Toen Russische troepen op 24 februari 2022 Oekraïne begonnen binnen te vallen, verwachtten velen dat cyberaanvallen een belangrijke rol zouden spelen in de oorlog. Maar hoewel Rusland een lange geschiedenis heeft van het aanvallen van Oekraïne met cyberaanvallen, moet het nog een succesvolle grootschalige cyberaanval lanceren gericht op de kritieke infrastructuur van Oekraïne sinds het begin van de oorlog. In plaats daarvan lijkt het erop dat de cyberaanvallen van Rusland vooral worden gebruikt om desinformatie te verspreiden.
Sommige experts zijn van mening dat, net als de militaire macht van Rusland, de cybercapaciteiten van het land zijn overschat, wat zou kunnen verklaren waarom Rusland er sinds het begin van de grootschalige invasie niet in is geslaagd succesvolle cyberaanvallen tegen Oekraïne uit te voeren. De eerdere aanvallen en acties van Rusland hebben echter bewezen dat de dreiging niet lichtvaardig moet worden opgevat. Bovendien is bekend dat enkele van de meest beruchte cybercriminaliteitsbendes vanuit Rusland opereren, en sommigen hebben sindsdien loyaliteit aan Rusland verklaard. Dat is niet onverwacht gezien het feit dat veel van deze bendes worden gesponsord door de staat.
Een groot aantal hackersgroepen heeft echter ook de kant van Oekraïne gekozen. Met name het hackerscollectief Anonymous heeft de oorlog verklaard aan de Russische president Poetin en heeft sindsdien meerdere succesvolle cyberaanvallen uitgevoerd. Oekraïne heeft ook zijn eigen IT-leger gecreëerd dat bestaat uit professionals van over de hele wereld.
Ruslands cyberaanvallen in het verleden op Oekraïne
Tijdens de begindagen van de Russisch-Oekraïense oorlog voerde Rusland meerdere cyberaanvallen uit op de kritieke infrastructuur van Oekraïne, met name de elektriciteitsnetten van het land. In december 2015 voerde hackersgroep Sandworm de eerste succesvolle aanval op het elektriciteitsnet uit toen het de BlackEnergy-trojan gebruikte om de Oekraïense energiebedrijven aan te vallen die energie leveren aan de regio’s Kiev, Ivano-Frankivsk en Chernivtsi. Ongeveer 230.000 consumenten zaten 1-6 uur zonder stroom. De aanval werd toegeschreven aan Sandworm (Unit 74455), een vermeende Russische cyber militaire eenheid. Er wordt aangenomen dat het bedrijfsnetwerk aanvankelijk werd gecompromitteerd met behulp van spear-phishing-e-mails met BlackEnergy-malware.
De aanval op het Oekraïense elektriciteitsnet in 2015 is de eerste succesvolle aanval van deze soort, maar er wordt aangenomen dat Oekraïne een speciaal geval was en dat bepaalde omstandigheden de aanval mogelijk maakten. Er werd beweerd dat het aangevallen elektriciteitsnet werd gebouwd terwijl Oekraïne deel uitmaakte van de Sovjet-Unie en werd opgewaardeerd met Russische onderdelen, wat betekent dat Russische aanvallers zeer bekend waren met het elektriciteitsnet en de software. Bovendien werd de aanval uitgevoerd tijdens de kerstvakantie en waren er niet veel arbeiders aanwezig.
Een jaar later, op 17 december 2016, werd het elektriciteitsnet van Oekraïne opnieuw aangevallen. Industroyer is de malware waarvan wordt aangenomen dat deze tijdens de aanval is gebruikt. Het wordt beschouwd als de eerste bekende malware die specifiek is gemaakt om elektriciteitsnetten aan te vallen. De Oekraïense hoofdstad Kiev was een uur lang afgesloten van de stroom. Algemeen wordt aangenomen dat de aanval een grootschalige test was.
