AnalyseCyberoorlog in Rusland
Waarom één van de eerste Russische kruisraketten op een Oekraïens datacentrum werd afgevuurd
De oorlog in Oekraïne is gruwelijk ouderwets. Verkleumde soldaten vechten voor hun leven in modderige loopgraven. Maar de oorlog is ook angstaanjagend modern. De uitkomst ervan zal mee bepaald worden door artificiële intelligentie, cyberspionnen en malware. ‘Dit is het eerste dataconflict uit de geschiedenis.’
De vroege ochtend van donderdag 24 februari. Terwijl de wereld nog slaapt, is Rusland aan zijn ‘speciale militaire operatie’ tegen buurland Oekraïne begonnen. Het regent Russische kruisraketten op Kiev.
Militaire doelen zoals kazernes en luchtmachtbasissen worden aangevallen. Maar, een van de allereerste Russische kruisraketten wordt afgevuurd op het datacentrum in Kiev. De bedoeling is duidelijk: een lobotomie uitvoeren op het digitale brein van de hoofdstad. Rusland wil verhinderen dat president Volodymyr Zelensky nog kan communiceren met zijn leger, bevolking en westerse bondgenoten.
Voor Microsoft is de Russische invasie geen verrassing. Het softwarebedrijf heeft meer dan 8.500 mensen in dienst die dag en nacht opvolgen wat er zich in cyberspace afspeelt. Tot 43 biljoen datasignalen per dag zijn dat. In het hoofdkantoor in Redmond, een stad aan de Amerikaanse westkust, wordt woensdagavond laat al een eerste ontploffing waargenomen: die van het aantal Russische cyberaanvallen tegen Oekraïne.
Wiper malware die soms maanden op voorhand is geplant door hackers komt plots tot leven. Die malware probeert massaal software en data van computers te vernietigen. De machthebbers in Washington worden gealarmeerd. Er gaan noodsignalen uit naar Kiev: opgepast, het uur van de waarheid lijkt aangebroken.
“Net voor de invasie zagen we twee dingen: grote cyberaanvallen vanuit Rusland en een snelle stijging van het aantal fakenewsoperaties”, zegt Bram Couwberghs, topman van Microsoft West-Europa. “Zo begonnen Russische overheidsaccounts valse berichten te verspreiden over ‘biolabs’ in Oekraïne. Dit soort fake news sluimerde al maanden online. Het ging terug op een YouTube-filmpje van een of andere pseudowetenschapper, maar net voor de invasie werd er een megafoon op gezet. Ook Russische en Chinese media begonnen de berichten te verspreiden. Toen wisten we: er is iets op til. Net hetzelfde met al die cyberaanvallen.”
Tijd
Nu, tien maanden later, is de verwoesting in Oekraïne totaal. Honderdduizend doden, miljoenen vluchtelingen, voor vele miljarden euro’s schade. We weten opnieuw wat het woord ‘oorlog’ inhoudt. En zoals in elke oorlog wordt de slachting aangedreven door de nieuwste technologie van die tijd. In WO I waren dat machinegeweren, vliegtuigen en granaten. Tijdens WO II de eerste computers, ‘vliegende bommen’ met raketmotoren en atoomwapens. Vandaag zijn het kwaadaardige software, big data, artificiële intelligentie.
Volgens Couwberghs - een voormalige ontmijner van het Belgisch leger met ervaring in Afghanistan en Libanon - is de oorlog in Oekraïne het eerste ‘dataconflict’ uit de geschiedenis.
In tegenstelling tot de vorige oorlogen van deze eeuw staan in Oekraïne twee landen tegenover elkaar die ook technologisch tot de tanden toe bewapend zijn. Het gevecht op het slagveld zelf wordt gekoppeld aan harde digitale oorlogsvoering. Zo gaan de Russische bombardementen van Oekraïense kritische infrastructuur zoals energiecentrales en watervoorzieningen hand in hand met malware-aanvallen tegen die doelen. We zitten in Oekraïne intussen aan de achtste nieuwe generatie Russische malware die wordt ingezet.
Omgekeerd heeft westers inlichtingenwerk, mede aangedreven door artificiële intelligentie en big data om de digitale datatoevloed te verwerken, de Oekraïense krijgsmacht gouden diensten bewezen bij het ‘vinden’ van Russische doelen. Het was geen toeval dat Oekraïense soldaten in de chaotische beginfase van de oorlog - de Russische rush naar Kiev - vaak perfect wisten waar ze moesten opduiken om vijandige tanks aan gort te schieten.
