Home » Cyberoorlog » Hackersgroep ‘Sandworm’ richt pijlen op stroomnetwerk met malware 'Industroyer2'

Hackersgroep ‘Sandworm’ richt pijlen op stroomnetwerk met malware 'Industroyer2'

Gepubliceerd op 14 april 2022 om 12:13

Hackers hebben geprobeerd om het Oekraïense stroomnetwerk plat te leggen. Cybersecurityexperts hebben de aanval weten af te slaan. Zij denken dat de Russische hackersgroep Sandworm verantwoordelijk is voor de aanval.

Dat bevestigt de woordvoerder van de Oekraïense overheid Victor Zhora tegenover Reuters.

Poging uit schakelen energienetwerk

Volgens Zhora werd de cyberaanval uitgevoerd door een ‘militair hackteam’. Hun doel was om een aantal belangrijke voorzieningen vleugellam te maken, mogelijk om het tij van de Russische invasie te keren. De poging om het energienetwerk uit te schakelen is mislukt. De energieleverancier en het stroomnetwerk hebben daarbij geen schade opgelopen. De woordvoerder benadrukt dat de kwestie wordt onderzocht.

Volgens Kiev kan de cyberaanval toegeschreven worden aan Sandworm. Dat is een hackersgroep die nauwe banden heeft met het Kremlin. Deze groep voerde afgelopen maand een aanval uit met malware genaamd Cyclops Blink. Hiermee probeerden ze data te stelen en verwijderen, en computers toe te voegen aan een wereldwijd botnet. Amerikaanse en Britse overheidsdiensten wisten de aanval af te slaan.

Cybersecurityexperts van het Computer Emergency Response Team uit Oekraïne (CERT-UA) zeggen dat de aanval in twee golven plaatsvond. Allereerst drongen ze het computernetwerk van een grote energieleverancier binnen. Dat gebeurde al in februari. Daarna probeerden de hackers deze week de gehele infrastructuur plat te leggen.

Het Slowaakse cybersecuritybedrijf ESET werkte met de Oekraïense regering samen om de aanval op het energienetwerk af te slaan. Het bedrijf zegt dat de hackers een verbeterde versie van een programma gebruikten dat in 2016 ervoor zorgde dat de stroom uitviel in Oekraïne.

De malware was dusdanig ontwikkeld dat het enerzijds de stroom kon uitschakelen, en anderzijds data vernietigde waardoor het moeilijker zou worden om de stroomvoorziening weer online te krijgen.

Militair hackteam Sandworm

“Sandworm is een apex predator [roofdier dat bovenaan de voedselketen staat in een ecosysteem, red.], in staat om serieuze operaties uit te voeren, maar ze zijn niet onfeilbaar”, vertelt John Hultquist van cybersecuritybedrijf Mandiant aan persbureau Reuters. “Het wordt steeds duidelijker dat een van de redenen waarom de aanvallen in Oekraïne zijn gematigd, is dat verdedigers daar zeer agressief zijn en zeer goed in het confronteren van Russische actoren.”

Sinds het begin van de Russische invasie in Oekraïne vinden er over en weer cyberaanvallen plaats. Overheidsorganen en financiële instellingen, en uiteindelijk de gewone burger, zijn daar de dupe van. Het Kremlin ontkent ten stelligste iets met de aanvallen te maken te hebben. Het Russische ministerie van Buitenlandse Zaken waarschuwde “anonieme hackers en provocateurs” om te stoppen met de ‘cyberagressie’ tegen het land.

“Niemand mag eraan twijfelen dat de cyberagressie die tegen Rusland is ontketend, zal leiden tot ernstige gevolgen voor de aanstichters en de daders. De bron van de aanvallen zal worden opgespoord. De aanvallers zullen onvermijdelijk de verantwoordelijkheid dragen voor hun daden, in overeenstemming met de vereisten van de wet”, aldus het ministerie in een persverklaring.

Russische hackers op Europese sanctielijst

Russische hackers brengen niet alleen grote schade aan in Oekraïne: Nederlandse ondernemers zijn volgens de VVD regelmatig het doelwit. De liberale fractie pleit er daarom voor om Russische hackers, net als rijke Russische oligarchen, op een Europese sanctielijst te plaatsen. “Het zijn ordinaire criminelen, maar dan digitaal. We weten waar ze zitten dus we moeten ervoor zorgen dat het leven van die criminelen zo moeilijk mogelijk maken”, vertelde Queeny Rajkowski tegenover RTL Nieuws.

