Zo volgt Mandiant (Google) de Russische cyberoorlog tegen Oekraïne

Oekraïne meer onder vuur

Oekraïne is na de Russische invasie veel meer en vooral prominenter digitaal onder vuur komen te liggen. Russische staatshackers vallen Oekraïne sindsdien meer aan dan welk ander land dan ook. Het aantal aanvallen was vorig jaar 250% hoger dan in 2020, zegt Hart. “We hebben in de eerste vier maanden van 2022 meer destructieve cyberaanvallen op Oekraïne gezien dan in de vorige acht jaar samen. De eerste maanden waren voor Mandiant-medewerkers dan ook erg druk. We hadden nog nooit zoiets meegemaakt.” De explosieve stijging van het aantal aanvallen komt volgens het Mandiant-rapport ten eerste omdat verschillende hackersgroepen hun aanvallen op Oekraïne geïntensiveerd hebben en ten tweede omdat sommige andere hackersgroepen hun focus verlegd hebben van andere landen naar Oekraïne.

De meeste cyberaanvallen richten zich op overheidswebsites (35,1%), gmail.com-adressen (34,3%) en militaire websites (13,8%). Kijkend naar de websites van de Oekraïense overheid en het leger, staat het ministerie van Defensie met stip op één. Daarna volgen het ministerie van Buitenlandse zaken, de organisatie voor civiele zaken en het staatswaterbedrijf. Deze grootschalige aanvallen sluiten volgens Mandiant aan op gerichte Russische (phishing)campagnes tegen hooggeplaatste of cruciale medewerkers van Oekraïense nutsbedrijven, bijvoorbeeld via hun Gmail-adressen. De combinatie van deze twee aanvalstypen is logisch, vertelt Hart. “Russische hackers hebben het doel om Oekraïne te destabiliseren. Daarom waren en zijn veel aanvallen gericht op ministeries, maar ook op instanties die verantwoordelijk zijn voor cruciale zaken als water, energie en veiligheid.”  

Techbedrijven helpen Oekraïne, klanten en eindgebruikers

Om Google-gebruikers uit Oekraïne en andere landen te beschermen, voegt Google geïdentificeerde malafide websites en domeinen toe aan zijn Safe Browsing-database. Die blokkeert ze voor gebruikers. En de techreus informeert gebruikers die doelwit zijn van staatshackers “wanneer dat gepast is” van de aanval(spoging). In zijn algemeenheid raadt Google gebruikers aan om softwareupdates voor apparaten direct te installeren met als extra tip voor Chrome-gebruikers om Enhanced Safe Browsing in te schakelen. In deze beveiligde modus loop je 35% minder kans om 'succesvol' slachtoffer van phishing te worden, gaf Google al in 2021 aan.

Mandiant en Google zijn niet de enige ICT-bedrijven die Oekraïne helpen zich te verdedigen tegen Russische hackers. Microsoft en Amazon werken bijvoorbeeld ook nauw samen met de Oekraïense overheid om haar ICT-systemen te beschermen tegen malware, ransomware en andere digitale aanvallen. Die hulpverlening is ook in het belang van de techreuzen, want gevaarlijke software snel herkennen en onschadelijk maken verkleint de kans dat die software naast het oorspronkelijke doelwit ook de ICT-systemen van klanten en eindgebruikers besmet. Hart zegt dat Mandiant en Google goed contact hebben met andere techgiganten om Oekraïne te helpen zich te verdedigen in deze cyberoorlog. 

Aanvallen op NAVO-landen

Dat Russische en Belarussische hackers zich in 2022 met name gericht hebben op het aanvallen van Oekraïne, betekent niet dat andere landen zich veilig(er) konden wanen. Vooral landen die Oekraïne voorzien van militaire, humanitaire of andere hulp, zijn (en worden) veel vaker bestookt. Zo noteerde Mandiant ten opzichte van 2020 vorig jaar 300% meer phishingcampagnes gericht op NAVO-landen. De grote stijging is volgens het cybersecuritybedrijf vooral het werk van Pushcha, hackers die steun krijgen van de Belarussische overheid en nauw samenwerken met Rusland.

Grenzen bewaken

Niet alle verwachtingen van Mandiant over de cyberoorlog tegen Oekraïne zijn overigens uitgekomen. Het beveiligingsbedrijf had verwacht dat Russische hackers in het eerste oorlogsjaar ook meer cyberaanvallen zouden uitvoeren op kritieke infrastructuur buiten Oekraïne. Ransomware-aanvallen bijvoorbeeld, zoals die in 2021 waarbij een grote oliepijplijn in de Verenigde Staten dagenlang niet werkte. Pas na het betalen van bijna vijf miljoen dollar losgeld werden de cruciale ICT-systemen ontgrendeld.

Maar wat blijkt: Mandiant heeft vorig jaar geen noemenswaardige stijging gezien in het aantal ransomware-aanvallen op kritieke infrastructuur van NAVO-landen. De reden is vermoedelijk alleen bekend in het Kremlin, maar Hart denkt dat de Russische hackers met staatssteun simpelweg erg gefocust waren op Oekraïne en dat de hackers bewust geen kritieke infrastructuur aangevallen hebben om niet off limit te gaan. “De Verenigde Staten bijvoorbeeld hebben hun grenzen afgebakend en de hackers lijken hier rekening mee te houden.”

Toekomstverwachtingen

Google en Mandiant verwachten niet dat de Russische cyberoorlog snel ten einde komt. Integendeel: de organisaties rekenen erop dat Rusland door blijft gaan met cyberaanvallen tegen Oekraïne en NAVO-landen. Die aanvallen moeten bijdragen aan de Russische strategie om informatie in te winnen en te destabiliseren. Russische hackers blijven naar verwachting ook digitale aanvallen uitvoeren die verband houden met het fysieke slagveld, bijvoorbeeld troepenverliezen. “Deze aanvallen richten zich met name op Oekraïne maar breiden zich uit naar NAVO-landen”, zo is in het rapport te lezen.

Tot slot zeggen Google en Mandiant “matig vertrouwen” te hebben dat Rusland het tempo en de reikwijdte van zijn (des)informatiecampagnes blijft vergroten. De bedrijven wagen zich niet aan een voorspelling of Rusland hier succes mee gaat boeken of juist meer weerstand tegen zijn oorlog ontwikkelt. Google geeft wel aan dat het hulp blijft verlenen aan organisaties “voor, tijdens en na” veiligheidsincidenten.

Bij TAG en Mandiant ligt tegelijkertijd de taak om andere threat actors over de hele wereld te monitoren en te voorkomen dat zij misbruik maken van het feit dat de cybersecuritywereld zich zo bezighoudt met Oekraïne. Mandiant doet veel inzichten op in die cyberoorlog, vertelt Hart. “We hebben zo'n tweeduizend personen actief op dark web-fora, waaronder vijftig analisten die niets anders doen dan analyseren welke trends er op het dark web plaatsvinden en wat we kunnen verwachten. Die inzichten kunnen we gebruiken in de toekomst.”