Waarom wijzen de vingers al snel naar Rusland bij cyberaanvallen, hoe zit dat eigenlijk?

Gepubliceerd op 3 november 2021 om 15:00

Russische hackers zijn berucht. Met regelmaat worden ze in verband gebracht met grootschalige cyberaanvallen op bedrijven en overheden. Hoe kan dat en in hoeverre heeft het Kremlin daar iets mee te maken?

Amerikaanse infrastructuur ‘verboden terrein’

Naar eigen zeggen liet Joe Biden er afgelopen juni tijdens zijn eerste ontmoeting met zijn Russische collega Vladimir Poetin geen misverstand over bestaan. Tijdens de tête-à-tête stelde de Amerikaanse president dat cyberaanvallen op kritieke Amerikaanse infrastructuur ‘verboden terrein’ is voor het Kremlin. ‘Ik keek hem aan en vroeg: hoe zou u zich voelen als ransomware de pijpleidingen van uw olievelden aan zou vallen’

Hoewel de uitspraak voor de buitenwacht wellicht een hoog melodramatisch Hollywoodgehalte had, was Biden bloedserieus. Een maand eerder had zich aan de oostkust van de Verenigde Staten namelijk een van de grootste cyberaanvallen uit de geschiedenis voltrokken. Met een digitale aanval die gebruik maakte van zogeheten ransomware lukte het hackers om van buitenaf de computersystemen van Colonial Pipeline binnen te dringen.

Door die hack viel vrijwel het hele pijpleidingennetwerk van het Amerikaanse bedrijf stil. Met alle consequenties van dien. Colonial Pipeline geldt immers als een van de belangrijkste beheerders van oliepijpleidingen in de VS en dus ontstond er na de hack een schrijnend tekort aan brandstof aan de Amerikaanse oostkust. In diverse staten kwamen benzinestations zonder brandstof te zitten en elders ontstonden lange rijen met automobilisten die brandstof wilden hamsteren.

Daags voor de ontmoeting tussen Biden en Poetin was het bovendien weer raak toen hackers de systemen van vleesverwerker JBS binnen wisten binnen te dringen, waardoor tientallen slachterijen in de VS hun werk stil moesten leggen. Ook een grootschalige hack bij Kasaeya, een ontwikkelaar van IT-managementsoftware, zorgde er in juli voor dat zo’n 1500 bedrijven wereldwijd werden lamgelegd.

In alle bovenstaande gevallen maakten hackers gebruik van zogenoemde ransomware. In het Nederlands vaak vertaalt als ‘gijzelingssoftware’: software gijzelt en blokkeert een computer- of besturingssysteem en vervolgens eisen hackers losgeld in de vorm van bitcoins of andere cryptovaluta in ruil voor een digitale sleutel waarmee bedrijven hun systemen weer van het slot kunnen halen.

Sporen naar Rusland

De Amerikaanse autoriteiten denk dat Poetin of het Kremlin daarmee te maken hebben. Volgens Washington leidde het spoor van de recente grote cyberaanvallen zoals die tegen JBS, Colonial Pipeline en Kaseya zonder uitzondering naar Rusland. Ze zouden het werk zijn van criminele groeperingen met sciencefictionachtige namen als REvil en DarkSide. Die cybercriminelen zouden bovendien nauw samenwerken met de Russische veiligheidsdiensten die op hun beurt weer handelen in opdracht van het Kremlin.

Het klinkt als vragen naar de bekende weg: de systemen liggen plat, er heerst chaos, het Kremlin zal er wel achter zitten. Eén plus één is twee. Maar zo eenvoudig is het niet, weet Dennis Broeders, hoogleraar Global Security and Technology aan de Universiteit Leiden. ‘Er zijn inderdaad sterke vermoedens dat diverse Russische hackersgroepen in nauw contact staan met de Russische autoriteiten, maar het valt nooit helemaal te bewijzen.’

Wat wél met grote zekerheid valt te zeggen, is dat cybercriminelen in Rusland een stuk vrijer kunnen bewegen dan in veel andere landen. Dat heeft alles te maken met een ongeschreven contract tussen de staat en de hackerscollectieven, meent Broeders. ‘Zolang hackers Russische bedrijven met rust laten en geen bedreiging vormen voor het Kremlin of mensen verbonden aan het Kremlin, kunnen internetcriminelen min of meer doen en laten wat ze willen.’

Broeders vergelijkt de verstandhouding tussen het Kremlin en de hackersgroeperingen met een hofcultuur uit de middeleeuwen. ‘Cybercriminelen weten wat ze kunnen maken ten opzichte van het regime. Ze zijn er goed van doordrongen wat de tsaar toelaatbaar vindt en wat absoluut niet door de beugel kan.’ Bovendien snijdt het mes aan twee kanten, stelt de hoogleraar. ‘De hackers vallen het Kremlin niet lastig en in ruil daarvoor houdt het Kremlin cybercriminelen doorgaans de hand boven het hoofd, bijvoorbeeld door ze niet uit te leveren aan andere landen.’

Daarnaast zijn er ook genoeg verhalen over de Russische geheime diensten die rekruteren in het criminele circuit. ‘Cybercriminelen die hun kop te ver boven het maaiveld uitsteken, worden zeker wel eens benaderd door veiligheidsdiensten als de FSB, GROe en SVR’, zegt Broeders. ‘Ze worden vervolgens onder zachte dwang ertoe aangezet om wat hand- en spandiensten te verrichten voor de inlichtingendiensten. Daar valt voor die hackers waarschijnlijk wel mee te leven, aangezien ze voor de rest een plek onder de zon hebben in Rusland. Ze kunnen in de relatieve luwte hun leven leiden.’

