Cyberterreur is wapen in Koude Wereldoorlog op het web
De verspreiders van het NotPetya-virus waren niet uit op geld maar wilden zoveel mogelijk economische schade aanrichten. De vraag is: zat een staat, groepering of beide achter deze cyberterreur? En welke rol speelt het pro-Russische hackerscollectief Shadow Brokers in deze 'koude www-ereldoorlog' waarin zelfs veiligheidslekken van nucleaire raketten worden geveild op het darknet?
De cyberaanval met de ransomware NotPetya leek dinsdag aanvankelijk criminele motieven te hebben. De daders vroegen 300 dollar in bitcoins om versleutelde computers vrij te geven. Maar al snel bleek het geld een rookgordijn. De betalingsmodaliteiten waren amateuristisch en werden snel verstoord. Slechts enkele slachtoffers betaalden 10.000 dollar uit, terwijl NotPetya intussen doelgericht cruciale infrastructuur lamlegde in Oekraïne – zoals de luchthaven en de centrale bank – en in Europa, waar zee- en luchttransportbedrijven werden getroffen. Volgens cyberbeveiligers lijkt NotPetya dan ook meer op doelgerichte malware, ontworpen om zoveel mogelijk economische schade aan te richten.
“NotPetya-ransomware werd ontworpen om snel en vernietigend te werk te gaan”, merkte Christiaan Beek, hoofdingenieur van beveiligingsbedrijf McAfee op, terwijl Kobi Ben Naim, directeur van CyberArk Labs, de “nieuwe malware als zeer gevaarlijk” bestempelt “omdat ze de master boot record van computers versleutelt, in de plaats van documenten en toepassingen”. Hierdoor kan men computers zelfs niet herconfigureren. Ook besmet het virus netwerken van binnenuit.
'NotPetya-ransomware werd ontworpen om snel en vernietigend te werk te gaan'
De vraag is nu: zat een staat, een autonome groepering of beide achter deze 'digitale terreuraanslag'?
Oekraïne ziet, net zoals bij eerdere cyberaanvallen uit het verleden, de hand van de Russische inlichtingendienst GRU, als vergelding voor de oorlog die beide uitvechten in het oosten van het land. Bovendien kwam, zowat gelijktijdig met de digitale aanval, het hoofd van de Oekraïense special forces, Maksym Shapoval, om bij een bomaanslag. De Russen stellen daartegenover dat hun staatsoliebedrijf Rosneft ook getroffen werd door NotPetya, al bleek de schade daar erg beperkt.
Ook de timing kan wijzen op Russische betrokkenheid. Oekraïne vierde gisteren 'grondwetsdag'. Europese bedrijven werden dan weer getroffen daags voor de EU, zoals vooraf aangekondigd, gisteren zijn economische sancties tegen Rusland met een half jaar verlengde. Je zou NotPetya in die context kunnen interpreteren als een vergelding.
'The Shadow Brokers'
En dan is er nog een ander toeval, dat door geen enkele cyberexpert als toeval wordt gezien. Kort na de NotPetya-aanval maakte de beruchte hackersgroep The Shadow Brokers – vermoedelijk Russen – bekend dat ze nieuwe cyberwapens gaat veilen die ze in handen kregen na een diefstal bij het Amerikaanse National Security Agency (NSA). Dezelfde groep maakte in mei het Eternal Blue-veiligheidslek in Windows-besturingssysteem openbaar – tot dan een geheim van de NSA. Eternal Blue werd in mei misbruikt om het Wannacry-virus te verspreiden en dinsdag ook als één van de toegangspoortjes voor NotPetya.
In hun bericht bedreigt The Shadow Brokers nu ook een private Amerikaanse cyberexpert, die ze de 'doctor' noemen, en vroeger gewerkt zou hebben voor de Equation Group – zoals de hackexperten van de NSA zich noemen. Ze waarschuwen hem dat ze zijn naam zullen bekendmaken, alsook details over zijn vroegere cyberspionage-acties in China. Ook steken ze de draak met een potentiële koper van hun data, waarvan ze vermoeden dat het gaat om de FBI.
Kort na de NotPetya-aanval maakte de beruchte hackersgroep The Shadow Brokers – vermoedelijk Russen – bekend dat ze nieuwe cyberwapens gaat veilen die ze in handen kregen na een diefstal bij de NSA
Het lijkt een spionageoorlog die John Le Carré niet had durven bedenken voor zijn thrillers, maar die door veiligheidsexperten bloedernstig wordt genomen. The Shadow Brokers dreigde namelijk eerder al om informatie van de NSA te gaan veilen, met veiligheidslekken van web browsers, routers, smartphones, gegevens van het internationale geldtransfernetwerk Swift en “gecompromitteerde netwerkdata van Russische, Chinese, Iraanse en Noord-Koreaanse kernwapen- en raketprogramma's.”
Het is deze verontrustende informatie die ze nu vermoedelijk te koop aanbieden. Daarmee komen grimmige voorspellingen uit van beveiligingsbedrijven, die al langer waarschuwen voor de verkoop van strategische malware aan de meestbiedende.
Iedereen kan slachtoffer zijn
Aan kandidaat-kopers en potentiële daders van cyberterreur is er helaas geen gebrek. Zowat elke inlichtingendienst van de grootmachten beschikt vandaag over hackersgroepen die in hun opdracht in een race tegen de tijd verwikkeld zijn om elkaars economische en politieke geheimen te ontfutselen of, zoals met NotPetya, economische sabotageoperaties uit te voeren via gesofisticeerde malware.
Zowat elke inlichtingendienst van de grootmachten beschikt over hackersgroepen die in hun opdracht in een race tegen de tijd verwikkeld zijn om elkaars economische en politieke geheimen te ontfutselen
Zo lanceren de Russen cyberaanvallen via hackers met pseudoniemen als Fancy- en Cozy Bear, Cozy Duke, Sofacy, Pawn Storm of Sandworm. De Amerikaanse NSA gebruikt haar Equation Group en het Chinese leger de Comment Crew (ook bekend als APT1 of Shangai Group). De Lazarus Group opereert als de cyberoorlogeenheid van Noord-Korea.
Tussen hen woedt een 'koude www-ereldoorlog'. Willekeurige computernetwerken worden er al voor gebruikt. Iedereen kan een volgende slachtoffer zijn.