/dc-useruploads-images/54ebe274b1414dd58211f9615b03eb0b.png)
Het begon in een klein kantoor in een onooglijke wijk van Kiev, waar de Linkos Group software maakte voor accountants. Niet bepaald spannend, zou je zeggen. Maar op 27 juni 2017 was dit Oekraïense bedrijf een springplank voor een van de vernietigendste cyberaanvallen ooit.
Binnen enkele uren gingen tienduizenden computers in banken, energiecentrales (waaronder Tsjernobyl), ministeries, ziekenhuizen, bedrijven en postkantoren in Oekraïne op zwart.
Ook het Deense containerbedrijf Maersk, dat bijna twintig procent van het wereldwijde containervervoer over zee afhandelt, werd volledig lamgelegd door hetzelfde computervirus. Wereldwijd ontstonden daardoor bij havens enorme files, omdat slagbomen het niet meer deden en de juiste lading niet meer bij de juiste chauffeurs gebracht kon worden.
Al deze organisaties en bedrijven hadden iets gemeen. Zij, of een van hun dochterondernemingen, maakten gebruik van de boekhoudsoftware van Linkos Group. Hackers hadden meegelift met de updates van deze software om malware te installeren.
Die malware, al snel NotPetya genoemd door antivirusbedrijven, zocht zelfstandig op geïnfecteerde netwerken naar nieuwe computers en netwerken om te besmetten. Daarna vernietigde het alle data op die computers.
In enkele dagen tijd veroorzaakte NotPetya daarmee voor zo’n tien miljard euro aan schade.
Pure vernietiging door Rusland
Lang bleef onbekend wie er achter NotPetya zat. Dit soort malware, die computers onbruikbaar maken, is meestal ransomware. Alleen als je als slachtoffer een paar honderd euro in bitcoin overmaakt, krijg je weer toegang tot je bestanden. Maar dat was hier niet het geval: het ging hier om pure vernietiging. De computers waren volledig gewist en niet meer bruikbaar.
Daarnaast werd al snel duidelijk dat de malware zeer geavanceerd was en gebruikmaakte van enkele hackmethoden die Russische dieven maanden eerder van de Amerikaanse inlichtingendienst NSA hadden gestolen. Dit was niet zomaar een poging tot oplichting of vandalisme. Dit was een aanval.
De laatste jaren komen geregeld hacks in het nieuws die door Rusland zouden zijn gepleegd. In Oekraïne werden meermaals energiecentrales stilgelegd, of media digitaal gebombardeerd. De Olympische Winterspelen in Zuid-Korea werden bijna verpest door een grote cyberaanval tijdens de opening. En dan zijn er natuurlijk nog verschillende politiek gemotiveerde hacks in verkiezingstijd, zoals in de Verenigde Staten, Frankrijk en, wederom, Oekraïne.
Ik had over de verschillende hack-campagnes die Greenberg beschrijft gelezen, maar nooit de samenhang ertussen gezien
Het lijken losstaande incidenten, maar in zijn nieuwe boek Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers legt journalist Andy Greenberg een patroon bloot. Deze hacks waren doelgericht, zeer geavanceerd en uiteindelijk het werk van vermoedelijk meerdere teams van één organisatie: de Russische militaire inlichtingendienst GROe.
Ik kan het boek van harte aanbevelen. Greenberg is een uitstekende verhalenverteller. Het boek leest heerlijk weg, ook de meer ingewikkelde delen over technologie. De toon van zijn boek is behoorlijk alarmistisch, maar dat is volgens mij wel terecht. Ik had over de verschillende hackcampagnes die Greenberg beschrijft gelezen, maar nooit de samenhang ertussen gezien, nooit bevroed dat ze deel waren van een veel grotere strategie.
De malware die deze hackers verspreiden – Greenberg noemt de groep Sandworm – is er namelijk op gericht om zoveel mogelijk schade aan te richten in de echte, fysieke wereld. Denk aan de schade door alle computersystemen die vervangen moeten worden.
Maar soms gaat dat nog verder. Er is in meerdere energiecentrales malware aangetroffen die storingen kon veroorzaken die zouden leiden tot brand of vernietiging van apparatuur.
Oekraïne als testruimte
In Greenbergs optiek is Oekraïne een soort testruimte, waar Rusland ongestraft allerlei malware kan uitproberen, ook tegen civiele doelen. Dat is gevaarlijk, aldus Greenberg, omdat ondertussen ook in de systemen van Amerikaanse en Europese energiecentrales en andere belangrijke infrastructuur Russische code aangetroffen is die veel schade kan aanrichten. Die malware lurkt in die systemen als een soort logische bommen, die af kunnen gaan in tijden van grote spanningen.
Het is makkelijk om Rusland hierom te veroordelen, maar het moet gezegd worden: Rusland is niet de eerste die dit soort malware, die ook fysieke schade kan berokkenen, toepast. Het waren de Amerikanen en Israeliërs die dit soort kwaadaardige code voor het eerst loslieten op het atoomprogramma van Iran.
Rond 2010 liep dat atoomprogramma, nog steeds inzet van grote internationale spanningen, vertraging op omdat centrifuges voor het verrijken van uranium en masse kapot gingen.
De boosdoener bleek een zeer geavanceerd virus te zijn: Stuxnet. Dat virus zorgde ervoor dat de centrifuges onregelmatig gingen draaien, maar ook dat de computers aan de verbaasde atoomingenieurs te kennen gaven dat alles was zoals het hoorde. Stuxnet dook ook buiten Iran op en werd zo ontdekt.
Die malware die Sandworm loslaat op de wereld is in die zin, aldus Greenberg, niet meer dan een logische stap in een gevaarlijke wapenwedloop.
Maar wie stopt de wapenwedloop?
En de vooruitzichten zijn somber, aldus de journalist. Er is een steeds luidere roep om meer internationale regels over de inzet van cyberwapens, bijvoorbeeld om het gebruik ervan tegen civiele doelwitten zoals ziekenhuizen of energiecentrales, te verbieden.
Maar een rondgang van Greenberg langs politici en ambtenaren die hier daadwerkelijk over gaan, laat zien dat er weinig animo voor meer regulering is: ieder land wil zijn handen vrijhouden voor het geval er een internationaal conflict uitbreekt.
Kortom: als je de nieuwe online dreigingen beter wilt begrijpen, en een spannend inkijkje wilt krijgen in oorlogvoering met softwarecode, dan is Sandworm een goed begin.
Dit verhaal heb je gratis gelezen, maar het maken van dit verhaal kost tijd en geld. Steun ons en maak meer verhalen mogelijk voorbij de waan van de dag.
Al vanaf het begin worden we gefinancierd door onze leden en zijn we volledig advertentievrij en onafhankelijk. We maken diepgravende, verbindende en optimistische verhalen die inzicht geven in hoe de wereld werkt. Zodat je niet alleen begrijpt wat er gebeurt, maar ook waarom het gebeurt.
Juist nu in tijden van toenemende onzekerheid en wantrouwen is er grote behoefte aan verhalen die voorbij de waan van de dag gaan. Verhalen die verdieping en verbinding brengen. Verhalen niet gericht op het sensationele, maar op het fundamentele. Dankzij onze leden kunnen wij verhalen blijven maken voor zoveel mogelijk mensen. Word ook lid!
