Cyberoorlogsvoering is het gebruik van digitale aanvallen tegen een vijandelijke staat, waarbij vergelijkbare schade wordt aangericht als bij daadwerkelijke oorlogsvoering en/of vitale computersystemen worden ontregeld.
In de aanloop naar de Russische invasie van Oekraïne werd gevreesd voor een grootschalige cyberoorlog tussen Rusland en het Westen. Hoe ontvouwde de oorlog zich tot nu toe in de ‘cyberspace’, het slagveld van de 21ste eeuw? En is België klaar voor een cyberoorlog?
Openingszetten
Laat in de avond van 23 februari 2022 klaagden gamers in het oosten van Oekraïne dat hun wifisignaal volledig leek weg te vallen. Ook het mobiele signaal was volledig dood, enkel het bekabelde internet leek nog te werken. Rusland was begonnen zijn ‘krasukha’s’ in te zetten, wapenplatformen die erop gericht zijn alle draadloze dataverkeer te verstoren. In de eerste plaats is dit gericht op radar, radio en verbinding met vliegtuigen of drones. Het was echter het wegvallen van het wifisignaal dat het eerste merkbare signaal voor burgers was dat de oorlog was begonnen.
Eerder die dag hadden cybersecurityexperts een nieuw soort ‘malware’ ontdekt op systemen in Oekraïne. Deze malware gebruikte een veiligheidscertificaat van een Cypriotisch bedrijf, Hermetica Digital. Een bedrijf dat voor de rest geen activiteit heeft vertoond en waarschijnlijk een mantel is/was voor Russische belangen buiten Rusland (die zich wel vaker op Cyprus bevinden). Hierdoor kreeg de malware de naam HermeticWiper. De naam verraadt tevens de functionaliteit al: HermeticWiper wist de data op een computer waarop Windows geïnstalleerd is. Zonder al te technisch te worden, vernietigt deze malware de plek op een harde schijf waarop alle informatie staat om Windows te laten starten. Daarna overschrijft het willekeurige stukken data op de harde schijf en encrypteert deze waardoor de ganse schijf onbruikbaar wordt. Ten slotte wordt de computer herstart zodat het proces definitief is en het toestel buiten werking is.
Amateuristisch
Opvallend hierbij is dat deze aanval, die duidelijk met de Russische belangen op het oog was opgezet, amateuristisch was. Of beter gezegd: amateuristisch naar de normen van Rusland, die op het vlak van ‘hacking’ bij de absolute wereldtop zouden horen. Er werden geen wachtwoorden uit het systeem gehaald, wachtwoorden werden geraden door gewoon een enorme lijst aan wachtwoorden te proberen, het veiligheidscertificaat was dan wel ondertekend, maar door een makkelijk te traceren mantelbedrijf, enzovoort. Alles lijkt erop te wijzen dat deze operatie, net zoals de laatste fase van Stuxnet destijds, lang in ontwikkeling was geweest, maar in zeven haasten afgewerkt en ingezet werd.
De aanval was dan ook vooral effectief op systemen die niet volgens de regels van de kunst waren opgezet en/of recente veiligheidsupdates niet hadden geïnstalleerd. Er was schade en het was duidelijk dat opnieuw banken en communicatie het doel waren, maar in vergelijking met 2015, 2016 en 2017 waarbij respectievelijk het stroomnetwerk, het ministerie van Financiën en de logistieke keten in Oekraïne werden platgelegd, was dit een speldenprik.
De (cyber)oorlog begint
Wanneer vervolgens Russische soldaten de grenzen van Oekraïne overschreden, verwachtte de ganse cybersecuritywereld zich dan ook aan een Russisch cyberoffensief. Russische IP-adressen blokkeren haalt hierbij niets uit, aangezien Rusland wel via buitenlandse IP-adressen die aanvallen uitvoert (vooral Nederland is populair vanwege de uitstekende internetinfrastructuur daar). Het was echter Oekraïne dat verrassend hier het voortouw zou nemen. Russische hackergroepen zagen opeens hun malwarecode en zelfs interne informatie gelekt op het internet. Oekraïne riep op tot het vormen van een IT-leger en riep van daaruit op om massale aanvallen uit te voeren op Russische doelwitten.
Ook Theo Francken riep op Twitter, in een vlaag van emotie, op 26 februari op om de Russische administratie en defensie kapot te hacken. Een oproep die in de uren en dagen erna door elke expert en bedrijf actief in de cybersecurity ten zeerste werd afgeraden. De Russen houden zich immers opmerkelijk koest. Over het algemeen lijkt de activiteit zelfs ietwat afgenomen, wat niet wil zeggen dat ze hebben ingeboet aan mogelijkheden.
