Sinds de oorlog in Oekraïne zijn de cyberacties van Rusland intens, maar niet altijd effectief. Hoe komt dat?
Het slagveld naar de hand zetten. Koning Darius van Perzië deed het in 331 v. Chr. met kraaienpoten, die hij uitstrooide daar waar hij dacht dat zijn vijand Alexander de Grote zou oprukken. De geallieerden deden het in 1944, met namaakvliegtuigen en -landingsboten die het Duitse oppercommando moesten doen geloven dat de invasie van Frankrijk in Pas de Calais zou plaatsvinden in plaats van in Normandië. Ook Rusland probeerde het op 24 februari, minder dan een uur voordat Russische tanks Oekraïne binnenrolden – op weg naar Kyiv, dachten ze – toen computerhackers het satellietcommunicatiesysteem van het Amerikaanse bedrijf Viasat uitschakelden, waarop de tegenstanders van Rusland vertrouwden.
Victor Zhora, hoofd van het Oekraïense bureau voor defensieve cyberveiligheid, zei in maart dat het resultaat ‘een enorm verlies aan communicatie in het prille begin van de oorlog’ was. Een westerse voormalige veiligheidsfunctionaris meende dat er ‘een jaar of twee van echt heel serieuze voorbereiding en inspanningen’ voor nodig waren geweest.
Winst en verlies. De geallieerden wonnen – de D-day-landingen bleken een succes. Darius verloor de strijd en zijn troon. De opmars van Rusland naar Kyiv werd afgewend en de invasiemacht in het gebied werd verslagen. Ondanks alle inspanningen slaagde Rusland er niet in om middels cyberwarfare, ofwel: digitale oorlogsvoering, voldoende oorlogsmist te creëren. En dat is interessant. Cyberoorlog is weliswaar een zwaarbevochten en belangrijk onderdeel van dit conflict, waarin volop met deze nieuwe strijdvorm wordt geëxperimenteerd, maar tot nu toe vormde het niet de killer app die sommigen hadden verwacht.
Proeftuin
De aanval van Rusland op Viasat was niet de enige softwarematige verzwakking van Oekraïne in aanloop naar de invasie. In januari, en opnieuw op 23 februari, werden op honderden Oekraïense systemen zogenaamde ‘wiper’-programma’s gesignaleerd, bedoeld om gegevens te wissen. In april, toen de troepen op weg naar Kyiv op de vlucht sloegen, gebruikten hackers van Sandworm (vermoedelijk een dekmantel voor de GROe, de Russische militaire inlichtingendienst) malware met de naam Industroyer2 om het elektriciteitsnet van het land aan te vallen.
Dergelijke aanvallen op civiele infrastructuur zijn moeilijk stil te houden. Maar Oekraïense strijdkrachten gaven niet prijs of hun eigen netwerken werden binnengedrongen of verstoord (wat wel het geval was). Toch is het zichtbare effect ook daarvan verrassend beperkt gebleven. ‘Ik denk dat we veel grotere gevolgen hadden verwacht dan we hebben gezien,’ zei Mieke Eoyang, een hoge cyberofficier van het Pentagon, op 16 november. ‘De Russische cyberstrijdkrachten maken hun verwachtingen evenmin waar als de traditionele militaire strijdkrachten.’
In de eerste dagen van de oorlog bleef Oekraïne grotendeels online. De lichten bleven aan, zelfs toen rond de hoofdstad gevechten woedden. De banken waren open. In tegenstelling tot 2015 en 2016, toen cyberaanvallen voor stroomuitval zorgden, bleef de elektriciteit werken. Zo bleef ook de informatiestroom op gang. De nachtelijke presidentiële televisietoespraken van Volodymyr Zelensky aan het Oekraïense volk leden niet onder Russische aanvallen. Als het doel van Rusland was om het vertrouwen van de Oekraïners in hun regering te ondermijnen en het land onbestuurbaar te maken, dan is dat niet gelukt.
Oekraïne is al jaren een proeftuin voor Russische cyberoperaties
De belangrijkste reden daarvoor is de verdediging van Oekraïne. Lindy Cameron, hoofd van het Britse National Cyber Security Centre (NCSC), meent dat de charge van Rusland ‘waarschijnlijk de meest aanhoudende en intensieve cybercampagne ooit’ was. Maar zoals Sir Jeremy Fleming, haar baas bij GCHQ, de Britse inlichtingendienst waarvan het NCSC deel uitmaakt, in augustus in een essay voor The Economist opmerkte, was de reactie van Oekraïne ‘misschien wel de meest effectieve defensieve cyberactiviteit in de geschiedenis’. Oekraïne is al jaren een proeftuin voor Russische cyberoperaties. De voorganger van Industroyer2 bijvoorbeeld was de oorzaak van de blackouts in 2016. En zo kreeg de regering inzicht in de Russische operaties, en was er tijd om de infrastructuur te versterken.
