Zelfs Rusland houdt grote cyberaanvallen maar eventjes vol

Soms moet je een beetje geluk hebben. En geluk hadden ze, bij het Oekraïense energiebedrijf waar het personeel op een vrijdagmiddag vorig jaar in april al aan het weekend was begonnen. Veel computers waren al uitgeschakeld, en zo konden de gegevens op de harde schijven niet worden verwoest door de ‘wipersoftware’ die Russische hackers even na vijven hadden willen activeren.

Onderzoekers van beveiligingsbedrijf ESET waren op dat moment al een onderzoek begonnen, op verzoek van de Oekraïense autoriteiten. „Voorheen waren aanvallen vooral gericht op de industriële kant van energiecentrales”, vertelt Dave Maasland, topman van de Nederlandse tak van ESET. „Maar hier wilden de aanvallers ook systemen op de kantoren kapotmaken, en de IT-omgeving. Alsof Eneco van de ene op de andere dag niet meer bestaat, digitaal”, vergelijkt hij. „Hoe ga je de boel dan weer opstarten?”

En die industriële kant hadden de aanvallers wel degelijk ook in hun vizier gehad: toegesneden software moest de vermogenschakelaars in verdeelstations van het elektriciteitsnet saboteren, wat tot grote fysieke schade had kunnen leiden. „Het was de meest complexe, en in potentie een van de gevaarlijkste cyberaanvallen sinds begin januari”, laat Victor Zhora per email weten. Zhora is binnen de Oekraïense overheid verantwoordelijk voor de cyberbeveiliging. Als de aanval niet was afgeslagen, hadden volgens hem zo’n twee miljoen mensen zonder stroom gezeten.

Digitaal Armageddon

Dat zou hebben gepast bij de verwachting dat de volgende grote oorlog zich voor een flink deel zou afspelen in cyberspace – volgens militaire analisten een ‘vijfde domein’ naast het land, de zee, het luchtruim en de ruimte. Velen voorspelden dat een Russische invasie zou beginnen met een golf van verwoestende hackaanvallen, die telefoon- en internetverbindingen zouden lamleggen, de stroomvoorziening zouden uitschakelen, en het hele land in chaos zouden storten, waarna de Russen Oekraïne eenvoudig zouden kunnen binnenrijden.

Lees ook Hackers: saboteurs die hard toeslaan en zelden sporen achterlaten

Maar die verwachting is – zoals meer voorspellingen over de Russische opmars – niet uitgekomen, constateert onderzoeker Jon Bateman van de Amerikaanse denktank Carnegie Endowment for International Peace in een in december verschenen rapport. Weliswaar onderging Oekraïne een barrage aan cyberaanvallen, maar eigenlijk, schrijft Bateman, is alleen die op het satellietnetwerk van ViaSat op 24 februari 2022, de dag van de invasie, van strategisch belang geweest. De hack, door de VS, de EU en het VK toegeschreven aan de Russische militaire inlichtingendienst GROe, zou de communicatie binnen de Oekraïense strijdkrachten in de eerste uren van de strijd flink hebben gehinderd. Al kwam Kyiv later op die bewering terug: „De aanval was gericht op een backupsysteem”, zegt Zhora. „En werd snel afgeslagen.”

Oekraïne heeft er belang bij geslaagde hacks niet aan de grote klok te hangen. Toch is het ook niet zo dat cyberaanvallen nauwelijks een rol hebben gespeeld in het conflict. „Die aanval op ViaSat was een component van dat beoogde digitale Armageddon”, zegt Paul Ducheine, brigadegeneraal en als hoogleraar aan de Nederlandse Defensie Academie en de Universiteit van Amsterdam gespecialiseerd in cyberoorlogvoering. Hij schreef samen met collega’s Peter Pijpers en Kraesten Arnold een paper over de cyberoorlog tot nu toe. Alleen, constateert hij, „het is snel opgelost, bijvoorbeeld met StarLink.” Kort na de Russische invasie activeerde ondernemer en multimiljardair Elon Musk op Oekraïens verzoek zijn netwerk van internetsatellieten.

Buitenlandse hulp

Hulp van buitenaf is een van de verklaringen waarom het Russische hackoffensief minder verwoesting aanrichtte dan vooraf werd voorspeld. Ruim twee maanden voor de invasie arriveerde al een team cyberspecialisten van het Amerikaanse leger in Oekraïne, om belangrijke computernetwerken systematisch te doorzoeken op sporen van Russische binnendringing.

