Zondag 13/06/2021
Hackers voerden dinsdag een grote aanval op overheidssites uit.

Vijf vragenCyberaanval op overheid

Na de cyberaanval op onze overheid: ‘Dit waren geen amateurs die in een kelder met een computer spelen’

Hackers voerden dinsdag een grote aanval op overheidssites uit.Beeld ANP XTRA

Cybercriminelen hebben dinsdag een ongeziene aanval uitgevoerd op Belnet, het internetnetwerk van de overheid. Wie er precies achter zat, zullen we niet snel weten. Maar dat het geen beginners waren, is voor directeur Dirk Haex wel duidelijk.

1. Wat is er gebeurd?

Tax-on-web of het portaal om een afspraak te maken voor een vaccinatie: een heel aantal sites van de overheid was dinsdag tijdelijk niet beschikbaar omdat hackers via 257.000 IP-adressen uit 29 landen een aanval uitvoerden op Belnet. Dat is zowat de internetprovider van de overheid, die diensten levert aan het hoger onderwijs, onderzoeksinstellingen en andere staatsbedrijven. Ook de netwerken van Telenet en Proximus werden geviseerd, maar ze bleken beter bestand tegen de aanval.

Concreet ging het om een zogenaamde DDoS-aanval (distributed denial of service) waardoor het netwerk uiteindelijk blokkeerde. “Om 11 uur merkten we al extra trafiek op het netwerk”, zegt Dirk Haex, directeur van Belnet. “Vanaf de middag is dat crescendo gegaan en was er zoveel trafiek naar de sites van onze klanten dat een groot deel van ons netwerk verzadigd geraakte. De aanval heeft geduurd tot ongeveer 17 uur, dan was alles weer normaal.”

2. Hoe gaat zo’n DDoS-aanval precies in zijn werk?

Voor een DDos-aanval maakt een hacker(sgroep) gebruik van een botnet. Dat is een netwerk van honderden of duizenden computers die zijn geïnfecteerd met een virus zodat je ze van afstand samen kunt aansturen. “Die computers zenden vervolgens zo veel verzoeken naar het doelwit dat het de toestroom niet meer aankan”, zegt Andries Bomans van het Centrum voor Cybersecurity (CCB). “Uiteindelijk worden de servers van het doelwit dan onbruikbaar.”

Met een DDoS-aanval veroorzaken de cybercriminelen dus een gigantische opstopping van het netwerk, alsof een autostrade zo vol loopt met auto’s dat niemand nog vooruit of achteruit kan. Om de situatie op te lossen hebben de experts van Belnet bepaalde filters geactiveerd. Vergelijk het met het plaatsen van rode lichten, zodat sommige auto’s door kunnen en andere moeten wachten.

“Maar de aanvallers hebben hun tactiek een paar keer veranderd”, zegt Haex. “De aanval verliep in drie grote golven, waarbij ze telkens op een andere manier die filters probeerden te omzeilen. Het is alleszins duidelijk dat dit professionals waren, dit waren geen amateurs die in een kelder met een computer zaten te spelen. We zijn nu in gesprek met de computermisdaadeenheid (FCCU) van de federale politie, die alle gegevens aan het verzamelen is in het kader van een onderzoek.”

null Beeld DM
Beeld DM

3. Wie kan erachter zitten?

Het onderwijsplatform Smartschool waarschuwde vorige maand al dat het vaak met zulke aanvallen te maken heeft. Die blijken dan vooral het werk van scholieren die het afstandsonderwijs willen lamleggen. In het parlement werden door de cyberaanval dinsdag zowat alle commissiezittingen geannuleerd. Wouter De Vriendt, fractieleider van Groen, wees erop dat een getuigenis op de agenda stond over mensenrechtenschendingen bij de Oeigoeren door China. Toeval?

“Het is heel moeilijk om na te gaan wie er achter zo’n operatie zit”, zegt Bomans. “Daar is zeer veel onderzoek voor nodig. Een botnet is te koop op het darkweb, dus iedereen kan zich zo’n netwerk aanschaffen. Maar het botnet van deze aanval was zo groot dat het eerder om een professionele groepering lijkt te gaan.”

4. Hoe vaak komt zo’n grote DDoS-aanval voor?

Zeldzaam zijn zulke aanvallen zeker niet. Belnet maakt er minstens één per week mee, zegt de woordvoerder. Maar vaak zijn dat kleinere aanvallen die de automatische verdedigingssystemen al de baas kunnen. Bij grotere DDoS-aanvallen moeten de experts wel ingrijpen.

Belnet kreeg dinsdag hulp van het CERT, een soort spoedteam van het Centrum voor Cybersecurity, om het offensief af te slaan. Precieze cijfers over hoe vaak zulke aanvallen voorkomen in ons land heeft het CCB niet. In 2019 moest het centrum al 35 keer tussenkomen, omdat een bedrijf te kampen had met een grote DDoS-aanval. Vorig jaar was dat 38 keer.

Met een DDoS-aanval kunnen hackers wel een website of een netwerk platleggen, maar gegevens stelen lukt niet. Bomans ziet drie redenen waarom ze dan toch tot zulke acties overgaan. “De hackers kunnen met een DDoS de reputatie van een bedrijf of overheid aantasten”, zegt hij. “Zo’n aanval komt vaak in de pers en trekt dus behoorlijk wat aandacht. Soms willen ze economische schade toebrengen door bijvoorbeeld een webshop plat te leggen. De DDoS-aanval kan ten slotte een schijnbeweging zijn voor een andere cyberaanval die ze willen uitvoeren.”

5. Is de overheid wel voldoende beschermd?

Belnet zelf wil nu eerst een post-mortemanalyse maken van deze aanval om te kijken of de provider zijn verdediging nog moet versterken. Premier Alexander De Croo (Open Vld) wil alvast bijkomende stappen zetten om ons land beter te beschermen. Wat kenners zorgen baart is niet dat DDoS-aanvallen vaak voorkomen, maar wel dat ze steeds groter en complexer worden.

“Ook de botnets worden alsmaar groter”, zegt cyberanalist Nathalie Van Raemdonck (VUB). “Want naast computers kunnen er ook smart-tv’s in zitten of andere toestellen die verbonden zijn met het internet. Maar een aanval van deze grootte is toch al uitzonderlijk. Uiteindelijk is Belnet ook vrij snel rechtgekrabbeld. Dat er websites even onbeschikbaar waren is vervelend, maar er is geen ramp gebeurd.”

Meer over

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234