Couwberghs: “In een oorlog draait het om reactietijd. Wie reageert het eerst? Hoelang heb je nodig om een bepaalde inlichting te krijgen, die te verwerken en gepast te reageren, bijvoorbeeld door een bom te laten vallen op een doel of mensen snel te evacueren? In Afghanistan en Irak waren we onze tegenstanders - de taliban en terreurgroepen - meestal te snel af. Technologisch liepen ze achter. Nu is dat anders. De druk is hoog. In Afghanistan kon een beslissingscyclus tot 72 uur vergen. In Oekraïne zijn dat nog minuten.”
Musk
Een vaststelling na een klein jaar oorlog: de vrees dat Russische cyberaanvallen het moderne leven in Oekraïne onmogelijk zouden maken is niet uitgekomen. De Oekraïense cyberdiensten houden kranig stand. In de met Engels doorspekte taal van Couwberghs: “Defence beats offence - voorlopig.” Hij geeft daar een aantal redenen voor. In de eerste plaats is er de hulp van westerse overheden en technologiebedrijven.
Het gaat dan om Microsoft zelf, dat sinds de start van de oorlog 400 miljoen euro heeft vrijgemaakt. Maar ook andere techreuzen, zoals Alphabet, Meta en Starlink, doen hun duit in het zakje. Zo verzorgt Starlink, een van de vele bedrijven van zakenman Elon Musk, de satellietverbinding boven Oekraïne. Die is onder meer belangrijk voor de aansturing van drones. Geen droneaanvallen zonder satellietverbinding.
Een andere reden voor het Oekraïense succes is volgens Couwberghs de beslissing van Zelensky om een groot deel van zijn gevoelige data in allerijl naar de cloud te verhuizen. “Die beslissing is twee dagen na de Russische invasie genomen. Vaak zijn overheden hier terughoudend in. Je eigen data, dat is je moderne goudreserve, die wil je het liefst dichtbij houden. Maar wat we zien, is dat de cloud ervoor zorgt dat die data veel minder kwetsbaar zijn voor fysieke aanvallen én voor digitale aanvallen. De bescherming die de cloud biedt, bijvoorbeeld via automatische software-updates, leidt tot minder menselijke fouten.”
De mens is nu eenmaal een zwakke schakel. Couwberghs: “Ons bedrijf heeft een aantal eliteteams - cyberspecialisten die per vliegtuig de wereld rondreizen als klanten grote problemen hebben. Je kunt je niet voorstellen hoe vaak die ‘black belts’ ter plekke gewoon de laatste update moeten aanklikken. Veel ellende start banaal. Een patch die niet wordt doorgevoerd omdat iemand ziek is. Of iemand die denkt: dat doe ik na het weekend wel.”
Negentien Oekraïense overheidsdepartementen hebben intussen hun data overgebracht naar de cloud. Vaak als back-up, soms ook volledig. Al is dat niet zaligmakend. Cijfermateriaal van Microsoft toont aan dat Russische hackers - onder meer de groepen verbonden aan de gevreesde inlichtingendiensten - zich al lang niet meer beperken tot Oekraïense overheidsdiensten. Ook media, ngo’s, IT-bedrijven en denktanks worden doelbewust geviseerd in de zoektocht naar een zwakke plek in de Oekraïense cyberverdediging.
Ervaring leert dat de beschermingsmuren niet overal altijd even hoog zijn. De spraakmakende Russische hack van de Amerikaanse Democratische partij in 2016 begon met een ‘simpele’ vervalste mail van Google naar een hoge partijmedewerker. Spear phishing heet dat in het jargon.
“De tijd tussen de breach - de inval - en de hack zelf wordt ook steeds kleiner”, duidt Couwberghs. “Het gaat echt snel. Als ze jouw systeem binnenkomen, duurt het een uur vooraleer al je data zijn binnengehaald. Nog een uur later zijn ze van jouw computer overgesprongen naar die van je collega’s in het hele netwerk.”
Hoodie
Een idee waar we dringend van af moeten, is dat cyberaanvallen worden uitgevoerd door tieners in een hoodie die gebogen over hun laptopscherm online inbraken uitvoeren. Het gaat vandaag om professionele ‘misdaadsyndicaten’ die het net onveilig maken met behulp van hypergeavanceerde technologie. Vaak voor eigen rekening - dit jaar zullen cybercriminelen wereldwijd 6 biljoen euro (!) aan buit binnenhalen - maar regelmatig ook in opdracht van dictatoriale regimes.
Vooral Rusland, China, Noord-Korea en Iran worden met de vinger gewezen door het Westen. Elk lid van die ‘grote vier’ heeft zo zijn specialiteit.
Rusland legt zich vooral toe op malware, China op economische en intellectuele spionage, Noord-Korea op de diefstal van cryptomunten (middelen waarmee dictator Kim Jong-un zijn nucleair programma bekostigt). Iran is verlekkerd op alles wat aartsvijand Israël kan beschadigen. Een voorbeeld: in november van dit jaar gingen hackers in Vietnam aan de haal met 670 miljoen euro aan Smooth Love Potion, het cryptogeld van spelers van een populair Pokémon-achtig videospel. Het was een van de grootste digitale cryptokraken uit de geschiedenis. De FBI wees die toe aan Noord-Korea.