En naast StarLink schoten ook techbedrijven als Microsoft, Mandiant, Amazon en Cloudfare te hulp, met beveiliging en door gegevens van Oekraïense servers te verhuizen naar de cloud, buiten bereik van Russisch geschut. Volgens Victor Zhora is die ondersteuning uit de private sector belangrijk: „Informatie van Microsoft en ESET heeft ons bijvoorbeeld geholpen om de aanval op het energiebedrijf af te slaan.”

ESET, met hoofdkantoor in buurland Slowakije, is een van de marktleiders in Oekraïne. Zijn virusdetectiesoftware is er geïnstalleerd op veel computers, zowel van bedrijven en overheden als van particulieren, en vormt zo een soort virtuele radar. „Onze beveiligingssystemen zijn een soort sensoren”, zegt Maasland. „Zo zagen wij als een van de eersten de aanvallen die vlak voor de invasie plaatsvonden.”

„De invasie begon in cyberspace bijna anderhalve maand voor die op het land”, bevestigt Zhora. Die eerste aanvallen waren zogenaamde defacements – bekladding van websites, doorgaans met pro-Russische slogans – maar ook veel wiperaanvallen, gericht op de vernietiging van computersystemen. Maasland zag daarin al de aard en de omvang van het conflict. „Het waren er zoveel”, zegt hij. „We hebben in de jaren hiervoor slechts acht wiperaanvallen ooit gezien. Sinds de invasie staat de teller nu op ongeveer zestig.”

Eén daarvan, op de Oekraïense spoorwegen, werd met Amerikaanse hulp voorkomen. „Als die geslaagd was, dan had je chaos gehad met de vluchtelingen die in die dagen westwaarts trokken, maar ik neem aan dat treinen ook weer met materiaal oostwaarts gingen”, zegt Ducheine. „Dan had je een heel ander plaatje gehad.”

Ook andere aanvallen werden vaak afgeslagen, of de schade werd snel hersteld – bijvoorbeeld aan internet- en telefoonverbindingen. „We hebben in de acht jaar voor de invasie voortdurend cyberaanvallen te verduren gehad”, merkt Zhora op. „Dus we hebben een goede verdediging kunnen optuigen.” Na de Russische annexatie van de Krim en de oorlog in de oostelijke Donbasregio in 2014 legden hackers al twee maal kortstondig een elektriciteitscentrale plat (in 2015 en 2016). Een aanval op de financiële sector in 2017 trof ook doelen buiten Oekraïne, zoals een containerterminal van Maersk in de Rotterdamse haven. Wereldwijd veroorzaakte die NotPetya-aanval naar schatting zo’n 10 miljard euro schade.

Capaciteitsproblemen

Ook onderzoeker Bateman ziet in de gedegen Oekraïense voorbereiding een oorzaak waardoor cyberaanvallen niet zoveel strategisch effect hebben gehad. Maar belangrijker is volgens hem dat Russische hackers de benodigde grootschalige inzet niet konden volhouden. „Om een betekenisvolle bijdrage te leveren aan een oorlog op deze schaal, moeten cyberaanvallen elkaar opvolgen in een tempo dat Rusland kennelijk hooguit enkele weken kon volhouden”, schrijft hij. Hij noemt het opvallend dat Rusland geen gebruik lijkt te hebben gemaakt van de grote cybercriminele sector in het land, waarvan zeker een deel nauwe banden met het Kremlin zou hebben.

„Het duurt soms wel maanden tot jaren om zo’n aanval als NotPetya voor te bereiden”, zegt Maasland van ESET. „Rusland is simpelweg niet in staat gebleken om in een hoog tempo dit soort aanvallen te produceren. En de vraag is of andere landen dat wel zijn.”

Zhora denkt dat de Russen hun kruit te snel verschoten hebben. „Net als andere legeronderdelen rekenden militaire hackers op een snelle overwinning. Ze hebben hun arsenaal aan cyberwapens in de eerste maanden van de oorlog grotendeels gebruikt.”

Bovendien lijken Poetin en zijn militairen volgens Bateman „niet bereid of in staat om de oorlog te voeren op basis van precisie en goede inlichtingen, zoals voor optimale cyberoperaties nodig is.” Maasland: „Met cyber kun je ver achter de linies opereren, schade aanrichten die je terug kan draaien, je kan dat heel strategisch inzetten. Maar dat vereist wel dat cyber tot op het diepste niveau geïntegreerd is in je militaire strategie en planning. Nu blijkt dat cyber binnen de Russische instanties helemaal niet zo goed begrepen wordt.”