Toen de invasie begon, had het Oekraïense cybercommando dan ook een rampenplan klaarliggen. Sommige functionarissen vertrokken vanuit Kyiv naar veiliger delen van het land. Anderen verhuisden naar commandoposten in de buurt van de frontlinies. Cruciale diensten werden overgebracht naar datacentra elders in Europa, buiten het bereik van Russische raketten. De Oekraïense strijdkrachten wisten al dat satellieten verstoord konden worden, en hadden alternatieve communicatiemiddelen klaarstaan. De aanval op Viasat had uiteindelijk ‘geen tactische gevolgen voor de Oekraïense militaire communicatie en operaties’, benadrukte Zhora in september, daarmee zijn eerdere verklaring nuancerend.
Daar zijn vrienden voor
Ook westerse hulp was cruciaal. In de aanloop naar de oorlog versterkte de NAVO haar samenwerking met Oekraïne onder meer door toegang te verlenen tot haar bibliotheek met cyberbedreigingen, een archief met bekende malware. Groot-Brittannië bood 6 miljoen pond, bijna 7 miljoen euro, aan steun, waaronder firewalls om aanvallen te pareren en forensische capaciteit om inbraken te analyseren. De samenwerking was voor beide partijen voordelig. ‘Waarschijnlijk hebben de VS en het VK meer geleerd over Russische cybertactieken van de Oekraïners dan zij van hen,’ aldus Marcus Willett, voormalig hoofd cyberzaken van GCHQ.
De Oekraïense veerkracht werd paradoxaal genoeg versterkt door de primitieve aard van veel van de Oekraïense industriële controlesystemen – een erfenis uit de Sovjettijd die nog niet is gemoderniseerd. Toen Industroyer in 2016 bijvoorbeeld elektrische onderstations in Kyiv trof, konden technici de systemen met handmatige omleidingen binnen een paar uur resetten [een onderstation is een elektrische installatie in het hoogspanningsnet]. Toen Industroyer2 in april een deel van het netwerk offline haalde, kon het binnen vier uur weer worden ingeschakeld.
Particuliere bedrijven voor cyberbeveiliging speelden eveneens een prominente rol. Volgens Zhora waren met name Microsoft en het Slowaakse bedrijf ESET belangrijk, omdat zij op Oekraïense netwerken gegevens verzamelden. ESET leverde bijvoorbeeld inlichtingen die de Oekraïense cyberteams hielpen om Industroyer2 te pareren. Volgens Microsoft heeft kunstmatige intelligentie, die sneller codes kan scannen dan een mens, het gemakkelijker gemaakt om aanvallen op te sporen. Op 3 november kondigde Microsoftvoorzitter Brad Smith aan dat zijn bedrijf tot eind 2023 technische ondersteuning aan Oekraïne zou verlenen. Microsoft steunde Oekraïne sinds februari voor meer dan 400 miljoen dollar.
Het lijdt geen twijfel dat Oekraïne een lastig doelwit is. Maar er zijn mensen die zich afvragen of de cyberkwaliteiten van Rusland misschien zijn overschat. Russische spionnen hebben tientallen jaren ervaring met cyberspionage, maar de militaire cybermacht van het land is ‘erg jong’ in vergelijking met die van westerse rivalen, aldus Gavin Wilde, voormalig directeur Ruslandbeleid van de Amerikaanse Nationale Veiligheidsraad. Amerika begon al tijdens de oorlogen in Haïti en Kosovo in de jaren negentig met het integreren van cyberplannen in militaire operaties, Rusland verdiept zich pas zo’n zes jaar in de mogelijkheid, volgens Wilde.
Amerikaanse, Europese en Oekraïense functionarissen zeggen allemaal dat er veel voorbeelden zijn van Russische cyberaanvallen die synchroon lopen met fysieke aanvallen, wat duidt op een zekere mate van coördinatie tussen die twee takken. Daarbij zijn ook onhandige fouten gemaakt. Sir Jeremy Fleming zegt bijvoorbeeld dat Russische militaire aanvallen in sommige gevallen de netwerken platlegden die hun eigen cybermacht probeerde te infecteren – en ironisch genoeg daarmee de Oekraïners dwongen om hun heil te zoeken bij veiliger communicatiemiddelen.