In 2017 waren verschillende Oekraïense organisaties (banken, ministeries, kranten, elektriciteitsbedrijven en vele anderen) het doelwit van een reeks cyberaanvallen met behulp van de Petya-malware. Petya is malware die bestanden versleutelt en wordt verondersteld te worden beheerd door de Sandworm-hackersgroep. De malware beschadigde permanent essentiële bestanden op geïnfecteerde computers, wat aangeeft dat de aanvallen bedoeld waren om de Oekraïense staat te verlammen in plaats van geld te verdienen. De aanval werd uitgevoerd tijdens een feestdag, wat betekent dat veel kantoren gesloten waren, waardoor de malware zich breder kon verspreiden. Een van de getroffen systemen was het stralingsmonitoringsysteem in de Oekraïense kerncentrale van Tsjernobyl.
Op 14 januari 2022 werden ongeveer 70 Oekraïense overheidswebsites getroffen door een massale cyberaanval. Onder de getroffenen waren officiële websites voor het ministerie van Buitenlandse Zaken, het kabinet van ministers en de Veiligheids- en Defensieraad. Gehackte sites toonden een tekst in het Oekraïens, Pools en Russisch waarin stond dat de persoonlijke gegevens van burgers zijn geüpload naar het openbare netwerk. Afbeeldingen van de doorgestreepte Oekraïense vlag, de kaart van Oekraïne en het symbool van het Oekraïense opstandelingenleger werden ook getoond. Sites waarop de beelden werden getoond, werden verwijderd en binnen een paar uur weer online gebracht. UNC11151, een hackersgroep die banden heeft met de Wit-Russische inlichtingendienst, zou achter de aanval zitten. De cyberaanval kwam op een moment dat de spanningen tussen Rusland en Oekraïne hoog waren, met meer dan 100.000 Russische troepen gestationeerd in de buurt van de grens. Iets meer dan een maand later begonnen Russische troepen aan een grootschalige invasie van Oekraïne.
Op 12 april 2022 bevestigden Oekraïense functionarissen dat ze een Russische cyberaanval op Ukraine’s power grid . Als het succesvol was geweest, zouden meer dan twee miljoen mensen de macht hebben verloren. Maar hoewel Oekraïne in staat was om deze aanval te dwarsbomen, wordt het beschouwd als zeer geavanceerd, waardoor de vrees ontstaat dat Rusland zijn gebruik van cyberwapens zal gaan verhogen. Kiev heeft de aanval toegeschreven aan Sandworm.
Anonymous kondigt oorlog aan tegen Poetin
De hackersgroep Anonymous voert actief cyberaanvallen uit op Rusland. Het hacktivistische collectief heeft een “cyberoorlog” uitgeroepen tegen de Russische president Poetin en heeft tot nu toe talloze cyberaanvallen uitgevoerd. Twee dagen nadat de Russische strijdkrachten Oekraïne begonnen binnen te vallen, voerde Anonymous een cyberaanval uit op de Russische tv-netwerken. De groep was in staat om de normale programmering te onderbreken en beelden van de door Rusland veroorzaakte oorlog aan zijn burgers te tonen. Volgens Anonymous werden de beelden 12 minuten getoond.
Toen, begin maart, kondigde de groep aan dat ze meer dan 400 Russische camera’s hadden overgenomen en de feed op hun website hadden gedeeld. De camerafeed had ook teksten bedekt met berichten over de gruweldaden die Rusland voor zijn burgers probeert te verbergen. Op 23 maart kondigde de hacktivistische groep een hack aan op de Russische Centrale Bank door zijn gelieerde groep, waarbij 28 GB aan informatie werd gelekt. Volgens those wie de enorme hoeveelheid gelekte informatie heeft doorgenomen, bevat de datadump facturen, interne communicatie, documenten, memo’s, bankafschriften, namen en adressen van spraakmakende klanten, enz.