Dmitri Artimovitsj Russische ex-hacker

Iemand die daarover mee kan praten is Dmitri Artimovitsj. De Russische ex-hacker bewoog zich altijd al langs de schaduwzijde van het internet, vertelt hij in een e-mail vanuit Novosibirsk. ‘Ik hield me vooral bezig met het ontwikkelen van een botnet (een softwareprogramma dat automatisch ongewenste e-mails verstuurt naar talloze internetgebruikers, red.) waarmee ik spam stuurde voor viagra.’ Een betrekkelijk onschuldige bezigheid waarmee hij vrij ongestoord zijn gang kon gaan en het nodige geld verdiende.

Pas in 2013 overschreed hij een grens. ‘Iemand vroeg me om een DDoS-aanval op het betalingssysteem van Aeroflot (de Russische nationale luchtvaartmaatschappij, red.) uit te voeren. Dat deed ik. Ik vond het een interessante opdracht en realiseerde me niet dat het onwettig was’. Dankzij die opdracht belandde Artimovitsj in 2013 in de cel. Klaarblijkelijk was hij een grens gepasseerd bij de Russische autoriteiten.

Tijdens zijn voorarrest werd Artimovitsj benaderd door een celgenoot. ‘Hij vertelde me over mogelijkheden om voor de FSB te werken’. Hij zei dat mensen die vastzitten voor cybermisdaden nog voor hun rechtszaak vrij konden komen als ze namens de veiligheidsdienst voor de overheid gingen werken. Artimovitsj wees het aanbod af en belandde één jaar in een strafkamp. ‘Ik was liever een vrij man’, legt hij zijn keuze uit.

Zoals Artimovitsj lopen er duizenden mensen rond in Rusland. Allemaal zijn ze handig met computers en velen van hen bewegen zich in het gebied van de cybercriminaliteit. Dat komt volgens de ex-hacker voornamelijk doordat mensen met een IT-opleiding in Rusland moeilijk aan regulier werk komen. ‘De Sovjet-Unie stond bekend om het goede IT-onderwijs. Toen de USSR viel, konden veel jonge mensen geen baan meer vinden, maar ze hadden wel een computer. Dat betekende makkelijk geld verdienen via de cybercriminaliteit.’

Sinds de jaren 90

Eigenlijk is er sinds de jaren negentig wat dat betreft weinig veranderd. De IT-opleidingen in Rusland behoren nog altijd tot de beste van de wereld, maar het ontbreekt in Moskou aan een goede Russische tegenhanger van Silicon Valley waar whizkids bij grote techbedrijven salarissen als moderne rocksterren verdienen. Zodoende belanden veel van hen in het grijze gebied tussen criminaliteit en overheid.

Daarom is het ook onwaarschijnlijk dat de opdracht voor de hack van bijvoorbeeld Colonial Pipeline of JBS direct vanuit het Kremlin of de veiligheidsdiensten kwam, stelt Broeders. ‘Daarvoor zijn er simpelweg te veel particuliere hackerscollectieven actief in Rusland.’ En dat is niet de enige reden, gaat hij verder. ‘Door niet direct met hackers samen te werken maar ze oogluikend toe te staan, kan het Kremlin elke betrokkenheid bij een aanval makkelijk ontkennen door te zeggen dat het om onafhankelijk opererende organisaties gaat.’

Digitale vrijbuiters

Wat dat betreft lijken de Russische hackers van nu nog het meest op de vrijbuiters die in de zeventiende en achttiende eeuw de wereldzeeën bevoeren. Daar waar de zeerovers van toen via een zogeheten kaapbrief toestemming kregen van een staat om schepen van vijandige landen te kapen en te plunderen zolang ze de vloot van de eigen natie maar met rust lieten, hebben de Russische hackers van nu de zegen van het Kremlin, zolang ze Russische bedrijven met rust laten.

Colonial Pipeline betaalde naar eigen zeggen vijf miljoen dollar aan de digitale vrijbuiters om de toegang tot hun systeem weer terug te krijgen. Ook JBS betaalde met elf miljoen dollar de hoofdprijs. Om te stellen dat het Kremlin daar als opdrachtgever direct schuldig aan is, gaat te ver. Doordat de Russische autoriteiten oogluikend de gijzeling en plundering van buitenlandse bedrijven fiatteren, gaan ze ook niet vrijuit. Er is sprake van een gedoogbeleid met duidelijke grenzen.

Zolang de hackers zich kortom aan het ongeschreven contract met de autoriteiten houden, leggen diezelfde autoriteiten ze geen strobreed in de weg. ‘Waarom zouden ze ook?’, vraagt Broeders zich hardop af. ‘Het Kremlin heeft er zelf geen last van en tegelijkertijd worden hun geopolitieke tegenstanders er wel mee geraakt.’

Bron: humo.be |Jarron Kamphorst

Rusland gerelateerde artikelen 》

Meer info over ransomware 》

Bekijk alle vormen en begrippen 》

Actuele aanvallen overzicht per dag 》

Ernstige kwetsbaarheden 》

 

Tips of verdachte activiteiten gezien? Meld het hier.

Ransomware gerelateerde berichten