Anderen schilderen Rusland af als een slordige cybermacht – goed in het kapotmaken van dingen, maar luidruchtig en onnauwkeurig. In april merkte NAVO-topambtenaar David Cattler op dat Rusland meer vernietigende malware tegen Oekraïne had gebruikt ‘dan ’s werelds overige cybermachten normaal gesproken gezamenlijk in een jaar gebruiken’. Maar een cybercampagne beoordelen op basis van de hoeveelheid malware is als het beoordelen van de infanterie op basis van het aantal afgevuurde kogels. Daniel Moore, auteur van Offensive Cyber Operations, een recent boek over dit onderwerp, zegt dat elke bekende aanval van Rusland op kritieke infrastructuur – in Oekraïne en daarbuiten – voortijdig werd ontdekt, fouten bevatte of verder reikte dan het beoogde doel. Dat laatste was bijvoorbeeld het geval met NotPetya, zichzelf verspreidende ransomware uit 2017, die niet alleen Oekraïne raakte maar wereldwijd 10 miljard dollar aan schade veroorzaakte.
Sommigen schilderen Rusland af als een slordige cybermacht – goed in het kapotmaken van dingen, maar luidruchtig en onnauwkeurig
‘Er is sprake van belangrijke operationele tekortkomingen in bijna elke aanval die Rusland ooit in cyberspace heeft uitgevoerd,’ aldus Moore. Ter vergelijking wijst hij op Stuxnet, een Israëlisch-Amerikaanse cyberaanval op een Iraanse nucleaire installatie, die twaalf jaar geleden voor het eerst werd ontdekt. ‘Die aanval was veel complexer dan veel van wat we vandaag van Rusland zien.’
Het fysieke en het virtuele
Sommige westerse spionnen zeggen dus dat de oorlog een kloof laat zien tussen de Amerikaanse en Russische vaardigheid in high-end cyberoperaties tegen militaire hardware. Maar anderen waarschuwen dat het nog te vroeg is om conclusies te trekken. De cybercampagne van Rusland werd mogelijk minder beperkt door onvermogen dan door de overmoed die ook de conventionele strijdkrachten kenmerkte.
Volgens hen faalde Rusland niet zozeer in het plannen en uitvoeren van destructieve cyberaanvallen op elektriciteit en energie omdat het daartoe niet in staat was, maar omdat het ervan uitging dat het binnenkort Oekraïne zou bezetten en diezelfde infrastructuur zou erven. Waarom zou je vernietigen wat je straks nodig hebt? Toen de oorlog zich begon voort te slepen, bleek aanpassing nodig. Maar cyberwapens zijn niet vergelijkbaar met fysieke wapens die je gewoon op een ander doel kunt richten en van munitie kunt voorzien. Ze moeten juist specifiek op bepaalde doelen worden toegesneden.
Geavanceerde aanvallen, zoals die op Viasat, vergen een enorme voorbereiding, waaronder een nauwgezette verkenning van de doelnetwerken. In een vorig jaar gepubliceerd artikel toonde Lennart Maschmeyer van de ETH Zürich aan dat de aanval van de GROe op het Oekraïense elektriciteitsnet in 2015 ruim anderhalf jaar planning vergde, en dat de planning van die van 2016 zelfs tweeënhalf jaar in beslag nam. Het lanceren van dergelijke aanvallen onthult aan de vijand bovendien welke instrumenten (dat wil zeggen: code) en infrastructuur (servers) worden gebruikt.
Na de eerste week van de oorlog werden de Russische cyberaanvallen dan ook tactischer en opportunistischer naarmate de Viasat-achtige varianten waren opgebruikt. In april, toen Rusland de aandacht van Kyiv naar de Donbas verlegde, daalde het aantal cyberaanvallen sterk. In november beschreven onderzoekers van Mandiant, een cyberbeveiligingsbedrijf dat eigendom is van Alphabet, hoe de GROe vervolgens ‘randapparatuur’ zoals routers, firewalls en e-mailservers aan begon te vallen.
‘Wat je hier ziet is een productiefront,’ zegt John Wolfram van Mandiant. ‘Je hebt een bepaalde hoeveelheid expertise en kapitaal, en je moet beslissen of je die besteedt aan een of twee voortreffelijke speciale operaties – of aan vijftig stuks die veel goedkoper zijn.’ De keuze voor die laatste optie betekent niet dat de eerste buiten je vermogen ligt. ‘Rusland is vrijwel zeker in staat tot cyberaanvallen van grotere omvang en met grotere gevolgen dan de gebeurtenissen in Oekraïne doen vermoeden,’ merkt Cattler op.