Op 3 april maakte Anonymous bekend dat de groep de persoonlijke informatie van 120.000 Russische soldaten heeft verkregen. De Twitter-aankondiging bevat ook een link naar de informatie. De gelekte informatie bevat geboortedata, adressen, paspoortnummers en eenheidsaffiliatie.
“Alle soldaten die deelnemen aan de invasie van Oekraïne moeten worden onderworpen aan een oorlogstribunaal”, luidt de hacktivistische groep Twitter announcement .
De geassocieerde groep Network Battalion 65 van Anonymous heeft ook een lek van 900.000 e-mails aangekondigd van de All-Russia State Television and Radio Broadcasting Company (VGTRK), het grootste staatsmediabedrijf van Rusland. De VGTRK (of RTR) is actief sinds 1990 en beheert vijf nationale tv-kanalen, vijf radiostations, twee internationale netwerken en meer dan 80 regionale tv- en radionetwerken. Volgens de Daily Dot , de e-mails omvatten meer dan 20 jaar communicatie en bevatten e-mails van ongeveer 250 inboxen, evenals bespreken kwesties met betrekking tot de dagelijkse operaties en zelfs internationale sancties tegen Rusland.
IT leger van Oekraïne
Op 26 februari 2022 kondigde vicepremier van Oekraïne Mykhailo Fedorov de oprichting aan van het Oekraïense IT-leger bestaande uit vrijwilligers die aan het cyberfront zouden vechten. Dit is misschien wel de grootste inspanning van de Oekraïense overheid om hackers van over de hele wereld te coördineren. Doelwitten worden vaak gepost op speciale Telegram-kanalen met honderdduizenden hackers die vervolgens overgaan tot het lanceren van cyberaanvallen op de opgegeven doelen. Tot nu toe is het Oekraïense IT-leger verantwoordelijk voor het uitvoeren van aanvallen op Russische banken, het Russische elektriciteitsnet / spoorwegsystemen, evenals tal van DDoS-aanvallen.
Malwarebendes kiezen de kant van Rusland
Een van de eerste cybercrime-bendes die de kant van Rusland koos, was de Conti ransomware-bende. Leden van de bende gingen zelfs zo ver om te dreigen met vergelding tegen cyberaanvallen gericht op Rusland. De Conti ransomware-bende is een van de meest succesvolle bendes die vandaag de dag actief zijn en werkt op dezelfde manier als legitieme bedrijven (reguliere salarissen, vijfdaagse werkweek, kantoren, enz.). De bende zou in 2021 in ieder geval $180 million slachtoffers hebben afgeperst. Van de Conti ransomware-bende is bekend dat ze zich richt op de gezondheidszorg. Hoewel de ransomware-bende steun heeft betuigd aan Rusland, wordt niet aangenomen dat er formele banden zijn tussen rusland en de Russische regering.
De cybercriminelen achter Conti kondigden aanvankelijk volledige steun aan de Russische regering aan, maar niet lang daarna brachten ze een aangepaste verklaring uit waarin ze beweren de oorlog te veroordelen, maar dreigen met vergelding als er aanvallen op Russische kritieke infrastructuur worden uitgevoerd. Kort daarna lekte een vermeende Oekraïense beveiligingsonderzoeker Conti’s chat logs . Uit de chatlogs blijkt dat de meningen over de oorlog verschillen tussen leden van Conti. Het laat ook zien hoe de ransomware-groep als organisatie opereert en hoe slachtoffers worden gekozen.
Veel andere cybercriminaliteitsgroepen hebben ook gekozen voor sides . Maar hoewel bekend is dat groepen zoals Sandworm gelieerd zijn en tot op zekere hoogte worden beheerd door de Russische regering, zijn veel andere groepen die de kant van Rusland kiezen onafhankelijk. Het is niet onmogelijk dat deze groepen aanvallen kunnen uitvoeren op Oekraïne of de kritieke infrastructuur van zijn bondgenoten met weinig begrip van wat hun acties zouden kunnen betekenen.
