De oorlog in Oekraïne volgt niet het verwachte verloop. Het Russische leger is niet zomaar door het land getrokken, en de invasie was... niet begeleid door een enorme toename van cyberoperaties gericht tegen Oekraïense kritieke infrastructuur.
Dit kan allemaal in een oogwenk veranderen, maar voorlopig zal het conflict tussen Rusland en Oekraïne waarschijnlijk de relatie tussen kinetische en cyberoorlogvoering opnieuw definiëren. Het begon zoals verwacht: een toename van de militaire macht aan de grens en een toename van cyberoperaties tegen Oekraïne om het slagveld voor te bereiden.
Die cyberoperaties zijn doorgegaan, maar zijn niet in de verwachte mate geëscaleerd. Er is nieuwe destructieve malware gedetecteerd op Oekraïense computers, maar voor het grootste deel zijn ze gericht en op zichzelf niet ontworpen om wijdverbreide schade aan de infrastructuur te veroorzaken. Ze begonnen met fluisterpoort gedetecteerd door Microsoft in januari, maar zijn gevolgd door Hermetische Wiper, IsaacWiper, en FoxBlade (hoewel er enkele suggesties zijn dat HermeticWiper en FoxBlade aparte namen zijn voor dezelfde malware).
Er is momenteel geen openbaar bewijs dat deze malware staatsoperaties zijn, maar het lijkt waarschijnlijk. Wipers bieden criminele bendes geen gemakkelijke manier om geld te verdienen. Hoewel ze kunnen worden ontwikkeld en gebruikt door 'patriottische' hackers die hun eigen zaak willen bevorderen, zijn al deze voorbeelden ruim voor het conflict ontwikkeld.
Escalatie kan natuurlijk nog steeds voorkomen. "De verwachting dat de cyberactiviteit van Rusland tegen Oekraïne zal worden teruggeschroefd nu de invasie is begonnen, is onjuist", zegt Tim Kosiba (momenteel CEO van Bracket f, een bedrijf dat eigendom is van [bewerkt], maar een voormalig technisch directeur bij US Cyber Command) vertelde: SecurityWeek. Maar waarom dat nog niet is gebeurd, althans tot het moment van schrijven, blijft een raadsel.
Als je een natie op zijn metaforische knieën wilt brengen, is de snelste route waarschijnlijk via zijn machtsverdeling. "Stop de elektrische stroom en je hebt een onmiddellijk effect dat met de tijd erger wordt", legt Lou Steinberg, oprichter en managing partner van CTM Insights, uit. “Zonder stroom gaat voedsel rotten. Medicijnen bederven. Benzinestations kunnen geen pompen bedienen, dus brandstof voor vrachtwagens zit vast in ondergrondse tanks. Geen vrachtwagens betekent geen vervangend voedsel en medicijnen. Water- en rioolwaterzuiveringsinstallaties stoppen. Mensen sterven."
Rusland heeft cyberoperaties al getest tegen Oekraïense macht in 2015 en laat 2016. In 2022 koos het een andere route: het veroverde de kerncentrale van Zaporizja door middel van militaire actie. We weten niet of dit was omdat het de operatie van de fabriek niet met cybermiddelen kon vernietigen, of dat het deel uitmaakt van een breder motief om Oekraïne te bezetten (waarvoor de infrastructuur grotendeels operationeel zou moeten blijven) of Oekraïne te vernietigen (wat niet zou een operationele infrastructuur nodig hebben).
Dit is het belangrijkste probleem dat we hebben bij het begrijpen van het huidige en potentiële toekomstige gebruik van cyber in deze oorlog. Het is onmogelijk om te twijfelen aan de plannen van Poetin (als hij die heeft) of motieven (die op elk moment kunnen veranderen).
Wat echter duidelijk is, is dat de hele wereld wordt bedreigd door iets dat zou kunnen beginnen als een zich uitbreidende wereldwijde cyberoorlog en zou kunnen overslaan in een wereldwijde kinetische en zelfs nucleaire oorlog. De twee belangrijkste manieren waarop dit zou kunnen gebeuren, zijn een Russische reactie op westerse sancties en/of een effect van de ongecontroleerde activiteit van niet-statelijke 'patriottische' hackers aan beide kanten.
sancties
Sancties zijn een delicate evenwichtsoefening. Ze moeten sterk genoeg zijn om de andere kant pijn te doen zonder zo hard te zijn dat ze evenveel schade aanrichten aan de thuismarkt en het verlies van publieke steun veroorzaken. De huidige door het westen geleide sancties zijn zwaar en kunnen nog strenger worden gemaakt als ze geen effect hebben.
