Door : Erik van Soest
Voordat de oorlog in Oekraïne begon bestond er in de Westerse wereld de vrees dat, Russische, Hackers grootscheepse Cyberaanvallen zouden lanceren tegen Oekraïne en het Westen.
Tot op heden zijn er weliswaar aanvallen geweest maar de schade is beperkt gebleven. De verwachting was dat Hackers mogelijk toegang hadden tot de infrastructuur van Oekraïne en zo instaat zouden zijn om bijvoorbeeld de energie voorziening van Kyiv of zelfs in de hele Oekraïne plat te leggen. De elektronische infrastructuur lijkt in Oekraïne tot op de dag van vandaag nog steeds goed te functioneren.
Er zijn weliswaar steden, zoals Mariupol, waar de elektriciteit is uitgevallen maar dat lijkt meer het gevolg van bombardementen en niet van Hackers. Ook het Internet en het mobiele telefoon netwerk lijken nog altijd grotendeels in tact.
Experts vragen zich af hoe dit mogelijk is. Het is een publiek geheim dat Rusland beschikt over een aantal zeer sterke en gevaarlijke Hackers groepen. Bekende namen zijn “DarkSide”, ” Nobellium” en “REvil” meestal zijn deze groepen gespecialiseerd in zogenaamde “Ransomware” aanvallen.
Bij een Ransomeware hack wordt gebruik gemaakt van gijzelingssoftware. Het systeem wordt volledig afgesloten en kan alleen nog via een gecodeerde sleutel geopend worden. Deze sleutel wordt door de hackers groep na betaling, vrijwel altijd in bitcoins, vrijgegeven.
De bekendste hacks van de afgelopen jaren zijn:
- Solarwinds (Nobelium)
- JBS (REvil)
- Colonial Pipeline (DarkSide)
In Nederland werden o.a. De MediaMarkt en Bakker Logistiek de afgelopen jaren getroffen. In het geval van MediaMarkt werden de Hackers uiteindelijk niet betaald.
Terug naar Oekraïne waarom geen grootschalige aanvallen? In het Westen gaat men er vanuit dat de Russische overheid de hackers groepen vrijwel ongestoord hun gang laat gaan en, in sommige gevallen, zelfs actief helpt. Dus was de verwachting gerechtvaardigd dat er gecoördineerde aanvallen zouden gaan plaats vinden. Het is uiteindelijk voor een binnenvallend leger bijzonder handig als de interne communicatie en infrastructuur van het land dat je binnenvalt ernstig verstoord zijn.
Experts vermoeden dat er een aantal redenen zijn waarom tot op de dag van vandaag de cyberaanvallen uitgebleven zijn. Allereerst waren de CIA, FBI en het Amerikaanse Ministerie van Defensie, in samenwerking met de overige NAVO landen, al geruime tijd bezig om Hackers groepen, digitaal, aan te vallen en uit te schakelen.
Het populaire Hollywood beeld (zie foto) dat hackers types zijn die met een donkere hoodie op hun hoofd als een malle op hun toetsenbord rammend in achterkamers hun aanvallen “online” uitvoeren is onzin. Dat is hoogstens het geval bij een “Ddos” aanval waarbij servers of een heel Netwerk wordt platgelegd door het simpelweg te “bestoken” met aanvragen waardoor het netwerk overbelast raakt.
Het plannen van een gerichte aanval is vaak weken, maanden en soms zelfs jaren werk.
Eerst moet er zoveel mogelijk informatie worden verkregen over het beoogde doel. Dit is vaak, gewoon via het internet beschikbare, openbare informatie. Dit heet in het jargon OSINT (Open Source Intel). Het is verbazingwekkend hoeveel informatie vrij beschikbaar is en hoe je van de ene bron (source) een verbinding naar een ander bron kan leggen. Hiervoor hebben Hackers de beschikking over een aantal geavanceerde tools.
Op deze wijze komen Hackers erachter wie waar werkt, in welke functie en op welke afdeling binnen een bedrijf. Hebben deze personen wellicht een privé Email gekoppeld aan een Facebook account met bv foto’s van kinderen met namen, geboorte-datums en links naar sporten of vrienden? Of nog mooier misschien wel accounts met wachtwoorden die al een keer eerder gehacked zijn. etc.etc.
Als deze informatie eenmaal bekend is gaan Hackers proberen zich een beeld te vormen hoe het Netwerk van het bedrijf dat ze willen aanvallen is opgebouwd. Dit doen ze door bijvoorbeeld uit te gaan zoeken welke Internet Providers, Switches of Routers het bedrijf dat ze aanvallen gebruikt. Als de hackers hiervan een goed beeld hebben kunnen ze opzoek gaan naar zogenaamde “Vulnerabilities” dit zijn fouten in bijvoorbeeld de Firmware van een Router waardoor men binnen kan komen.
Tot op dat moment heeft niemand binnen het bedrijf ook maar enig idee dat ze mogelijk gehacked gaan worden.
In de volgende stap vindt de aanval plaats dit kan op verschillende wijzen:
- Door met een bijvoorbeeld via OSINT gevonden of simpelweg “geraden” gebruikersnaam en wachtwoord, ongezien het systeem binnen te komen en het systeem op deze wijze te “besmetten”.
- Door een email te sturen met daarin verborgen “malware”. Dit is tegenwoordig moeilijker omdat veel bedrijven goede antivirus software hebben.
- Door gebruik te maken van de eerder genoemde Vulnerabilties of ZERO Days. Veel te vaak nog hebben bedrijven wel een virusscanner maar die wordt niet wekelijks of dagelijks onderhouden. Ook wordt de firmware van kwetsbare apparaten , zoals routers, vaak niet ge-update.
Als de hackers eenmaal, met voldoende autorisatie, binnen zijn dan is de rest relatief eenvoudig. De malware wordt, soms op een bepaalde datum, geactiveerd en met behulp van een worm over het netwerk verspreid.
Een goed beveiligt bedrijf Hacken is, in de huidige tijd, in principe dus toch wel iets meer dan even snel achter een computer een paar commando’s in kloppen. Dat gezegd hebbende er zijn legio voorbeelden bekend van (grote) bedrijven waar het Password van de Network administrator “1234” of “schatje” was.
Omdat het zoveel moeilijker geworden is “strategisch” belangrijke bedrijven te hacken en de kans om door security experts “offline”gehaald te worden veel groter geworden is zijn Hackers veel meer op hun hoede. Als je als Hacker je Bitcoins binnen haalt met Ransomeware waarom zou je dan het risico lopen om de aandacht van de FBI of de CIA op je te vestigen door een energiecentrale aan te vallen waar voor jou toch niets te halen valt?
Er zijn, voornamelijk militaire, experts die denken dat het uitblijven van grote Cyberaanvallen mogelijk mede te danken is aan het feit dat Poetin toch bang is voor een verdere, militaire, escalatie. Bij een directe grote Cyberaanval op een NAVO land zou dit als een daad van oorlog kunnen worden beschouwd.
Tenslotte zijn er onbevestigde (!) geruchten dat Russische Hackers, die uiteraard wel degelijk toegang tot het internet en “vrije” informatie hebben, het niet eens met de inval in Oekraïne zijn en besloten hebben hier niet actief aan mee te willen werken.
Er is uiteraard geen enkele garantie dat aanvallen op de strategische infrastructuur in Oekraïne en/of het Westen niet zullen gaan plaats vinden. Maar het blijft opvallend dat dit tot op heden niet gebeurd is.
