Beheer

Security
Raketten en wapens die uit telefoonscherm komen, om cyberoorlog te illustreren.

Zo volgt Mandiant (Google) de Russische cyberoorlog tegen Oekraïne

Oorlog begon al jaren voor de Russische invasie en stopt voorlopig niet. 

10 mei 2023

Oorlog begon al jaren voor de Russische invasie en stopt voorlopig niet. 

De oorlog tussen Rusland en Oekraïne speelt zich niet alleen op Oekraïens grondgebied af. Er woedt ook een cyberoorlog tegen het land, en in mindere mate tegen landen die Oekraïne steunen. Die cyberoorlog begon al jaren vóór de daadwerkelijke oorlog, legt cybersecuritybedrijf Mandiant uit in een uitgebreid rapport. Mike Hart, die leiding geeft aan de West-Europese tak van Mandiant, geeft uitleg bij de inzichten en toekomstverwachtingen.

Hart ontvangt AG Connect in Google’s Safety Engineering Center in München, waar hij werkt sinds Google Mandiant vorig jaar kocht voor zo’n vijf miljard euro. Mandiant maakt sindsdien onderdeel uit van Google Cloud en werkt nauw samen met Google’s Threat Analysis Group (TAG) en Google’s Trust en Safety-team. De drie afdelingen hebben bijvoorbeeld de handen ineengeslagen om tot het 46 pagina’s tellende Fog of War-rapport te komen dat de cyberoorlog tegen Oekraïne duidt.

Hoewel het rapport zich grotendeels focust op het eerste oorlogsjaar, is er ook veel aandacht voor wat er daarvoor gebeurd is. Dat is bewust, vertelt Hart. “Oekraïne was al jaren een soort sandbox-omgeving voor Russische hackers met staatssteun. Denk aan NotPetya uit 2017, malware gericht op Oekraïense instanties die ook veel computers in andere landen vergrendelde.” NotPetya legde in Nederland bijvoorbeeld dagenlang de containerterminals in de Rotterdamse haven plat.

Oekraïne werd nog veel harder geraakt, en niet alleen door NotPetya. Hart: “Voor de start van de oorlog in februari 2022 hebben Russische hackers zich al erg gefocust op het binnendringen van de gezondheidszorg, energiesector, ministeries en meer takken. Dat deden ze vooral met wipers, die bedoeld zijn om de gegevens van onder meer burgers te verkrijgen en eventueel te verwijderen.” Mandiant werkt sinds de Russische invasie nauw samen met de Oekraïense overheid. “Zo hebben we ook ontdekt dat de Russen sinds 2016 Oekraïense gegevens buitgemaakt hebben, maar hier een tijd niets mee gedaan hebben.”

Oekraïne meer onder vuur

Oekraïne is na de Russische invasie veel meer en vooral prominenter digitaal onder vuur komen te liggen. Russische staatshackers vallen Oekraïne sindsdien meer aan dan welk ander land dan ook. Het aantal aanvallen was vorig jaar 250% hoger dan in 2020, zegt Hart. “We hebben in de eerste vier maanden van 2022 meer destructieve cyberaanvallen op Oekraïne gezien dan in de vorige acht jaar samen. De eerste maanden waren voor Mandiant-medewerkers dan ook erg druk. We hadden nog nooit zoiets meegemaakt.” De explosieve stijging van het aantal aanvallen komt volgens het Mandiant-rapport ten eerste omdat verschillende hackersgroepen hun aanvallen op Oekraïne geïntensiveerd hebben en ten tweede omdat sommige andere hackersgroepen hun focus verlegd hebben van andere landen naar Oekraïne.

De meeste cyberaanvallen richten zich op overheidswebsites (35,1%), gmail.com-adressen (34,3%) en militaire websites (13,8%). Kijkend naar de websites van de Oekraïense overheid en het leger, staat het ministerie van Defensie met stip op één. Daarna volgen het ministerie van Buitenlandse zaken, de organisatie voor civiele zaken en het staatswaterbedrijf. Deze grootschalige aanvallen sluiten volgens Mandiant aan op gerichte Russische (phishing)campagnes tegen hooggeplaatste of cruciale medewerkers van Oekraïense nutsbedrijven, bijvoorbeeld via hun Gmail-adressen. De combinatie van deze twee aanvalstypen is logisch, vertelt Hart. “Russische hackers hebben het doel om Oekraïne te destabiliseren. Daarom waren en zijn veel aanvallen gericht op ministeries, maar ook op instanties die verantwoordelijk zijn voor cruciale zaken als water, energie en veiligheid.”  

Techbedrijven helpen Oekraïne, klanten en eindgebruikers

Mike Hart, hoofd van Mandiant West-Europa. © Google
Mike Hart, hoofd van Mandiant West-Europa. © Google

Om Google-gebruikers uit Oekraïne en andere landen te beschermen, voegt Google geïdentificeerde malafide websites en domeinen toe aan zijn Safe Browsing-database. Die blokkeert ze voor gebruikers. En de techreus informeert gebruikers die doelwit zijn van staatshackers “wanneer dat gepast is” van de aanval(spoging). In zijn algemeenheid raadt Google gebruikers aan om softwareupdates voor apparaten direct te installeren met als extra tip voor Chrome-gebruikers om Enhanced Safe Browsing in te schakelen. In deze beveiligde modus loop je 35% minder kans om 'succesvol' slachtoffer van phishing te worden, gaf Google al in 2021 aan.