“Qua cyberaanvallen focust Rusland nu uiteraard op Oekraïne, maar ook nog altijd op de VS en de grote NAVO-bondgenoten van Oekraïne. Het VK en Polen onder meer”, zegt Couwberghs.
Bij fake news valt op: Rusland richt zich vaak op de niet-Engelstalige wereldbevolking. Zo hebben Russia Today en Sputnik News aparte Spaanstalige kanalen die massaal desinformatie pushen. Met succes. Couwberghs: “In de Spaanstalige wereld zijn RT en Sputnik News groter dan CNN en BBC. Ze leveren er nieuwsberichten op maat, over corona of de oorlog in Oekraïne. Toen in oktober plots Haïtianen op straat stonden met Russische vlaggen en foto’s van Poetin wisten we: dit is niet normaal.”
Binnen Europa is Duitsland een geliefkoosd doelwit. In het land wonen 6 miljoen Russischsprekenden. Websites zoals anti-spiegel.ru, uncutnews.ch en de Duitstalige versie van Russia Today proberen er onrust te stoken. Anti-Spiegel (dat zich afzet tegen het gereputeerde blad Der Spiegel) heeft de laatste maanden artikels geplaatst met als titel ‘Met de hulp van de groenen: de VS zijn van plan om de Duitse economie te vernietigen’ en ‘Nord Stream-pijpleiding opgeblazen: waarschijnlijk de domste propaganda aller tijden’.
Ook deepfakevideo’s die soms amper te onderscheiden zijn van de realiteit maken hun opgang. In maart lanceerden Russische twitterbots een vervalst filmpje van Zelensky die de onvoorwaardelijke overgave van Oekraïne aan Rusland aankondigde. “We mogen dat gevaar niet onderschatten”, benadrukt Couwberghs. “Het kan echt héél ver gaan, bijvoorbeeld een deepfake van een Oekraïense generaal die via een gehackte videovergadering een vals bevel geeft aan zijn troepen. Zo kan je grote ellende veroorzaken.”
Cybermacht
Als thuisbasis van de Europese Unie en de NAVO loopt ook België in het vizier van buitenlandse hackers. Van Russische groepen uiteraard. Volgens Microsoft heeft 3 procent van alle Russische aanvallen dit land als doel. Maar ook de Chinezen weten Brussel te vinden. In juli wees de overheidsdienst Buitenlandse Zaken Chinese hackers aan als daders achter een grote aanval op de servers van het Belgische leger. Een aanval die er eind 2021 onder meer voor zorgt dat sommige militairen weken niet konden mailen.
België lijkt zich bewust van het groeiende digitale gevaar. Eind oktober heeft het leger een eigen Cyber Command boven het doopvont gehouden. Het is de bedoeling dat deze nieuwe eenheid van de militaire inlichtingendienst straks uitgroeit tot een volwaardige component binnen de krijgsmacht, naast de land-, lucht- en zeemacht. Het budget voor het burgerlijke Centrum voor Cyberveiligheid (CCB) is de afgelopen jaren verdubbeld. Er werken nu zowat 100 mensen. In het derde kwartaal van dit jaar heeft het centrum 5.000 Belgische bedrijven aangeschreven over kwetsbaarheden in hun cyberverdediging.
Katrien Eggers, woordvoerder van het CCB, laat per mail weten dat bij de start van de oorlog in Oekraïne het aantal cyberaanvallen op Belgische bedrijven een stevige dip maakte. “Veel cybercriminele groepen zijn samengesteld uit Russen en Oekraïners. Door de oorlog zijn veel van die organisaties verdeeld en uiteengevallen.” Helaas, sinds de zomer vinden weer meer aanvallen plaats. Play, de criminele organisatie achter de hack van de stad Antwerpen, komt wellicht voort uit een versplinterde Russisch-Oekraïense groep.
“Op de ranking van landen die het vaakst worden aangevallen staan de VS, het VK en Oekraïne bovenaan. Daarna is er een groot gat en volgen landen zoals Duitsland, Japan en ook België. Als ‘kleintje’ zitten we dus wel in de categorie net onder de top”, zegt Couwberghs. “Het is trouwens interessant om de zaken ook eens om te draaien: welke landen worden weinig aangevallen? Dan kom je uit bij de Baltische staten. Daar wordt al langer veel aandacht besteed aan cyberveiligheid. En die inspanningen helpen.”
Bio
Bram Couwberghs (42)
Defence & Intelligence Leader voor Microsoft West-Europa
Heeft onder meer een verleden bij IBM
Voormalig ontmijner voor het Belgische leger, vandaag nog reservist
Woont in Arendonk