De meest destructieve cyberoperaties zijn eigenlijk het nuttigst in vredestijd, wanneer er geen sprake is van wapens
Als dat klopt, zouden die mogelijkheden alsnog kunnen worden ingezet. De sabotage van de pijpleidingen Nord Stream 1 en 2 in september en de raketaanvallen op het Oekraïense elektriciteitsnet maken duidelijk dat het Kremlin bereid is steeds meer risico’s te nemen. Ook op cybergebied zijn daar tekenen van. Een Britse functionaris zegt dat Rusland, met het NotPetya-incident in gedachten, zijn aanvallen aanvankelijk wilde beperken tot Oekraïne, om geen ruzie te krijgen met de NAVO. Maar dat kan veranderen. Eind september lanceerde Sandworm de eerste opzettelijke aanval op doelen in een NAVO-land met ‘Prestige’: ontregelende malware gericht op transport en logistiek in Polen, dat een knooppunt is voor wapenleveranties aan Oekraïne.
Er zijn ook mensen die geloven dat de kracht van cyberoorlogsvoering wordt overschat. Cyberoperaties zijn weliswaar ‘intens en belangrijk’ geweest, zegt Ciaran Martin, voorganger van Cameron bij het NCSC, maar de oorlog heeft ‘de ernstige beperkingen van cyber als oorlogscapaciteit’ aangetoond. Stuxnet, dat Iraanse systemen infecteerde die air gapped waren, dat wil zeggen: fysiek afgesloten van het internet, beschadigde machines van de vijand maar bleef maandenlang onopgemerkt. Het succes leidde tot een vertekend beeld van de cyberaanval als wonderwapen als vervanging van bommen en raketten. In werkelijkheid, aldus Martin, was Stuxnet de ‘maanlanding’ van offensieve cyberaanvallen; een perfecte eenmalige actie waarvoor middelen met superkracht nodig waren, en zeker geen standaardwapen voor cyberoorlogen.
Evenmin is de cyberruimte ‘een magisch en onzichtbaar slagveld waar je dingen kunt doen waar je normaal gesproken niet mee wegkomt’, aldus Martin. Het is niet alleen moeilijk om ernstige schade toe te brengen aan goed verdedigde computernetwerken, maar dergelijke aanvallen kunnen bovendien ‘gemakkelijk worden herleid’. Cyberaanvallen zijn niet zonder gevolgen. ‘Ondanks alle hype,’ merkt Martin op, ‘heeft Poetin het Westen sinds de invasie geen enkele serieuze last bezorgd in cyberspace.’
Corona
Het beoordelen van deze standpunten en het trekken van lessen vergt tijd. Veel inbraken kunnen onopgemerkt zijn gebleven. Een aanval op de regionale militaire organisatie van Lviv werd bijvoorbeeld pas in een laat stadium ontdekt, en de Russische malware werd grotendeels niet opgemerkt door commerciële beveiligingssoftware. Het opsporen van aanvallen is geen onfeilbare wetenschap, zegt een Oekraïense functionaris voor cyberbeveiliging. Vaak is er sprake van een legitieme login op het systeem, omdat iemands wachtwoord gecompromitteerd is. Je ziet dan alleen de symptomen, niet de oorzaak. ‘Het is alsof iemand een hoestje heeft, of een laag zuurstofgehalte in het bloed. Nu pas weten we dat het corona kan zijn. Iets dergelijks geldt voor malware. We ontdekken het zelden als het een netwerk binnendringt, maar pas als we schade waarnemen. En dat duurt vaak even.’
Een ander punt is dat de meest destructieve cyberoperaties, zoals Stuxnet, eigenlijk het nuttigst zijn in vredestijd, wanneer er geen sprake is van wapens. In oorlogstijd is het inzetten van munitie vaak gemakkelijker en goedkoper. Waarschijnlijk is de belangrijkste cyberactiviteit in oorlogstijd, aan beide kanten, eerder gericht op het verzamelen van inlichtingen of op psychologische oorlogsvoering dan op vernietiging.
Een Oekraïense oud-politicus met kennis van zaken bevestigt dat de meest waardevolle bijdrage van de cyberstrijdkrachten van zijn land het ontfutselen van geheimen is, zoals details over Europese bedrijven die de Amerikaanse sancties tegen Rusland schenden. ‘Er zijn nog wat andere dingen waar ik niet over kan praten, maar er wordt behoorlijk indrukwekkend werk verricht,’ zegt hij. De ontcijfering van de Duitse Enigma-codeermachines door de geallieerden in de Tweede Wereldoorlog kwam pas in de jaren zeventig aan het licht. Zo ook kan de werkelijke impact van de cyberoperaties in Oekraïne nog jaren onbekend blijven.