Militaire hackers rekenden op een snelle overwinning. Ze hebben hun cyberwapens in de eerste maanden grotendeels opgebruikt

Victor Zhora Hoofd cyberbeveiliging Oekraïne

De Russen zijn „geen domme oempa-loempa’s”, zegt hoogleraar Ducheine. „Maar als je van een aantal verkeerde uitgangspunten vertrekt, leiden de imperfecties van hun organisatiestructuur tot fouten. Ze dachten dat een groot deel van de Oekraïense bevolking deze inval zou steunen. Ze hebben het militair vermogen van Oekraïne wellicht onderschat. De suggestie is ook dat een aantal partijen pas laat te horen kreeg dat het om een echte invasie ging, terwijl ze lang dachten dat het een oefening was.”

Ook Ruslands binnenlandse repressie is voor Ducheine een verklaring: „Rusland heeft veel digitale capaciteit, maar realiseer je wel dat ze daarvan misschien wel een derde intern nodig hebben. Zij dempen alle oppositie al jarenlang.”

‘Zachte cyberoperaties’

Toch heeft digitale oorlogvoering volgens Ducheine en Pijpers wel degelijk meer strategisch effect gehad dan Bateman zegt, vooral door succesvolle beïnvloedingscampagnes. „Bateman kijkt door een bepaalde bril, die wij ‘harde cyberoperaties’ noemen. Maar het strategische effect zit in de zachte kant van het digitaal vermogen. Een narratief neerzetten, medelijden en woede opwekken, dat zorgt dat er internationale steun komt, en met name wapenleveranties. Dat doet Oekraïne zeer bekwaam. Het feit dat Zelensky vanaf dag één boodschappen verspreidt via sociale media, via Teams in de Tweede Kamer spreekt. De internationale steun is het zogenoemde ‘center of gravity’, de lifeline en de achilleshiel: als dat implodeert, dan is de strijd verloren.”

Lees ook Aan het mediafront slaat Oekraïne Rusland om de oren met sterke symbolen

„Ook de Russen voeren een digitale beïnvloedingsoperatie uit. Alleen is die tegengesteld, die speelt het Westen uit elkaar”, zegt Ducheine. „Als hier in Nederland Forum voor Democratie aan de borreltafel filosoferend zegt dat het allemaal wel meevalt, mag je aannemen dat dat vervolgens op RT en Sputnik geëtaleerd wordt.”

„Propaganda en desinformatie behoren tot de kerntaken van Russische hackers”, aldus Zhora. „Ze proberen het Oekraïense moreel te ondermijnen, door paniek te zaaien en het vertrouwen aan te tasten in het vermogen van de staat om zich te verdedigen, onder meer door cyberaanvallen.” Volgens Zhora laat de „onbreekbare geest” van de Oekraïners zien dat dat niet is gelukt.

Bateman verwacht dat Russische hackers zich nu meer op inlichtingen zullen richten: „Ze zouden een grotere impact kunnen hebben als ze waardevolle informatie vergaren, en Moskou die weet te benutten. Bijvoorbeeld actuele informatie over de verblijfplaats van Zelensky, of gegevens die helpen om westerse wapensystemen te treffen.” Ook inzicht in Kyivs onderhandelingspositie bij toekomstige vredesbesprekingen zou heel waardevol zijn.

Dat zou volgens Ducheine ook een van de redenen zou kunnen zijn dat Russische hackers minder zichtbare schade hebben aangericht dan vooraf werd gedacht. „Als je in een communicatiesysteem bent binnengedrongen, en je schakelt het uit, dan raak je ook je inlichtingenpositie kwijt.”

De Oekraïense president Volodymyr Zelensky sprak in maart 2022 de Tweede Kamer toe. Zijn slimme omgang met (sociale) media is een belangrijke component van de informatieoorlog.

Foto Robin Utrecht/ANP

Geen fantasie

Toch is daarmee het gevaar op grote ontwrichting door hackaanvallen niet geweken, denkt Maasland. Eind januari ontdekte ESET een nieuwe wiper, geschreven in een niet eerder gebruikte programmeertaal, die het bedrijf toeschrijft aan de GROe. „Dat laat zien dat ze op adem zijn gekomen, en dat ze toch de opdracht hebben: doe wat je kan om aan de strijd bij te dragen.”

Volgens Zhora toont de strijd in Oekraïne in ieder geval „dat cyberoorlog niet langer een fantasie is van romanschrijvers. We zijn getuige van de eerste cyberoorlog. En we zijn ervan overtuigd dat de Russische agressie in cyberspace nog lang nadat de conventionele strijd voorbij is, door zal gaan.”