Rusland plant “massale cyberaanvallen” op kritieke infrastructuur, waarschuwt Oekraïne

Rusland plant

gwengoat | Getty Images

De Oekraïense regering waarschuwde maandag dat het Kremlin van plan is om “enorme cyberaanvallen” uit te voeren op elektriciteitsnetten en andere kritieke infrastructuur in Oekraïne en op het grondgebied van zijn bondgenoten.

“Door de cyberaanvallen zal de vijand proberen het effect van raketaanvallen op elektriciteitsvoorzieningsfaciliteiten te vergroten, voornamelijk in de oostelijke en zuidelijke regio’s van Oekraïne”, waarschuwde een adviesbureau. “Het bezettende commando is ervan overtuigd dat dit de offensieve operaties van de Oekraïense strijdkrachten zal vertragen.”

Het advies van maandag zinspeelde op twee cyberaanvallen die de Russische regering uitvoerde – eerst in 2015 en toen bijna precies een jaar later – waardoor Oekraïners opzettelijk zonder stroom kwamen te zitten tijdens een van de koudste maanden van het jaar. De aanvallen werden gezien als een proof-of-concept en een soort proeftuin voor het verstoren van de stroomvoorziening van Oekraïne.

De eerste aanval maakte gebruik van een bekend stukje malware, BlackEnergy genaamd, gemaakt door door het Kremlin gesteunde hackers. De aanvallers gebruikten deze nieuwe BlackEnergy3-malware om in te breken in de bedrijfsnetwerken van Oekraïense energiebedrijven en vervolgens verder binnen te dringen in de toezichthoudende controle- en data-acquisitiesystemen die de bedrijven gebruikten om elektriciteit op te wekken en te transporteren. De hack stelde de aanvallers in staat om legitieme functionaliteit te gebruiken die vaak wordt aangetroffen in stroomdistributie en transmissie om een ​​storing te veroorzaken waardoor meer dan 225.000 mensen meer dan zes uur zonder stroom zaten.

De aanval van 2016 was geavanceerder. Het gebruikte een nieuw stukje malware dat helemaal opnieuw is geschreven en speciaal is ontworpen voor het hacken van elektriciteitsnetsystemen. De nieuwe malware – die de namen Industroyer en Crash Override draagt ​​– viel op door zijn beheersing van de mysterieuze industriële processen die worden gebruikt door de Oekraïense netbeheerders. Industroyer communiceerde van nature met die systemen om hen te instrueren om onderstationlijnen spanningsloos te maken en vervolgens opnieuw te activeren.

“De ervaring van cyberaanvallen op de Oekraïense energiesystemen in 2015 en 2016 zal worden gebruikt bij het uitvoeren van operaties”, zei de Oekraïense regering maandag.

Het advies van maandag komt twee weken nadat Oekraïense troepen grote delen van het grondgebied heroverden in Charkov en andere steden die maandenlang onder Russische controle stonden. De Russische president Vladimir Poetin riep vorige week op tot de mobilisatie van 300.000 Russische burgers om de militaire invasie van Oekraïne te versterken.

De verhuizing, de eerste keer sinds de Tweede Wereldoorlog dat Rusland dit deed, heeft geleid tot protesten en een diaspora van voornamelijk mannelijke Russen die het land ontvluchten. Een spil om meer te vertrouwen op hacking door het leger van het land zou kunnen worden gezien als een manier om doelstellingen te bereiken zonder het aanhoudende personeelstekort verder te belasten.

Het is moeilijk in te schatten hoe groot de kans is op een succesvolle hackcampagne tegen de Oekraïense elektriciteitsnetten. Eerder dit jaar zei het Oekraïense CERT-UA dat het met succes een nieuwe soort Industroyer heeft gedetecteerd in het netwerk van een regionaal Oekraïens energiebedrijf. Industroyer2 was naar verluidt in staat om tijdelijk de stroom naar negen elektrische onderstations uit te schakelen, maar werd gestopt voordat een grote stroomstoring kon optreden.

“We hebben geen directe kennis of gegevens om een ​​beoordeling te maken van het vermogen van Oekraïne om zijn elektriciteitsnet te verdedigen, maar we weten wel dat CERT-UA de inzet van INDUSTROYER.V2-malware die zich eerder dit jaar op de elektrische onderstations van Oekraïne richtte, heeft stopgezet”, zegt Chris. Sistrunk, technisch manager van Mandiant Industrial Control Systems Consulting, schreef in een e-mail. “Op basis daarvan, en wat we weten over de algehele vastberadenheid van het Oekraïense volk, wordt het steeds duidelijker dat een van de redenen waarom cyberaanvallen in Oekraïne zijn gedempt, is dat de verdedigers erg agressief zijn en erg goed in het confronteren van Russische actoren.”

Maar onderzoekers van Mandiant en elders merken ook op dat Sandworm, de naam voor de door het Kremlin gesteunde groep achter de elektriciteitsnethacks, een van de meest elite hackgroepen ter wereld is. Ze staan ​​bekend om hun heimelijkheid, doorzettingsvermogen en maanden of zelfs jaren verborgen blijven in gerichte organisaties voordat ze opduiken.

Naast een aanval op elektriciteitsnetten, waarschuwde het advies van maandag ook voor andere vormen van verstoringen waarvan het land verwachtte dat Rusland zou toenemen.

“Het Kremlin is ook van plan om de intensiteit van DDoS-aanvallen op de kritieke infrastructuur van de naaste bondgenoten van Oekraïne, voornamelijk Polen en de Baltische staten, te verhogen”, aldus het adviesbureau. Sinds februari zeggen onderzoekers dat pro-Russische dreigingsactoren achter een gestage stroom van gedistribueerde denial-of-service-aanvallen op Oekraïne en zijn bondgenoten zitten.

Leave a Comment