“Op het moment dat zij van hun bankrekening gebruik kunnen maken die in Europa staat, als zij ook maar één wiel met hun dikke Lamborghini Europa in rijden, dat wij ze dan alsnog in hun nekvel grijpen. Om dat te kunnen regelen is het belangrijk dat zij op de sanctielijst van Europa komen te staan. Dat de kliek van Poetin, ook de cybercriminelen, op de sanctielijst komen te staan”, aldus de VVD’er.

Hack poging vooralsnog geen impact op Nederland

De poging om een cyberaanval uit te voeren op het elektriciteitsnet in Oekraïne heeft vooralsnog geen impact op Nederland.

Dat zegt het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. De Oekraïense overheid en cyberbeveiliger ESET brachten de verijdelde hackaanval dinsdag naar buiten.

De computersystemen van een Oekraïens elektriciteitsbedrijf waren besmet met de nieuwe malware 'Industroyer2'. Die had vorige week de elektriciteit in een deel van Oekraïne moeten platleggen.  Andere malware, 'CaddyWiper', had vervolgens alle getroffen systemen moeten wissen. Dat moest het moeilijker maken om de stroomvoorziening te herstellen, maar moest ook sporen van de aanval uitwissen.

Beide malafide programma's zouden zijn gemaakt door een hackersgroep die onder meer 'Sandworm' of 'Voodoo Bear' wordt genoemd. De hackers zouden in dienst zijn van de Russische militaire inlichtingendienst GROe.

Gijzelsoftware NotPetya

Sandworm wordt verantwoordelijk gehouden voor de gijzelsoftware NotPetya, die in 2017 onder andere delen van de haven van Rotterdam platlegde. In december 2016 zou Sandworm de elektriciteit in de Oekraïense hoofdstad Kiev hebben afgesloten met de schadelijke software 'Industroyer', een voorloper. De Verenigde Staten hebben zes Russen aangeklaagd voor die aanval.

Dat het NCSC momenteel geen cyberaanvallen met impact op Nederland ziet, betekent volgens de organisatie niet dat er geen risico op is. "De situatie kan morgen anders zijn. We sluiten aanvallen en eventuele gevolgen daarvan op Nederland niet uit. Daarom is het belangrijk dat u als organisatie waakzaam en alert blijft en goed voorbereid bent op een mogelijk incident", aldus het NCSC.

Bron: ncsc.nl, bnr.nl, rtlnieuws.nl, reuters.com, vpngids.nl

“Deze onaanvaardbare cyberaanval is het zoveelste voorbeeld van het aanhoudende patroon van onverantwoordelijk gedrag van Rusland in cyberspace”

De Europese Unie beschuldigt Rusland ervan “kwaadaardige cyberactiviteiten” tegen Oekraïne te hebben uitgevoerd. Eén specifieke aanval, die tegen het satellietnetwerk KA-SAT, wordt scherp veroordeeld. De lidstaten beraden zich om verdere stappen te nemen om Rusland een halt toe te roepen. Dat staat in een persverklaring van de Europese Raad, waar de regeringsleiders van alle 27 EU-landen zitting in hebben.

Lees meer »

‘De oorlog in Oekraïne laat zien dat cyberspace een volwaardig oorlogsdomein is geworden’

De oorlog in Oekraïne bewijst dat oorlogsvoering verandert. De digitale ruimte wordt steeds belangrijker: als vehikel voor beïnvloedingsstrategieën en als strijdtoneel van cyberaanvallen. Die ontwikkeling vraagt volgens brigadegeneraal en hoogleraar cyber warfare Paul Ducheine om nieuwe manieren van aanvallen en verdedigen. ‘De oorlog in Oekraïne laat zien dat cyberspace een volwaardig oorlogsdomein is geworden.’

Lees meer »

AIVD: Sabotage “het grootste digitale risico” voor de Nederlandse samenleving

Nederlandse burgers, bedrijven en overheidsdiensten liepen in 2021 voortdurend het risico om getroffen te worden door cyberaanvallen. Landen als China en Rusland spelen daarin een belangrijke rol. Deze digitale dreiging vraagt om vergaande samenwerking met nationale en internationale partners. Om de goede inlichtingenpositie te houden zijn (technische) middelen nodig. Dat schrijft de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) in de nieuwste editie van het jaarverslag.

Lees meer »

Hackersgroep ‘Shuckworm’ slaan opnieuw toe in Oekraïne

De Russische staatshackers voeren de ene na de ander cyberaanval uit op Oekraïense doelwitten. Daarvoor maken ze gebruik van diverse varianten van de 'Pterodo malware'. Door een intensieve en aanhoudende aanvalscampagne hopen de daders zo veel mogelijk schade toe te brengen. Dat concludeert Threat Hunter Team van cybersecuritybedrijf Symantec in een analyse.

Lees meer »

«   »