Russische desinformatie-aanvallen
Hoewel Rusland niet onbekend is met desinformatie-aanvallen, is de omvang van de huidige stroom van valse informatie uit Rusland verbazingwekkend. De desinformatie van Rusland verspreidt zich met volle kracht, met sociale mediaplatforms, forums en zelfs persbureaus die moeite hebben om bij te blijven. Van beweringen dat de VS een biologisch wapenlab in Oekraïne hadden tot verklaringen dat slachtoffers van het bucha-bloedbad acteurs waren, kwaadwillende actoren achter dergelijke campagnes doen hun best om Rusland het slachtoffer te laten lijken van een oorlog die het begon.
Desinformatie komt van alle kanten, de Russische overheid, Russische trollen, maar ook van regelmatige gebruikers in Rusland. En het treft niet alleen mensen die in Rusland wonen, nepverhalen die door deze gevaarlijke propagandamachine worden gepusht, bereiken mensen over de hele wereld. De omvang van deze aanvallen is moeilijk te hanteren gebleken voor sociale mediaplatforms die er niet in slagen om desinformatie te verwijderen voordat deze zich te wijd verspreidt. Platforms zoals YouTube en Facebook hebben kritiek gekregen over hoe ze omgaan met desinformatie-aanvallen, waarbij veel van de kritiek gericht is op hun onvermogen om nepinformatie volledig te verwijderen. Maar hoewel de valse informatie die door Rusland wordt gepusht vaak te belachelijk is om serieus te nemen, doet het zijn werk om mensen die al de kant van Rusland kiezen verder te overtuigen.
Desinformatie in Rusland is een bijzonder groot probleem. Met platforms zoals TikTok die hun aanwezigheid in Rusland beperken, de Russische overheid die platforms zoals Instagram blokkeert en onafhankelijke Russische nieuwsplatforms die sluiten, zijn Russische burgers bijzonder vatbaar voor desinformatie over de rol van Rusland en zijn misdaden in de huidige oorlog tussen Rusland en Oekraïne. De Russische staat heeft een monopolie op de informatie in het land, waardoor het valse verhalen kan verspreiden en de schuld van de oorlog op Oekraïne en westerse landen kan wijzen.
Oplichters willen misbruik maken van mensen die doneren aan Oekraïne
Tot verbazing van niemand begonnen oplichters misbruik te maken van mensen die geld wilden doneren om Oekraïne te steunen. Kwaadwillende actoren uit verschillende landen hebben spamcampagnes gelanceerd die zich richten op mensen die willen doneren aan Oekraïne. Gebruikers kunnen deze oplichting tegenkomen in e-mails en op sociale media. De spamcampagnes gebruiken vaak namen van legitieme organisaties / instellingen zoals de Nationale Bank van Oekraïne om gebruikers te misleiden. Sommige campagnes hebben zelfs links die leiden naar legitieme campagnes, maar geven onjuiste bankrekeningen of vragen om donaties te doen in cryptocurrencies. Deze zwendelcampagnes waren vooral gebruikelijk in de eerste week van de Russische invasie van Oekraïne, omdat veel mensen zich haastten om geld te doneren. Hoe succesvol deze oplichtingscampagnes zijn, is discutabel, maar gebruikers moeten hun waakzaamheid niet laten verslappen.
Mensen moeten heel voorzichtig zijn bij het doneren van geld aan goede doelen en organisaties, vooral nu. Tenzij mensen zijn geabonneerd op een organisatie en ermee hebben ingestemd om e-mails te ontvangen, ontvangen ze geen e-mails waarin om donaties wordt gevraagd. Voordat u enige vorm van donatie doet, is het essentieel dat mensen de organisatie / het goede doel onderzoeken en ervoor zorgen dat het geld daadwerkelijk mensen in nood bereikt.