Mandiant en Google zijn niet de enige ICT-bedrijven die Oekraïne helpen zich te verdedigen tegen Russische hackers. Microsoft en Amazon werken bijvoorbeeld ook nauw samen met de Oekraïense overheid om haar ICT-systemen te beschermen tegen malware, ransomware en andere digitale aanvallen. Die hulpverlening is ook in het belang van de techreuzen, want gevaarlijke software snel herkennen en onschadelijk maken verkleint de kans dat die software naast het oorspronkelijke doelwit ook de ICT-systemen van klanten en eindgebruikers besmet. Hart zegt dat Mandiant en Google goed contact hebben met andere techgiganten om Oekraïne te helpen zich te verdedigen in deze cyberoorlog. 

Aanvallen op NAVO-landen

Dat Russische en Belarussische hackers zich in 2022 met name gericht hebben op het aanvallen van Oekraïne, betekent niet dat andere landen zich veilig(er) konden wanen. Vooral landen die Oekraïne voorzien van militaire, humanitaire of andere hulp, zijn (en worden) veel vaker bestookt. Zo noteerde Mandiant ten opzichte van 2020 vorig jaar 300% meer phishingcampagnes gericht op NAVO-landen. De grote stijging is volgens het cybersecuritybedrijf vooral het werk van Pushcha, hackers die steun krijgen van de Belarussische overheid en nauw samenwerken met Rusland.

Grenzen bewaken

Niet alle verwachtingen van Mandiant over de cyberoorlog tegen Oekraïne zijn overigens uitgekomen. Het beveiligingsbedrijf had verwacht dat Russische hackers in het eerste oorlogsjaar ook meer cyberaanvallen zouden uitvoeren op kritieke infrastructuur buiten Oekraïne. Ransomware-aanvallen bijvoorbeeld, zoals die in 2021 waarbij een grote oliepijplijn in de Verenigde Staten dagenlang niet werkte. Pas na het betalen van bijna vijf miljoen dollar losgeld werden de cruciale ICT-systemen ontgrendeld.

Maar wat blijkt: Mandiant heeft vorig jaar geen noemenswaardige stijging gezien in het aantal ransomware-aanvallen op kritieke infrastructuur van NAVO-landen. De reden is vermoedelijk alleen bekend in het Kremlin, maar Hart denkt dat de Russische hackers met staatssteun simpelweg erg gefocust waren op Oekraïne en dat de hackers bewust geen kritieke infrastructuur aangevallen hebben om niet off limit te gaan. “De Verenigde Staten bijvoorbeeld hebben hun grenzen afgebakend en de hackers lijken hier rekening mee te houden.”

Toekomstverwachtingen

Google en Mandiant verwachten niet dat de Russische cyberoorlog snel ten einde komt. Integendeel: de organisaties rekenen erop dat Rusland door blijft gaan met cyberaanvallen tegen Oekraïne en NAVO-landen. Die aanvallen moeten bijdragen aan de Russische strategie om informatie in te winnen en te destabiliseren. Russische hackers blijven naar verwachting ook digitale aanvallen uitvoeren die verband houden met het fysieke slagveld, bijvoorbeeld troepenverliezen. “Deze aanvallen richten zich met name op Oekraïne maar breiden zich uit naar NAVO-landen”, zo is in het rapport te lezen.

Tot slot zeggen Google en Mandiant “matig vertrouwen” te hebben dat Rusland het tempo en de reikwijdte van zijn (des)informatiecampagnes blijft vergroten. De bedrijven wagen zich niet aan een voorspelling of Rusland hier succes mee gaat boeken of juist meer weerstand tegen zijn oorlog ontwikkelt. Google geeft wel aan dat het hulp blijft verlenen aan organisaties “voor, tijdens en na” veiligheidsincidenten.

Bij TAG en Mandiant ligt tegelijkertijd de taak om andere threat actors over de hele wereld te monitoren en te voorkomen dat zij misbruik maken van het feit dat de cybersecuritywereld zich zo bezighoudt met Oekraïne. Mandiant doet veel inzichten op in die cyberoorlog, vertelt Hart. “We hebben zo'n tweeduizend personen actief op dark web-fora, waaronder vijftig analisten die niets anders doen dan analyseren welke trends er op het dark web plaatsvinden en wat we kunnen verwachten. Die inzichten kunnen we gebruiken in de toekomst.”      

Lees meer over
3
Reacties
Bop 12 mei 2023 17:28

'Zendbuks', 'waaipers'.

Bop 12 mei 2023 17:25

'Zenbuks' is een soort zandbak, zeg maar.
Proefgebied.

R.Heinen 10 mei 2023 10:33

De bescherming tegen dit soort aanvallen door Google is een van de redenen dat universiteitsdata opgeslagen wordt bij Google, zie bijvoorbeeld ook het onderzoek op https://arxiv.org/pdf/2104.09462.pdf

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.