertelt Bart Preneel, hoogleraar computerbeveiliging aan de KU Leuven. “Naar alle waarschijnlijkheid gaat het om een bekend pakket ransomware, kwaadaardige software (malware) die ingezet wordt om bestanden te gijzelen. Die ransomware raakt het systeem binnen door een fout uit te buiten: een zwak paswoord, een phishingmail die geopend wordt of een gat in de software dat niet dichtgemaakt is.”

“Het is echt stom”, zegt een IT-consulent. “Dit zijn exact de dingen waar elke IT-dienst in elk bedrijf voortdurend op hamert. Verander je paswoord, gebruik dubbele authenticatie, voer beveiligingsupdates uit, open geen mail zonder nadenken... Mensen vinden dat lastig. En dan is het de schuld van IT als op een dag alles weg is.”

Ook het vervolg van de kraak verloopt volgens een redelijk vast patroon. Professor Preneel: “Eerst vinden de hackers een gat in je verdedigingsmuur. Zodra ze binnen zijn, gaan ze op onderzoek, wat we de laterale beweging noemen. Als ze je zenuwknoop vinden, kan de diefstal beginnen. Bestanden worden versleuteld, zodat de eigenaar er niet meer bij kan.” Pas dan begint de gijzeling: in ruil voor losgeld krijg je je eigendom terug.

“Tegenwoordig wordt een dubbele chantage gebruikt”, legt Preneel nog uit. “Je moet niet alleen betalen om je spullen terug te krijgen, maar ook om te vermijden dat ze openbaar worden gemaakt. Op die manier willen hackers de kans op betaling opdrijven. Instellingen of bedrijven zouden kunnen overwegen om de dieven met hun buit te laten zitten en zelf weer een nieuw systeem uit te bouwen op basis van een back-up. Door te dreigen om alles op het net te gooien, krijgt de schade een nieuwe dimensie. Privébedrijven riskeren hun geheimen aan de concurrentie bloot te geven, overheden zitten op massa’s gevoelige privé-informatie van burgers.”

Zo is het wellicht ook in Antwerpen gegaan. ‘Wellicht’, want alle officiële instanties houden de lippen stijf op elkaar over de ware toedracht. Slachtoffer (het stadsbestuur) en dader (de hackersbende) spelen sinds de kraak een tactisch spel. Wil de ene de schade zoveel mogelijk minimaliseren, dan wil de andere juist bluffen om de prijs van het losgeld op te drijven.

Play

Die ‘andere’ is dus hackersgroep Play, die de verantwoordelijkheid voor de kraak opeiste. In een droog bericht op de eigen site op het darkweb, het niet rechtstreeks toegankelijke deel van het internet, stallen ze op zondag 11 december de buit uit: 557 gigabyte aan data: “Personal information, passports, ID’s, financial documents and many others.” Of die claim klopt, valt niet te achterhalen, maar de stad spreekt hem ook niet tegen.

Niet alleen de dienstverlening is met andere woorden verstoord, massa’s gevoelige privédata van burgers dreigen op straat te belanden. Komende maandag meer bepaald, zo meldt Play nog op zijn site, als Antwerpen niet met centen over de brug komt. “Verontrustend nieuws”, vindt hackingexpert Inti De Ceukelaire. “De mogelijke inbreuk op de privacy van vele Antwerpenaren is één zaak, maar er is ook een risico op identiteitsdiefstal, als hackers paspoorten of identiteitskaarten publiceren, waarna andere criminelen ermee aan de haal gaan.”

Over die schimmige organisatie Play is voorts niet zo gek veel geweten. “Ze lieten voor het eerst van zich horen in Uruguay, maar dat hoeft helemaal niet te betekenen dat ze uit Latijns-Amerika komen”, zegt De Ceukelaire. “Dat kan evengoed een lucky shot geweest zijn.”

