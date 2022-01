Je merkt er niets van als de aanvallers je netwerk binnensluipen, hun virus installeren en stilletjes afwachten. Maar dan, als de knop wordt omgezet en het hele netwerk uitvalt, is het te laat - je energiecentrale, overheidsdepartement of bedrijf is platgelegd. Dit soort aanvallen overkwam Oekraïne meerdere malen. Banken, overheden en energiecentrales vielen een paar jaar geleden uit na hackaanvallen waarvan alom wordt aangenomen dat ze uit Rusland komen. Twee weken geleden kwamen computerbeveiligers weer zo'n aanval op het spoor, waarschijnlijk opnieuw gericht tegen Oekraïne. Zowel onderzoekers van Microsoft als van beveiligingsbedrijf Trellix waarschuwden Oekraïne en de rest van de wereld voor de aanval. Als het virus aanwezig is op computers, wordt het nu door virusscanners opgemerkt en verwijderd. Maar het zal niet de laatste aanval tegen Oekraïne zijn, denken deskundigen. Als het tot een gewapend conflict komt, is de verwachting dat digitale aanvallen een belangrijke rol zullen spelen. Geopolitieke ontwikkelingen Wie er achter de onlangs gevonden malware zit, is officieel niet bekend. Het is moeilijk om dat met zekerheid te zeggen, benadrukt onderzoeker Christiaan Beek van Trellix. "Technische aanwijzingen kunnen ook bewust worden achtergelaten, om ons op het verkeerde been te zetten en een ander land of organisatie als schuldige aan te wijzen."

Ook Microsoft wijst geen dader aan, maar noemt wel fijntjes de "huidige geopolitieke ontwikkelingen" rond Oekraïne. In het grensgebied van dat land zijn meer dan 100.000 Russische militairen samengetrokken. Inlichtingenbronnen van The New York Times zeiden eerder een toename van hackaanvallen vanuit Rusland tegen Oekraïne te zien. "De afgelopen jaren hebben de Russische inlichtingendiensten zwaar ingezet op Oekraïne", zegt Hugo Vijver, oud-medewerker van de Nederlandse inlichtingendiensten en gespecialiseerd in digitale conflicten. "Als ze willen, kunnen ze grote delen van de Oekraïense infrastructuur tot stilstand brengen."

Quote Ik verwacht geen op zichzelf staande digitale oorlog. Dick Berlijn, oud-commandant der strijdkrachten

De digitale aanwezigheid die sluimert onder de radar zou kunnen worden omgezet in bijvoorbeeld sabotage-aanvallen. Deskundigen die de NOS sprak, zijn het erover eens dat dat waarschijnlijk pas zal gebeuren als het tot een gewapend conflict komt. "Ik verwacht geen op zichzelf staande digitale oorlog", zegt Dick Berlijn, oud-commandant der strijdkrachten en nu adviseur bij een cybersecuritybedrijf. "Het zal een onderdeel zijn van een breder conflict." Overheidshackers zouden dan bijvoorbeeld overheidscommunicatie kunnen verstoren, banken platleggen of de elektriciteitsvoorziening ontregelen, maar bijvoorbeeld ook defensiesystemen uitschakelen. "In de daaropvolgende chaos zou kunnen worden toegeslagen, terwijl het moreel onder de bevolking zakt." Bij dat laatste zet de Oekraïense beveiligingsexpert Vlad Styran nog wel vraagtekens. "In dit land zijn we inmiddels wel wat gewend. We leven hier al acht jaar met allerlei hackaanvallen, terwijl er in het oosten een oorlog woedt. Het verrassingseffect is inmiddels wel weg." Platleggen Het onlangs ontdekte virus zou van pas komen bij het platleggen van overheidsorganisaties of nutsbedrijven. Het virus schaakt, eenmaal geactiveerd, op twee snelheden: eerst wordt de digitale 'inhoudsopgave' van de harde schijf gewist, waardoor een computer niet meer opstart, maar de bestanden erop nog wel te redden zijn. Intussen worden echter ook alle bestanden één voor één onherstelbaar gewist. Als de virusaanval halverwege wordt ontdekt, is daarmee alsnog een hoop chaos gecreëerd: niet alle bestanden zijn onherstelbaar beschadigd, maar omdat de inhoudsopgave - in jargon: het master boot record - is gewist, starten ze simpelweg niet meer op. Bij één computer is dat overkomelijk, maar als het om honderden of duizenden computers in een organisatie gaat, kan die alsnog tijdelijk plat komen te liggen.

Pseudo-ransomware Het virus doet zich daarbij voor als ransomware, iets dat vaker gebeurde bij overheidsaanvallen. Bij een reguliere ransomware-aanval is herstel echter mogelijk, in ruil voor een bitcoin-betaling. In dit geval is herstel echter niet mogelijk. Deskundigen noemen dit soort aanvallen ook wel 'pseudo-ransomware'.

Na de eerdere succesvolle hackaanvallen hebben Oekraïense infrastructuurbedrijven en overheden hun zaakjes wel beter op orde, zegt de Oekraïnse hacker Marina Krotofil. "Het laaghangend fruit is nu wel weg", zegt Krotofil, die is gespecialiseerd in de veiligheid van infrastructuur. Maar een digitale aanval honderd procent voorkomen is lastig. "Ook omdat het voor Oekraïense bedrijven moeilijk is om gekwalificeerd personeel te krijgen: goed personeel vertrekt naar Polen, of heeft een naar Oekraïne geoutsourcete baan bij een West-Europees bedrijf. Dat betaalt een stuk beter." Wie écht wil en genoeg tijd en geld heeft, kan bovendien altijd wel inbreken. Ook als kritieke delen van een organisatie helemaal niet worden aangesloten op internet, is dat geen garantie. Dat merkte Iran tien jaar geleden al: nucleaire installaties in Natanz waren afgesloten van internet, maar via een binnengesmokkelde usb-stick werd toch een sabotagevirus naar binnen gebracht. Hoewel nooit officieel bevestigd zouden Israël en de VS daarachter zitten.

Beveiligingsbedrijf Trellix registreert momenteel veel digitale aanvallen richting Oekraïne - Trellix

Mocht het niet tot een gewapend conflict komen, dan zal zullen de aanvallen niet opeens voorbij zijn, denken deskundigen. "Ze zullen dan blijven doorsudderen", zegt Vijver. "De afgelopen tijd waren er allebei aanvallen, waarbij bijvoorbeeld overheidswebsites digitaal werden beklad. Vervelend, maar niet iets waarvan je in paniek raakt."