Foutmelding
Bijvoorbeeld, in de uren na de Russische aanval was de webstek van het Russische leger niet meer bereikbaar. In de media werd dit al snel als een overwinning van Oekraïne afgeschilderd, maar de realiteit was toch wel anders. Bij het surfen naar de pagina kwam je uit op foutmelding 418. Deze foutmelding betekent zoveel als “ik kan geen koffie maken, want ik ben een theepot”. Een bizarre melding, wat niet hoeft te verbazen, aangezien het destijds bedacht is als een 1 aprilgrap. Men heeft gewoon een stevige filter gezet op de website zodat deze van buiten Rusland niet meer bereikbaar is. Te snel hoera roepen is dan ook gevaarlijk. De Russische cyberbeer houdt zich koest, maar por het beest met een stok en je kan wel eens een klauw terugkrijgen. Ga dus zeker niet zelf de cybersoldaat spelen.
Wat niet wegneemt dat Oekraïne op andere vlakken efficiënt gebruikmaakt van de mogelijke datacapaciteiten en bevriende IT-krachten. Zo laten Oekraïense telecombedrijven, op expliciete vraag van de regering, nog altijd roaming toe van Russische nummers. Wanneer Russische soldaten vervolgens hun smartphone mee hebben en die staat aan, verbindt die met een zendmast. Door dit soort data te verzamelen, kan Oekraïne een beeld te krijgen van Russische troepenbewegingen. De Russen zullen immers niet constant signalen storen, zoals in het begin, aangezien zij dan ook hun eigen signalen storen. Ook Elon Musk heeft Starlink al antennes laten leveren aan Oekraïne zodat het internet via satellietsignaal bereikbaar is. Inclusief speciale software zodat deze zelfs met de aanstekerpin van een auto te voorzien is van stroom.
Vrienden
De aanvallen op Russische systemen blijven ook doorgaan, al zal dit vooral van bevriende gespecialiseerde organisaties komen. Zo lekte gelegenheidscollectief Anonymous een personeelsdatabase van het Russische ministerie van Defensie, e-mails van Wit-Russisch wapenmaker Tetraedr en haalde het de website van RT tijdelijk neer. Russische restaurants worden op Google gebombardeerd met beoordelingen die politieke boodschappen bevatten. Er zou ook sprake zijn van het hacken van Russische televisiekanalen die vervolgens beelden tonen van de oorlog in Oekraïne en dode of huilende Russische soldaten. Een definitieve bevestiging hiervan is echter nog niet beschikbaar.
Los van die successen lijkt Rusland echter niet echt te wankelen op cybervlak. Momenteel houden ze zich kalm, wat enkele oorzaken kan hebben. Het kan zijn dat het een bewuste strategie is om geen digitaal front te moeten openen, wat ook mensen, middelen en fondsen vereist, en wat tot gevolg kan hebben dat andere natiestaten (lees: de VS) gaan terugslaan. Het kan zijn dat ze zich bezighouden met informatie verzamelen en spionage, waardoor systemen kapotmaken de spionagecapaciteit zou verminderen. Het kan echter ook zijn dat ze ook al diep doorgedrongen zijn of daar aan het werken zijn om in één keer, indien nodig, een mokerslag toe te dienen.
En de politiek?
Kort gezegd is de politiek zich op geen enkel vlak bewust van wat er gebeurt op digitaal vlak, noch is er bij enige partij een echte interesse om zich hierin te verdiepen. Het leger kondigde einde 2021 een cybercomponent aan, om kort daarna een cyberaanval te ondergaan waardoor men zelfs maanden geen e-mails kon versturen. Hoogstens denken politici dat met een paar miljoen Defensie opeens de nodige capaciteit zal hebben om cyberoorlog te voeren en dat met nog een paar miljoen extra de ganse overheid op alle niveaus op orde is.
In realiteit gaat dit om de noodzaak om miljarden euro’s aan investeringen. Niet enkel moeten er nieuwe systemen geïntegreerd worden en nieuwe mensen opgeleid, maar moet de historisch opgebouwde achterstand ingehaald worden en oude systemen vervangen worden. Dit is geen proces dat over weken of maanden plaatsvindt, maar over jaren.
Grote achterstand
Het minimumbedrag voor defensie dat van NAVO-landen wordt verwacht om te investeren is 2 procent van het bbp. Zelfs dit bedrag zal in de komende jaren niet genoeg zijn om de achterstand in te halen. Niet enkel de cybercomponent moet tenslotte worden opgebouwd, ook de traditionele componenten van het leger (landmacht, zeemacht, luchtmacht, medische component) moeten opnieuw worden voorzien van mensen en middelen. En waar politici zich iets kunnen voorstellen bij soldaten en geweren, lijken zij een bijna aangeboren onvermogen te hebben om bij cyberoorlog ook maar iets concreets voor te stellen, behalve een website platleggen.
