Leestip: Hoe Russische hackers wereldwijd ziekenhuizen, energiecentrales en ministeries kraken

Dimitri Tokmetzis
Correspondent Surveillance & Technologie
Foto: Isabelle van Hemert (beeldredacteur van De Correspondent)

De Amerikaanse journalist Andy Greenberg schreef een heerlijk boek over een zeer geavanceerde, brutale en onbezonnen Russische hackersgroep. Vermoedelijk werken zij voor de Russische militaire geheime dienst en vormen ze ook voor ons een bedreiging.

Het begon in een klein kantoor in een onooglijke wijk van Kiev, waar de Linkos Group software maakte voor accountants. Niet bepaald spannend, zou je zeggen. Maar op 27 juni 2017 was dit Oekraïense bedrijf een springplank voor een van de vernietigendste cyberaanvallen ooit.

Binnen enkele uren gingen tienduizenden computers in banken, energiecentrales (waaronder ministeries, ziekenhuizen, bedrijven en postkantoren in Oekraïne op zwart.

Ook het Deense containerbedrijf Maersk, dat bijna twintig procent van het wereldwijde containervervoer over zee afhandelt, werd volledig lamgelegd door hetzelfde computervirus. Wereldwijd ontstonden daardoor bij havens enorme files, omdat slagbomen het niet meer deden en de juiste lading niet meer bij de juiste chauffeurs gebracht

Al deze organisaties en bedrijven hadden iets gemeen. Zij, of een van hun dochterondernemingen, maakten gebruik van de boekhoudsoftware van Linkos Group. Hackers hadden meegelift met de updates van deze software om malware te installeren.

Die malware, al snel NotPetya genoemd door zocht zelfstandig op geïnfecteerde netwerken naar nieuwe computers en netwerken om te besmetten. Daarna vernietigde het alle data op die computers.

In enkele dagen tijd veroorzaakte NotPetya daarmee voor zo’n tien miljard euro aan schade.

Pure vernietiging door Rusland

Lang bleef onbekend wie er achter NotPetya zat. Dit soort malware, die computers onbruikbaar maken, is meestal Alleen als je als slachtoffer een paar honderd euro in bitcoin overmaakt, krijg je weer toegang tot je bestanden. Maar dat was hier niet het geval: het ging hier om pure vernietiging. De computers waren volledig gewist en niet meer bruikbaar.

Daarnaast werd al snel duidelijk dat de malware zeer geavanceerd was en gebruikmaakte van enkele hackmethoden die Russische dieven maanden eerder van de Amerikaanse inlichtingendienst NSA Dit was niet zomaar een poging tot oplichting of vandalisme. Dit was een aanval.

De laatste jaren komen geregeld hacks in het nieuws die door Rusland zouden zijn gepleegd. In Oekraïne werden meermaals energiecentrales stilgelegd, of media digitaal gebombardeerd. De Olympische Winterspelen in Zuid-Korea werden bijna verpest door een grote cyberaanval tijdens de opening. En dan zijn er natuurlijk nog verschillende politiek gemotiveerde hacks in verkiezingstijd, zoals in de Frankrijk en, wederom, Oekraïne.

Ik had over de verschillende hack-campagnes die Greenberg beschrijft gelezen, maar nooit de samenhang ertussen gezien

Het lijken losstaande incidenten, maar in zijn nieuwe boek legt journalist Andy Greenberg een patroon bloot. Deze hacks waren doelgericht, zeer geavanceerd en uiteindelijk het werk van vermoedelijk meerdere teams van één organisatie: de Russische militaire inlichtingendienst

Ik kan het boek van harte aanbevelen. Greenberg is een uitstekende verhalenverteller. Het boek leest heerlijk weg, ook de meer ingewikkelde delen over technologie. De toon van zijn boek is behoorlijk alarmistisch, maar dat is volgens mij wel terecht. Ik had over de verschillende hackcampagnes die Greenberg beschrijft gelezen, maar nooit de samenhang ertussen gezien, nooit bevroed dat ze deel waren van een veel grotere strategie.

De malware die deze hackers verspreiden – Greenberg noemt de groep – is er namelijk op gericht om zoveel mogelijk schade aan te richten in de echte, fysieke wereld. Denk aan de schade door alle computersystemen die vervangen moeten worden.

Maar soms gaat dat nog verder. Er is in meerdere energiecentrales malware aangetroffen die storingen kon veroorzaken die zouden leiden tot brand of vernietiging

Oekraïne als testruimte

In Greenbergs optiek is Oekraïne een soort testruimte, waar Rusland ongestraft allerlei malware ook tegen civiele doelen. Dat is gevaarlijk, aldus Greenberg, omdat ondertussen ook in de systemen van Amerikaanse en Europese energiecentrales en andere belangrijke infrastructuur Russische code aangetroffen is die veel schade kan aanrichten. Die malware lurkt in die systemen als een soort logische bommen, die af kunnen gaan in tijden van grote spanningen.

Het is makkelijk om Rusland hierom te veroordelen, maar het moet gezegd worden: Rusland is niet de eerste die dit soort malware, die ook fysieke schade kan berokkenen, toepast. Het waren de Amerikanen en Israeliërs die dit soort kwaadaardige code voor het eerst loslieten op het atoomprogramma van Iran.

Rond 2010 liep dat atoomprogramma, nog steeds inzet van grote internationale spanningen, vertraging op omdat centrifuges voor het verrijken van uranium en masse kapot gingen.

De boosdoener bleek een zeer geavanceerd virus te zijn: Dat virus zorgde ervoor dat de centrifuges onregelmatig gingen draaien, maar ook dat de computers aan de verbaasde atoomingenieurs te kennen gaven dat alles was zoals Stuxnet dook ook buiten Iran op en werd

Die malware die Sandworm loslaat op de wereld is in die zin, aldus Greenberg, niet meer dan een logische stap in een gevaarlijke wapenwedloop.

Maar wie stopt de wapenwedloop?

En de vooruitzichten zijn somber, aldus de journalist. Er is een steeds luidere roep om meer internationale regels over de inzet van cyberwapens, bijvoorbeeld om het gebruik ervan tegen civiele doelwitten zoals ziekenhuizen of energiecentrales, te

Maar een rondgang van Greenberg langs politici en ambtenaren die hier daadwerkelijk over gaan, laat zien dat er weinig animo voor meer regulering is: ieder land wil zijn handen vrijhouden voor het geval er een internationaal conflict uitbreekt.

Kortom: als je de nieuwe online dreigingen beter wilt begrijpen, en een spannend inkijkje wilt krijgen in oorlogvoering met softwarecode, dan is Sandworm een goed begin.