Het Internationaal Instituut voor Strategische Studies (IISS) is van mening dat Poetin een grote strategische fout heeft gemaakt door Oekraïne binnen te vallen. Hij onderschatte het Oekraïense verzet, hij overschatte binnenlandse steun, en hij verenigde de wereld in veroordeling van en sancties tegen Rusland.
"Poetin heeft de westerse cohesie en vastberadenheid zwaar onderschat", schrijft Nigel Gould-Davies, senior fellow voor Rusland en Eurazië bij het IISS. “Rusland wordt nu geconfronteerd met een reeks sancties die nooit zijn opgelegd aan een grote economie, met name de bevriezing van tegoeden van de centrale bank. Het Duitse beleid heeft een aardverschuiving ondergaan: de opschorting van de Nord Stream 2-gaspijpleiding, de uitsluiting van Russische entiteiten van SWIFT en de historische beslissing om wapens naar Oekraïne te sturen.”
Het is de mogelijke reactie van Poetin op deze sancties die de zorg baart. Op zaterdag 5 maart 2022 verklaarde hij dat verlammende westerse sancties 'vergelijkbaar zijn met een oorlogsverklaring'. Op de vraag wat Rusland zou kunnen aanzetten tot het leiden van cyberoperaties tegen de kritieke infrastructuur van de VS en NAVO-landen, antwoorden de meeste waarnemers met 'sancties die hij te zwaar vindt'.
Dit is een punt van zorg. Veiligheidswaarnemers waarschuwen al jaren dat vijandige staten, waaronder Rusland, toezicht houden op en zichzelf inbedden in kritieke infrastructuur van de VS en Europa 'voor het geval dat'. Deze angst wordt versterkt door het onbekende potentieel dat Russische statelijke actoren mogelijk gebruik hebben kunnen maken van de SolarWinds-aanvallen en de Log4j-kwetsbaarheid van vorig jaar. Het gevaar is dat Poetin het gevoel kan hebben dat de tijd van 'voor het geval dat' is gekomen, vooral als de sancties zo streng zijn dat hij denkt dat hij niets meer te verliezen heeft.
Andras Toth-Czifra, senior analist van Global Intelligence bij Flashpoint, suggereert echter dat het westerse sanctiebeleid Rusland zo hard en snel zal treffen dat het politieke vermogen van Poetin om te reageren verslechtert. "Het lijkt erop dat de sanctiestrategie tot doel heeft snelle resultaten te behalen of een snelle en radicale beleidsverandering in Rusland te bespoedigen, vertrouwend op de sociale ontevredenheid en de elite-scheuren die deze maatregelen zullen verergeren", zei hij. SecurityWeek. “Het risico dat de Russische president op een asymmetrische en escalerende manier reageert, is aanwezig, maar de binnenlandse steun voor de oorlog in Oekraïne is gering en zal waarschijnlijk verder verzwakken naarmate het Russische leger en de Russische economie zware verliezen lijden.”
Dr. Danny Steed, docent cybersecurity aan de Cranfield University, heeft een soortgelijke mening. "Wat westerse landen grote zorgen zou moeten maken, is hoe Rusland cybermiddelen zou kunnen inzetten als tegenwicht voor inspanningen zoals sancties", waarschuwt hij. “Omdat het Westen duidelijk geen voorstander is van hun eigen militaire reactie, kan het gebruik van sancties leiden tot cyberaanvallen tegen westerse economieën als een Russische reactie.”
Tot dusver lijkt het erop dat westerse instanties hebben afgezien van directe cyberoperaties tegen Rusland als reactie op de invasie van Oekraïne. Zou dit kunnen worden volgehouden als Rusland grote schade aanricht in bijvoorbeeld de VS met aanvallen op de CNI? Dat is onwaarschijnlijk. Alle 'westerse' landen met een cyberaanvalscapaciteit - met name de VS, het VK, Australië en mogelijk Israël, zouden gedwongen worden te reageren. Dat is escalatie, en er is geen idee waar het toe zou kunnen leiden.
