Cyberaanvallen op Oekraïne in volle gang: malware verspreid die computers sloopt

De malware is ontdekt door cybersecuritybedrijven ESET en Symantec, die het virus op honderden Oekraïense computers hebben waargenomen. Ook is de malware gespot in Letland en Litouwen.

De aanvallers zaten al een aantal maanden in de netwerken van de getroffen Oekraïense organisaties, vertelt Dave Maasland van ESET: "Ze lijken bewust dit moment te hebben gekozen om de malware uit te rollen om het land verder te destabiliseren."

Computers slopen

De malware, een zogeheten wiper, is gemaakt om computers digitaal te slopen. Bij ransomware worden bestanden versleuteld en vragen de aanvallers losgeld, bij een wiper worden de bestanden kapotgemaakt en is er vaak geen weg terug. "Een wiper wordt alleen ingezet als je je tegenstander extreme schade wil toebrengen, het wordt heel bewust ingezet om dingen stuk te maken en zo onrust, chaos en angst te creëren", vertelt cybersecurityexpert Frank Groenewegen van Deloitte.

Groenewegen onderzocht voor zijn werk een aantal van dit soort wiperaanvallen: "Met een wiper worden complete pc's of computernetwerken verwoest. Als dat gebeurt bij vitale infrastructuur, zoals energiebedrijven, telecom of banken, kun je grote maatschappelijke onrust veroorzaken. Een wiper is in de cybersecurity het meest beangstigende scenario."

Er staan inmiddels in Oekraïne grote rijen voor de pinautomaten, zo ziet RTL Nieuws-correspondent Jeroen Akkermans:

Digitale oorlogsvoering

De wiperaanval volgt op een aantal eerdere digitale aanvallen op Oekraïne. Half januari werd er ook een wiper in het land verspreid, die was vermomd als een ransomware-aanval, bleek uit onderzoek van Microsoft. En de afgelopen dagen zijn Oekraïense overheidswebsites aangevallen met DDoS-aanvallen, waardoor ze tijdelijk offline gingen. 

De oorlog die nu wordt gevoerd zal zich dan ook voor een groot deel in het digitale domein afspelen, stelt Maasland: "Oekraïne wordt al zeven jaar bestookt met cyberaanvallen. In 2015 en 2016 werden delen van het elektriciteitsnetwerk van Oekraïne platgelegd door hacks. Er wordt al jaren geprobeerd om het land steeds verder te ontwrichten, maar de aanvallen die nu gepaard gaan met de invasie is een vorm van digitale oorlogsvoering die we nog niet eerder hebben gezien."

Hoe werkt een wiper?

Een wiper is een vorm van malware die een computer infecteert en vervolgens belangrijke bestanden beschadigt. Deze bestanden zorgen er bijvoorbeeld voor dat een computer werkt en opnieuw kan opstarten. De wiper sluit de computer af en deze start vervolgens niet meer op.

De aanvallers

De wiper, die momenteel bekend is als HermeticWiper, wordt momenteel onderzocht. De herkomst is nog onduidelijk, maar signalen wijzen naar Rusland: "Het past bij de manier waarop Rusland al jaren in het digitale domein opereert", vertelt Groenewegen. "De westerse inlichtingendiensten hebben al eerder bewijs geleverd dat Rusland achter grote cyberaanvallen op Oekraïne zat."

De huidige digitale aanval lijkt op de NotPetya-aanval uit 2017. Toen werden veel Oekraïense bedrijven geraakt door een wiper die veel schade aanrichtte. Ook Europese bedrijven raakten besmet met NotPetya: onder andere het Deense logistiekbedrijf Maersk en de Rotterdamse dochteronderneming APM Terminals lagen een tijd lang plat. 

Maasland denkt dat het een realistisch scenario is dat ook Nederland slachtoffer kan worden van deze cyberaanvallen: "De huidige wiper is al waargenomen in Litouwen en Letland en er zijn veel Nederlandse bedrijven met vestigingen in Oekraïne waarvan de netwerken met elkaar verbonden zijn. Daarnaast speelt Nederland een rol in dit conflict omdat we hulp verlenen aan Oekraïne en daarmee een verhoogd risicoprofiel hebben."

Cyberhulp van Europa

Oekraïne krijgt digitale ondersteuning van het Europese Cyber Rapid Response Team (CRRT). Het initiatief, dat in 2020 werd opgericht, wordt door Litouwen gecoördineerd. Naast Nederland maken ook Estland, Finland, Kroatië en Roemenië er deel van uit. Het team moet Oekraïne ondersteunen met de digitale verdediging tegen de cyberaanvallen.

Het is nog niet helemaal duidelijk hoe die verdediging eruit gaat zien. Groenewegen verwacht dat het team vooral op zoek gaat naar kwetsbaarheden in de systemen en netwerken van vitale Oekraïense infrastructuur: "Je kunt het team ook zien als een verlengstuk van de deelnemende landen, die allemaal hun eigen kennis en middelen hebben om dit soort aanvallen tegen te gaan. En dan lijkt me die steun heel goed."

Aanvallen makkelijker dan verdedigen

Rusland is een grootmacht op digitaal gebied, legt Groenewegen uit: "Ze opereren al heel lang in het digitale domein en ik heb Russische cyberaanvallen onderzocht die ontzettend geavanceerd en technisch complex zijn. Het lastige voor Oekraïne is dat digitaal aanvallen een stuk makkelijker is dan verdedigen."

Ook Maasland denkt dat Oekraïne momenteel niet veel meer kan dan verdedigen: "Technische expertise is altijd schaars en alle prioriteiten liggen nu bij het verdedigen in plaats van aanvallen. Dat merk je ook aan de digitale hulp die Oekraïne nu krijgt: alles is erop gericht om Oekraïne te helpen verdedigen."

Lastig en gevaarlijk

Het lastige aan cyberaanvallen is dat het soms lastig aan een aanvaller te koppelen is, legt Groenewegen uit: "Je kunt nu cyberaanvallen uitvoeren die lijken alsof ze vanuit Rusland of juist Oekraïne komen, om zo nog meer olie op het vuur te gooien en eventueel ongecontroleerde tegenreacties uit te lokken. Je kunt altijd ontkennen, en dat maakt het zo lastig en gevaarlijk."

Rusland heeft vorige week ontkend dat het achter de cyberaanvallen op Oekraïne zit. De Russische ambassade zei tegen Reuters dat deze claims 'nergens op gebaseerd' zijn.