Nog voor het begin van de oorlog in Oekraïne, bestoken Russische staatshackers Oekraïense doelwitten. Ten minste zes hackersgroepen die nauwe banden hebben met het Kremlin, zijn verantwoordelijk voor honderden cyberaanvallen. Het gaat om zeker 237 aanvallen. Deze bedreigen niet alleen de Oekraïense overheid, maar ook het welzijn van burgers. Dat blijkt uit onderzoek van Microsoft.
Het Amerikaanse hard- en softwarebedrijf heeft woensdag een rapport over de Russische cyberaanvallen op Oekraïne naar buiten gebracht. Het bedrijf zegt het belangrijk te vinden om de onderzoeksresultaten met de wereld te delen zodat de internationale gemeenschap en beleidsmakers weten wat er zich afspeelt. En zich hiertegen kan verdedigen.
Vlak voordat de eerste Russische tanks Oekraïne binnenreden, waren Russische staatshackers al actief om Oekraïense doelwitten te bestoken met cyberaanvallen. Volgens Microsoft hebben de daders -hackers met nauwe banden met het Kremlin- zeker 237 digitale aanvallen uitgevoerd tegen Oekraïne.
Niet alleen probeerden de aanvallers overheidsdiensten en de vitale infrastructuur lam te leggen: er zijn ook voorbeelden waarbij spionage en het verspreiden van desinformatie de hoofdrol speelde. Het doel daarvan was om het vertrouwen in de Oekraïense overheid een deuk te laten oplopen. Microsoft zag tevens “beperkte spionageactiviteiten” waarbij NAVO-lidstaten betrokken waren. Om welke landen het gaat, laat het technologiebedrijf in het midden.
De Russische cyberaanvallen zijn niet willekeurig uitgevoerd. Microsoft stelt dat er een sterke coördinatie en planning aan ten grondslag lag. Als voorbeeld noemen de onderzoekers een cyberaanval op een grote Oekraïense omroep. Deze werd uitgevoerd op de dag dat Rusland aankondigde ‘Oekraïense desinformatiedoelen’ te vernietigen en een raket insloeg op een tv-toren. Terwijl Russische soldaten Marioepel belegerden, ontvingen Oekraïners een e-mail waarin een Russische acteur zich voordeed als inwoner van de oostelijke havenstad. Hij beschuldigde de overheid ervan dat ze Oekraïense burgers aan hun lot overlieten.
Van alle cyberaanvallen die Microsoft waarnam, was een derde (32 procent) gericht tegen Oekraïense overheidsorganisaties. 40 procent van de aanvallen richtte zich op bedrijven en organisaties die actief zijn in de vitale sector. Dan moet je denken aan telecombedrijven, leveranciers van nutsvoorzieningen en financiële instellingen als banken.
De hackers gebruiken uiteenlopende technieken om toegang te krijgen tot de computersystemen van hun doelwitten. Zo proberen ze via phishing inloggegevens te krijgen, niet-gepatchte kwetsbaarheden uit te buiten en IT-dienstverleners te bestoken met DDoS-aanvallen. “Deze actoren wijzigen hun malware vaak bij elke inzet om detectie te omzeilen”, zo schrijven de onderzoekers.
Microsoft geeft in het rapport een tijdslijn van alle gebeurtenissen. De eerste voorbereidingen voor de Russische cyber warfare, werden volgens het techbedrijf al in maart 2021 gelegd. Russische hackers probeerden toen al toegang te krijgen tot zoveel mogelijk computersystemen van Oekraïense bedrijven, organisaties en overheidsdiensten. Direct na de Russische invasie probeerden hackers toegang te krijgen tot doelwitten die inlichtingen konden verschaffen over militaire en buitenlandse partnerschappen van Oekraïne.
In de zomer van 2021 richtten de hackers zich op toeleveranciers in Oekraïne en daarbuiten. Zo probeerden ze niet alleen toegang te krijgen tot systemen in Oekraïne, maar ook tot de systemen van NAVO-lidstaten. In maart tot slot voerden staatshackers een aanval uit met de malware Cyclops Blink. Daarmee probeerden ze data van bedrijven uit de vitale sector te stelen en verwijderen en nieuwe computers aan hun botnet toe te voegen.
“Sinds het begin van de Russische invasie in Oekraïne worden Russische cyberaanvallen ingezet ter ondersteuning van de strategische en tactische doelstellingen van het leger. Het is waarschijnlijk dat de aanvallen die we hebben waargenomen slechts het topje van de ijsberg zijn van de activiteiten die gericht zijn op Oekraïne”, aldus Microsoft.
De onderzoekers denken dat Russische staatshackers hun cyberaanvallen op Oekraïne zullen voortzetten en uitbreiden zolang de oorlog voortwoedt. Tegelijkertijd waarschuwen ze NAVO-lidstaten dat de aanvallers hun pijlen vroeg of laat op Westerse landen kunnen richten. Het gaat om vergeldingsacties vanwege de militaire en humanitaire steun aan Oekraïne. De cyberaanvallen tegen organisaties in de Baltische staten zijn een voorbeeld van.