Ongebonden patriottische hackeractiviteit
Sancties zijn niet de enige mogelijke oorzaak van een escalatie van de vijandelijkheden buiten de grenzen van Oekraïne. Het lijkt erop dat Russische staatsactoren zich inspannen om hun activiteiten te richten en te voorkomen dat hun malware naar de wijdere wereld ontsnapt, zoals: NotPetya deden in 2017. Evenzo doen westerse instanties blijkbaar inspanningen om hun eigen cyberactiviteiten te beheersen. Maar criminele bendes en individuele hackers hebben niet hetzelfde niveau van discipline of vaardigheden om te garanderen dat hun acties de situatie niet escaleren. En deze bendes en individuen kiezen snel partij in het conflict.
Het Anonymous-collectief was een van de eersten. Het aangekondigd op Twitter op 24 februari: "Het anonieme collectief is officieel in cyberoorlog tegen de Russische regering." De Twitter-feed staat nu vol met claims van hacks en succesvolle DDOS-aanvallen op, en gevoelige informatielekken van, Russische nieuws- en overheidssites.
Conti was een van de eerste criminele bendes die de kant van Rusland koos, maar een wending toont de complexiteit van de situatie. Op 27 februari 2022, Conti heeft een waarschuwing afgegeven"We zullen onze middelen gebruiken om terug te slaan als het welzijn en de veiligheid van vreedzame burgers op het spel staan als gevolg van Amerikaanse cyberagressie."
Calvin Gan, Senior Manager bij F-Secure's tactische defensie-eenheid, zegt: "Het is al lang bekend dat ransomware-groepen vaak ontwikkelaars hebben in zowel Rusland als Oekraïne, en deze sterke houding van Conti heeft ertoe geleid dat hun Oekraïense leden interne informatie hebben gelekt." De Conti-lekken zijn door de Oekraïense leden op Twitter geplaatst, beginnend op de dag na de 'waarschuwing' en gaan vandaag door.
Beveiligingsleveranciers haasten zich om deze lekken te analyseren. Malwarebytes waarschuwt dat het even zal duren, maar merkt op: “Wat we al weten, is dat er uiterst waardevolle informatie is over de Conti ransomware-groep, in het bijzonder over hoe ze als organisatie werken en hoe ze zich richten op hun slachtoffers. Hoewel Conti behoorlijk vindingrijk is en waarschijnlijk zal herstellen, lijdt het geen twijfel dat deze lekken hen veel geld zullen kosten en mogelijk angst inboezemen over hun identificatie als individuen.
Op 4 maart 2022 meldde Flashpoint dat de ondergrondse Raid Forums-website - berucht om grote databaselekken - op mysterieuze wijze is verdwenen. Er zijn geen claims voor verantwoordelijkheid geweest, maar Flashpoint merkt op dat er een groeiend pro-Oekraïne-sentiment is. Op de dag dat de invasie begon, verklaarde een van de beheerders ('moot') dat de site alle gebruikers zou verbieden die verbinding proberen te maken vanaf een Russisch IP-adres. Een dag later lekte Kozak888 een database van een Russische koeriersdienst. Het bevatte 800 miljoen records, inclusief volledige namen, e-mailadressen en telefoonnummers. Kozak888 zei dat het databaselek een gevolg was van de Russische invasie van Oekraïne (de Kozakken zijn een beroemde oude cavalerie met sterke banden met Oekraïne).
Op 26 februari 2022, Mykhailo Fedorov (de minister van digitale transformatie van Oekraïne) aangekondigd de rekrutering van een particulier IT-leger.
Dit nieuwe civiele IT-leger wordt aangestuurd via Telegram. Op het moment van schrijven heeft het Telegram-account 35,483 abonnees. De meesten zullen onderzoekers, journalisten en overheidsagenten zijn, maar het lijdt weinig twijfel dat er veel particuliere ontwikkelaars en hackers zullen zijn die een bondgenootschap met Oekraïne willen aangaan.
Naast individuen kiezen ook bekende cybergroepen partij in het conflict. Een personage dat bekend staat als CyberKnow heeft deze ontwikkeling gevolgd. Zijn (of haar) laatste update was gepubliceerde op 4 maart 2022, met de opmerking: "Dit is een poging om vast te leggen hoe de cybergevechtsruimte eruit zou kunnen zien in een conflict."