Interessanter is dat Play tot de Conti-familie gerekend wordt. Conti is een berucht netwerk van cybercriminelen van wie verondersteld wordt dat ze vanuit Rusland opereerden. Geen toeval, meent Bart Preneel. “Van het Russische regime is geweten dat het geen poot uitsteekt naar cybercriminelen, zolang ze maar niet in eigen land iets uithalen. Poetin & co. vinden het juist prima dat misdadigers westerse bedrijven of overheden in het vizier nemen.” Het Conti-netwerk spatte evenwel uit elkaar over de oorlog in Oekraïne. Toen Conti zich achter Vladimir Poetin schaarde, trokken misnoegde hackers de virtuele deur achter zich dicht. Ze deden dat met de publicatie op Twitter van ‘Conti Leaks’, een gigantisch datalek van informatie en chatverkeer uit het Conti-netwerk.

Het lek geeft een verbluffend inzicht in hoe organisaties als Conti en dus wellicht ook nakomeling Play werken. Die realiteit staat veraf van het clichébeeld van puisterige nerds in een computerzaal. De hackersmisdaadwereld blijkt juist professioneel gestructureerd, bijna zoals een legaal bedrijf. Elk speelt zijn rol in een strakke hiërarchie. Preneel: “Voor de hack zijn er IT’ers aan boord, maar er werken ook specialisten in cryptofinanciering mee om het losgeld, in bitcoin, wit te wassen of juristen voor de onderhandelingen.”

Opmerkelijk: op het darkweb vind je vacatures voor wie aan de slag wil in de georganiseerde cybercriminaliteit. Die organisaties verkopen tegenwoordig hun ransomware overigens per licentie aan kleinere groepen die ook aan het hacken willen slaan. Dat systeem van ‘ransomware as a service’ werkt ook alweer net zoals in de bovenwereld met huursommen, of commissies op het opgehaalde losgeld. Grote bendes adverteren op het darkweb met hun inhuurbare ransomware.

Flink risico

Hoeveel Play precies van de stad Antwerpen wil, is onbekend. Een expert in Het Laatste Nieuws gokte op een bedrag van rond de 190.000 euro, maar een miljoenenbedrag is evengoed mogelijk. Onderhandelingen over de prijs zijn meestal in handen van specialisten, vaak uitgestuurd door de verzekeraar. Het is niet geweten of de stad verzekerd is voor dit soort malheuren. Hoe dan ook staat Antwerpen voor grote kosten voor het herstel van zijn IT-netwerk. Een cyberaanval op Baltimore, een Amerikaanse stad die ongeveer even groot is als Antwerpen, kostte de schatkist daar in 2019 zo’n 17 miljoen euro.

Officieus klinkt het bij alle door De Morgen gecontacteerde stemmen in het stadsbestuur dat er níét zal betaald worden. “Als je betaalt, stap je in een soort abonnementsformule”, zegt een betrokkene bij het bestuur. “Wie weet wat hebben ze nog in je netwerk achtergelaten. Voor je het weet staan ze daar volgende maand weer.” Maar de verwijdering van Antwerpen van de site van Play lijkt het tegendeel te suggereren. Mogelijk is er dan toch betaald.

Principieel valt het voor een overheid nochtans moeilijk uit te leggen dat geld gegeven wordt aan een criminele organisatie. “Uiteindelijk financier je dan als overheid de volgende aanvallen van een georganiseerde misdaadgroep”, vindt professor Preneel. “Er gaan stemmen op om het betalen van cybercriminelen zelfs te verbieden, maar ik weet niet of dat het probleem oplost. Als een bedrijf zijn omzet naar nul ziet gaan en zijn geheimen naar de concurrentie, zal het snel over de brug komen, verbod of niet. Maar goed, een goede kant zit hier sowieso niet meer aan. Als de stad niet betaalt, neemt ze ook flinke risico’s, want dan kunnen alle privédata van je burgers dus op straat liggen.”

Of Antwerpen dat risico neemt, zal dus vandaag of morgen al blijken. Op de site van Play, waar Antwerpen geschrapt is, staan namen van instellingen en bedrijven die niet betaalden. Met vermelding: ‘published full’.

Update: dit verhaal werd aangevuld met nieuws van de verwijdering van de naam ‘Antwerpen’ van de site van Play

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234