De rode en gele kleuren geven de basisaffiliaties aan. "De groepen in Orange zijn nu inactief op Twitter - ze hebben hun profielen afgesloten of ze zijn gesloten", zegt CyberKnow. Wel is duidelijk dat de oorlog tussen Rusland en Oekraïne een zeer polariserend effect heeft onder cybercriminelen.
Het gevaar is dat deze groepen niet centraal worden aangestuurd en niet over de discipline, en waarschijnlijk ook niet over de vaardigheden, van statelijke actoren beschikken. De mogelijkheid dat deze onafhankelijke groepen de kritieke infrastructuur van de andere kant rechtstreeks aanvallen, of het per ongeluk lekken van destructieve malware zoals wipers buiten de geografische grenzen van het oorlogsgebied, kan niet worden genegeerd.
Sommige van deze groepen denken misschien dat ze worden beschermd door de zogenaamde niet-toerekenbaarheid van internet. Dit is een misvatting. Westerse inlichtingendiensten weten wie de groepen zijn, waar ze opereren en wat ze doen. Hun valse overtuigingen kunnen hen echter verleiden tot vernietigende aanvallen op de militaire en civiele kritieke infrastructuur van de VS/NAVO. Dit is een groot potentieel voor de escalatie van cyberactiviteit. Hoe westerse regeringen reageren op dergelijke aanvallen - als ze plaatsvinden - zal van cruciaal belang zijn.
Het is duidelijk een bedreiging die de westerse mogendheden begrijpen en op zijn minst gedeeltelijk verwachten. "Destructieve malware kan een directe bedreiging vormen voor de dagelijkse activiteiten van een organisatie, met gevolgen voor de beschikbaarheid van kritieke activa en gegevens", aangekondigd CISA. “Verdere ontwrichtende cyberaanvallen tegen organisaties in Oekraïne zullen waarschijnlijk plaatsvinden en kunnen onbedoeld overslaan naar organisaties in andere landen. Organisaties moeten hun waakzaamheid vergroten en hun capaciteiten evalueren, waaronder planning, voorbereiding, detectie en reactie op een dergelijke gebeurtenis.”
In het VK zei Lindy Cameron, chief executive van GCHQ's National Cybersecurity Centre: "In een wereld die zo sterk afhankelijk is van digitale activa, is cyberweerbaarheid belangrijker dan ooit... Het VK is dichter bij de crisis in Oekraïne dan je denkt ... Als de situatie blijft verslechteren, kunnen we cyberaanvallen zien die internationale gevolgen hebben, al dan niet opzettelijk.”
Bedrijfsreactie op de situatie
Elk bedrijf waar ook ter wereld dat zichzelf te klein of te onschadelijk vindt om het risico te lopen van cyberspillover van deze oorlog, zou moeten heroverwegen. De snelheid waarmee NotPetya zich over de wereld verspreidde en de willekeurige aard van zijn slachtoffers zou een waarschuwing moeten zijn. Het is niet zeker dat cyberagressie zich buiten Rusland/Oekraïne zal verspreiden, maar het is een duidelijke mogelijkheid.
Alle organisaties dienen zich zo goed en zo snel mogelijk voor te bereiden. Het zijn de basisprincipes die het meest urgent zijn - te beginnen met een goed geïnformeerd en bewust personeelsbestand. Elke cyberbewuste medewerker is in feite een menselijke firewall.
Verder moeten alle patches zo snel mogelijk worden bijgewerkt. Anti-malware-applicaties moeten worden onderhouden met de laatst mogelijke versie en ingesteld om regelmatig automatische scans uit te voeren.
En als MFA nog niet is geïmplementeerd, moet het zo snel mogelijk worden geïnstalleerd en geactiveerd.
Verwant: Rusland, Oekraïne en het gevaar van een wereldwijde cyberoorlog
Verwant: Rusland vs Oekraïne - De oorlog in cyberspace
Verwant: Praten over wereldwijde cyberoorlog met Anton Shingarev . van Kaspersky Lab
Verwant: Praten over Britse cyberoorlog met Sir David Omand
Kevin Townsend is Senior Contributor bij SecurityWeek. Hij schrijft al sinds de geboorte van Microsoft over hightech-problemen. De laatste 15 jaar heeft hij zich gespecialiseerd in informatiebeveiliging; en heeft vele duizenden artikelen gepubliceerd in tientallen verschillende tijdschriften - van The Times en de Financial Times tot huidige en lang vervlogen computertijdschriften.
Tags:
