Reconstructie Digitale aanval

Een jaar na de cyberaanval: hoe heel Oekraïne op zwart ging

‘Moeder van het moederland’, monumentaal standbeeld in Kiev, Oekraïne. Beeld Jeroen de Bakker

Op 27 juni 2017, woensdag een jaar geleden, treft een digitale aanval  64 landen. Honderden bedrijven komen tot stilstand, ziekenhuizen in de VS worden geraakt, in de Rotterdamse haven kunnen vrachtwagens en schepen hun lading niet kwijt. Maar nergens was de schade zo groot als in Oekraïne. De totale schade loopt in de miljarden. Wat is hier gebeurd? Wie zat hier achter? Een reconstructie.

08.05 uur: Computers blokkeren

Als Olena Botjaj - een stevige vrouw met een vriendelijk gezicht en strak achterover geföhnd haar – op 27 juni 2017 zoals altijd één halte met de metro gaat, de paar honderd meter naar de medische privékliniek Boris in een voorstad van Kiev loopt en bij binnenkomst haar computer aanzet, begint ze aan een werkdag die rampzalig zal verlopen. Niet alleen voor haar, maar voor heel Oekraïne.

Vijfhonderd patiënten staan er voor vandaag in de agenda, ziet ze in de computer. De kliniek waar Botjaj hoofd van de poliklinieken is, ligt aan de rand van de Oekraïense hoofdstad. Hier komen de mensen die zich meer kunnen veroorloven dan de zorg van de overheid. Op de parkeerplaats staan grote auto’s van duurdere Westerse merken: Audi, BMW, Mercedes. De kliniek heeft een eigen ambulancedienst, een helikopter en zeshonderd artsen in dienst.

Als ze een paar uur later opnieuw toegang wil tot de patiëntendossiers, doet de computer niks. Ze klikt nog een keer op het programma MED/MC om de dossiers te openen van de patiënten die vandaag een afspraak hebben: niks. Haar hele computer zit vast. Botjaj belt met de IT-afdeling. ‘Ik heb een catastrofe hier. Zonder computer kan ik niks’, zegt ze.

‘We hebben een cyberaanval’, zegt het hoofd van de IT-afdeling.

Olena Botjaj, arts van de privé-kliniek Boris. Beeld Jeroen de Bakker

Botjaj heeft geen idee wat dat betekent. Zoiets heeft ze nog nooit meegemaakt. Ze rent door de gang naar het trappenhuis, een verdieping omhoog. Daar zit het laboratorium. Bijna zevenduizend analyses doen die per dag: bloedanalyses, allergietesten, noem maar op. Alle data zitten in de computer en daar kunnen de artsen nu niet bij. En dus kunnen ze patiënten geen resultaten geven.

Ze raakt in paniek, rent weer terug naar beneden, waar steeds meer patiënten voor de receptie staan. 'We hebben een aanval’, probeert ze uit te leggen, ‘we moeten nieuwe afspraken maken.’ De patiënten begrijpen het niet en worden boos. ‘Het maakt me niets uit. Ik wil nu geholpen worden’, roept een oudere man tegen haar. Maar ze heeft geen tijd om met iedereen in discussie te gaan. Ze moet patiënten bellen dat hun operatie niet doorgaat. Andere operaties probeert ze te verplaatsen naar andere klinieken. En ze vraagt alle collega’s die vrij zijn om direct te komen helpen.

Die 27ste juni, vandaag een jaar geleden, treft een digitale aanval wereldwijd 64 landen. Honderden bedrijven komen tot stilstand, ziekenhuizen in de Verenigde Staten worden geraakt, de Deense multinational Maersk kent de grootste crisis in z’n bestaan, in de Rotterdamse haven kunnen vrachtwagens en schepen een weeklang hun lading niet kwijt. De schade loopt in de miljarden. Wat eerst lijkt op een gijzelvirus, blijkt vooral sabotage te zijn: computers die besmet raken, gaan kapot.

Eén land wordt bijzonder hard geraakt: Oekraïne. Het leven in de hoofdstad Kiev komt die dag tot stilstand. Overheden, banken, media, postkantoren, de kerncentrale Tsjernobyl en het vliegveld: allemaal worden ze getroffen.

Voor veel mensen is het de eerste keer dat ze ervaren wat er gebeurt als een onzichtbare vijand hun land aanvalt. Wat het doet als de systemen waarop ze vertrouwen kapotgaan. Hoe beangstigend dat is en hoe kwetsbaar ze zich dan voelen.

12.02 uur De ernst dringt door

Dmytro Verbovski (39), hoofd IT van het internationale vliegveld Boryspil, heeft net een paar happen soep op als zijn telefoon gaat. Hij zit in een restaurantje op de luchthaven met zijn vaste lunchpartner Igor. ‘Er is iets geks aan de hand. Er zijn twee computers vergrendeld’, krijgt hij te horen. ‘Wat is er te zien?’, vraagt Verbovsky. ‘Wacht, er zijn nu drie computers vergrendeld’, is het antwoord.

Verboski staat op, zegt tegen Igor dat hij weg moet en loopt gehaast naar zijn kantoor in een aanpalend datacentrum, ongeveer 500 meter verderop. Als hij binnenstapt, blijken er nóg twee computers vergrendeld te zijn. Hij belt kennissen bij andere bedrijven. Ook daar zijn problemen. Dit is serieus, weet Verboski nu. Hij checkt snel de systemen voor de passagiersgegevens en het systeem dat het vliegverkeer regelt. Dat werkt nog. Die draaien niet op Windows – het systeem dat nu problemen geeft.

Eén voor één neemt het aantal geïnfecteerde computers toe. Verbosky roept de zevenhonderd medewerkers op zo snel mogelijk hun computer uit te doen. Het virus lijkt overal op te duiken. Honderden werknemers kunnen niets meer doen. Velen gaan naar huis.

Dmytro Verbovski, IT-manager vliegveld Kiev Beeld Jeroen de Bakker

12.06 uur Banken blokkeren

Een team digitale experts van de Oekraïense geheime dienst SBU vertrekt naar de Oschadbank.

De staatsbank heeft hulp nodig. Het e-bankingsysteem werkt niet meer: het is niet langer mogelijk geld over te maken. Oleksi Tkatsjenko – plaatsvervangend hoofd van de digitale eenheid – heeft net zijn mensen ernaar toe gestuurd als er meer telefoontjes volgen. Overheidsorganisaties, financiële instellingen, de energiecentrale: overal vallen systemen uit.

In het statige hoofdkwartier van veiligheidsdienst SBU aan de Volodimirska-straat denkt Tkatsjenko, een forse man met kort donker haar en een telefoon in een ruim zittende borstzak, aan die andere aanvallen vlak voor of op nationale feestdagen. 2015, 23 december, een sabotagevirus schakelt energiebedrijven uit in het westen van Oekraïne. Urenlang is er geen stroom. 2016, wederom rond Kerst en vlak voor Nieuwjaar: een aanval op het ministerie van Financiën en de spoorwegen. De eindejaarsbetalingen kunnen niet worden gedaan. Tkatsjenko: ‘Dit soort aanvallen is bedoeld om te ontwrichten; om te laten zien dat de Oekraïense overheid in chaos verkeert.’ Het perfecte, stille wapen van de moderne tijd. ‘Oekraïne is een testlocatie voor destructieve virussen.’

12.54 uur De crisis is compleet

Dat weet ook de Schot Jock Mendoza Wilson. Hij is vanaf 2005 werkzaam bij het grootste bedrijf van het land, System Capital Management, van de steenrijke oligarch Rinat Achmetov. SCM is onder meer eigenaar van telecomprovider Urktelecom. Door de conflicten in het oosten van Oekraïne heeft Wilson, directeur internationale relaties, al eens meegemaakt dat zijn werknemers fysiek bedreigd werden. Een fabriek van SCM werd met geweld overgenomen door pro-Russische separatisten.

Ook concurrenten en de veiligheidsdiensten zijn geïnteresseerd in SCM. De beveiliging is er stevig. Wilson opent per definitie geen mails van onbekenden. Uit voorzorg werkt het bedrijf met clouddiensten: op de computers staat geen enkele informatie meer. Dus als die dag de houten deur van het kantoor van Wilson – een ruime kamer met zicht op het beroemde St-Michaëlsklooster met gouden koepels – open zwiept en zijn blonde assistente Ksenia naar binnensnelt en gilt dat hij zijn computer uit moet doen, weet Wilson dat het menens is. Hij helt naar links en trekt met een ferme ruk de witte netwerkkabel uit zijn computer.

Even heeft hij de hoop dat het tijdelijk is. Dan belt de IT-afdeling: SCM is geïnfecteerd, niemand kan meer iets doen. Hij denkt aan de e-mails die hij nog had willen sturen, de opdracht waar hij vier maanden mee bezig is en die hij nu misschien kwijtraakt, de internationale contacten die hij informatie zou sturen. Onzekerheid overvalt hem. Wat is er gaande? Na een uur loopt hij het kantoor uit, sluit de deur, neemt de volledig gespiegelde lift naar beneden, loopt door één van de twee toegangspoortjes in de uit roze marmer opgetrokken entree naar buiten en stapt in een wachtende auto met chauffeur. Dan pas zal hij begrijpen hoe groot de crisis werkelijk is.

Jock Mendoza Wilson, directeur internationale relaties SCM. Beeld Jeroen de Bakker

13.30 uur Contact met de president

Aan de oostkant van de Verenigde Staten, in de staat New York, is dat crisisbesef al doorgedrongen. Dmytro Sjymkiv (42) is de belangrijkste technisch adviseur van president Petro Porosjenko. Hij is in New York om zijn kinderen af te zetten bij een zomerkamp. Na een vroeg hardlooprondje ziet hij de eerste meldingen over ‘verdachte activiteiten’ op Oekraïense netwerken. Sjymkiv, oud-ceo van Microsoft Oekraïne, belt en belt. Hij leidt een klein team van digitale experts. Die staan in rechtsstreek contact met de veiligheidsdienst en de cyberpolitie. De berichten zijn zorgelijk. ‘Computers over het hele land veranderen in stenen. Ze kunnen niets meer.’ Ook zijn er meldingen over persoonlijke aanvallen op ambtenaren bij diverse ministeries. Dit is een aanval op zijn land.

Sjymkiv weet wat hij het moet doen: eerst kijken of het de president raakt, daarna de crisis in kaart brengen en advies geven aan getroffen instanties. Hem is al snel duidelijk dat het ‘heel erg fout’ gaat. Nog in de ochtend spreekt hij via een beveiligde verbinding met de president. Hij vertelt hem dat de presidentiële administratie ongedeerd is en dat hij in contact staat met zijn team. Daarna, om 9.12 lokale tijd, plaatst hij een bericht op Facebook. ‘De informatiesystemen van de presidentiële administratie werken normaal, maar vanwege de cyberaanval hebben we grote aandacht voor de situatie bij andere overheidsorganisaties.’

13.50 uur 'Zitten de Russen er achter?'

Rustig blijven, rustig blijven, zegt de 21-jarige Tatjana Labysj tegen zichzelf. Niks laten merken. Uitstralen dat alles onder controle is, ook al heeft ze geen idee wat er aan de hand is. Ze staat achter één van de zeven balies van het postkantoor Oekrposjta, in een voorstadje op 15 kilometer van Kiev en tikt nerveus met haar zwart-wit gelakte nagels.

Het postkantoor wordt steeds voller met wachtende mensen, vooral ouderen. Die willen hun pensioengeld opnemen of komen hun maandelijks energierekening betalen bij het staatspostbedrijf. Bezoekers begrijpen er niets van. Een storing? Sommige mensen zeggen boos tegen Labysj dat ze hun geld willen. U moet even wachten, vertelt ze hen. Ze heeft geen idee hoe lang.

Tatjana Labysj, medewerker postkantoor. Beeld Jeroen de Bakker

Sommigen gaan naar huis, anderen blijven ontsteld wachten. Labysj voelt zich vreselijk. Omdat ze de mensen niet kan helpen. Maar ze is ook bezorgd om haar land Oekraïne. Wat gebeurt er? Zou het met de oorlog te maken hebben?

De Russen, schiet even door haar hoofd. Maar die gedachte verdwijnt snel. Veel Oekraïners hebben een ambivalente verhouding met hun grote buurland. Ze hebben er vrienden wonen, ze spreken de taal en historisch en cultureel gezien zijn beide landen diep verbonden. Ja, er is een oorlog met Russen in het oosten van het land, maar dat betekent niet dat alle Russen slecht zijn en dat ze overal achter zitten.

13.53 uur Media in actie

Toch denkt ook Edoeard Kryzkanivski als eerste dat ‘de Russen komen’, als hij op Facebook berichten ziet over Oekraïense bedrijven die platliggen. Kryzkanivski is verslaggever en fotograaf voor het televisiestation 24 TV, een nationale nieuwszender. Hij belt z’n vriendin en ze grappen wat nerveus over een invasie, om de spanning weg te lachen.

Als de 24-jarige journalist de redactie in het centrum van Kiev bereikt ziet hij dat niets meer werkt. De schermen in de studio doen het niet. De autocue loopt niet. De computers waarop gemonteerde items staan, zijn vergrendeld. Alle schermen zijn zwart. Het tv-station is stilgevallen. Het duurt een tijd voordat iemand een oude geheugenkaart vindt met afleveringen van het satirische programma dat ze ook maken. Noodgedwongen zenden ze dat maar uit.

Edward Kryzkanivski, verslaggever 24TV. Beeld Jeroen de Bakker

Ze zijn nu zelf onderdeel van het nieuws, maar dat betekent niet dat ze hun journalistieke werk niet willen doen. Naast de onrust en paniek, voelen Kryzkanivski en zijn collega’s ook een soort opwinding. Ze gaan naar huis en halen hun eigen, onbesmette laptops op.

Ze bellen met bedrijven die ook getroffen zijn en noteren hun commentaar. Provisorisch nemen ze de interviews op. Na twee uur proberen de redactie van
24TV een soort uitzending in elkaar te draaien. Via mobiel internet kunnen ze toch wat werken. De eerste uitzending de middag leest de presentator van papier. De autocue doet het niet, het is niet mogelijk instarts te doen of logo’s op het scherm te laten zien. Op het beeldscherm achterin de studio plaatst de redactie een fragment uit de film The Matrix met als mededeling ‘hacker attack!’ erbij.

15.08 uur De aanval is wereldwijd

Pas in de auto realiseert zakenman Wilson hoe groot de crisis is. Zijn chauffeur vertaalt de Russische nieuwsberichten op de radio. Banken, vliegveld, energiecentrales: alles ligt plat. Hij merkt een merkwaardige stilte op straat. Een kalmte die er normaal op een zondag is, niet op een doordeweekse dag vlak voor een nationale feestdag. Een stad met drie miljoen mensen is met een schok tot stilstand gekomen. Het beangstigt hem. ‘Kan ik nog bij m’n geld? Kunnen vliegtuigen nog opstijgen en landen?’, schiet door z’n hoofd.

Thuis zoekt hij naar berichten in westerse media. Bij de BBC ziet hij dat bedrijven in Duitsland, Nederland en de Verenigde Staten ook getroffen zijn. Hij belt met vrienden en enkele zakelijke relaties. ‘Bijna niemand weet hoe een digitale aanval voelt. Ik maakte het mee. Het geeft een gevoel van diepe onzekerheid. Alles waar je normaal op vertrouwt, doet het niet meer. Ineens realiseer je hoe kwetsbaar je bent en hoe afhankelijk van zaken als telefoon, computer, energie, openbaar vervoer, ziekenhuis.’ Het engste: het is ongrijpbaar. ‘En daardoor wordt het zelfvertrouwen aangetast. Wat zal er straks nog meer uitvallen? Wat is al kapot?’

Hij heeft leren accepteren dat online veiligheid een prijs heeft. Hij kan niet zomaar bij z’n documenten. Inloggen op meerdere systemen kost tijd. ‘Maar als je door zo’n aanval gaat, leer je dat accepteren. En Oekraïne ligt nu eenmaal in de frontlinie van een nieuwe oorlog.’

17.47 uur Tijd voor noodoplossingen

Voor hoofd IT Dmytro Verbovski is de dag nog lang niet voorbij. Wat begon met één geïnfecteerde computers is overgeslagen op vijfhonderd pc’s. Het kantoornetwerk van het vliegveld ligt volledig plat. Op de website kunnen bezoekers de aankomst- en vertrektijden niet lezen: de provider die de gegevens naar de website moet verzenden, werkt niet. Verbovski bedenkt een noodoplossing: hij plaatst een ladder met een camera pal voor het grote scherm in de vertrekhal op de derde verdieping en zendt de beelden via het Wifi-signaal naar de website. Zo kunnen bezoekers ‘live’ de vertrektijden zien.

De problemen met het kantoornetwerk zullen nog weken aanhouden. Niet alleen de computers doen het niet meer, ook de back-ups zijn niet toegankelijk. Het hele systeem moet opnieuw opgebouwd worden. Om twee uur die nacht stapt Verbovski in z’n witte Skoda Rapid en rijdt de twintig minuten naar huis. Dit is de nieuwe tijd, denkt hij. Vijf jaar geleden stalen hackers geld, nu maken ze onze systemen kapot. Informatiesystemen zijn het nieuwe terrein van vechtende overheden. Het ergste vindt hij dat zijn systemen er niet in zijn geslaagd de aanvallers buiten te houden. ‘Ons hek was gebroken, dat is slecht.’

22:14 uur Pinnen voor de zekerheid

Edward Kryzkanivski pakt moe de metro naar huis, een rit van twintig minuten. Als hij uitstapt en naar huis loopt, passeert hij een pinautomaat. Hij aarzelt even, loopt dan terug en neemt al het geld op dat nog op zijn rekening staat. Voor de zekerheid. Dan gaat hij naar huis en duikt zijn bed in.

23.57 uur De schade wordt zichtbaar

Dmytro Sjymkiv van de presidentiële administratie heeft de hele dag aan de telefoon gezeten. Eerst dacht hij dat een gijzelingsvirus Oekraïne trof, later leek het sabotagevirus en nog wat later werd de werkelijke omvang hem duidelijk: een aanvaller heeft maandenlang toegang gehad tot MeDoc, een veelgebruikt accountantssysteem in Oekraïne – dat ook bij grote multinationals als Maersk populair is. De software geeft toegang tot de meest waardevolle informatie van een bedrijf. Wie MeDoc weet te infiltreren, treft bedrijven – Oekraïense bedrijven in het bijzonder – in het hart.

Maandenlange spionage en daarna, vlak voor de nationale feestdag, had de aanvaller via het programma de sporen gewist én als toetje een sabotagevirus verspreid. Sjymkiv: ‘Wie is geïnteresseerd in onze financiële gegevens en wil bedrijven daarna ook nog kapot maken?’ Hard bewijs is er niet, maar de analyse is voor hem snel gemaakt. ‘Klassieke Russische werkwijze: je verbrandt niet alleen het huis, maar meteen het hele dorp.’

Twee dagen later zal Sjymkiv terugvliegen naar Kiev. Een virus heeft tien procent van de systemen in het land geraakt. Financiële instellingen kampen nog weken met problemen. Sommige banken moeten praktisch al hun computers vervangen. Omdat het virus zich na infectie verspreidt in een netwerk, geeft het aanzetten van computers telkens weer nieuwe ellende. Om duizenden medewerkers van Ukrsotsbank na een paar dagen te waarschuwen niet hun pc’s op te starten, verspreidt de directie noodgedwongen meldingen via het brandalarm.

Sjymkiv: ‘Geen van de bedrijven zal publiekelijk zeggen hoe groot het probleem werkelijk was. In de officiële cijfers staat iets van 12.000 geïnfecteerde pc’s, maar het was veel omvangrijker. Sommige bedrijven verloren 60 tot 80 procent van hun ICT-infrastructuur.’

De oud-baas van Microsoft kent als geen ander het belang van updaten, van voorbereiden, van trainen. ‘De kwetsbaarheid van de samenleving is groot. Het probleem is dat weinigen het begrijpen. Mensen komen er zelden mee in aanraking, ze zien het niet, vooral niet in het Westen. Je kunt je niet voorbereiden op zo’n aanval, je kunt alleen zorgen dat je er klaar voor bent.’

Beeld Jeroen de Bakker

00.05 uur Weg met de computer

Olena Botjaj loopt om iets voor middernacht van de medische kliniek Boris naar het station en neemt de laatste metro. Eindelijk kan ze naar huis. Ze kan wel huilen. Ze voelt zich vreselijk. Beschaamd en schuldig dat ze patiënten niet kon helpen. Nog nooit heeft ze dit meegemaakt in de dertig jaar dat ze in de gezondheidszorg werkt.

Thuis gaat ze zitten en denkt na wat er nou eigenlijk gebeurd is deze rampzalige dag. Alsof iemand ineens het licht uitdeed, zo voelde het voor haar. Naargeestig.

Olena Botjaj: ‘Toen pas begreep ik wat voor omvang het had’

Ze beseft hoe diep het moderne leven – háár leven – verbonden is met computers en telefoons. En hoe dat in de plaats is gekomen van echt contact. Botjaj pakt haar telefoon en belt een oude vriendin, die ze al heel lang niet heeft gesproken. ‘Ik moest je stem even horen’, zegt ze aan de telefoon. Ze vertelt wat ze die dag heeft meegemaakt. ‘We moeten meer aan elkaar denken. En ik moet je vaker spreken.’

Een dag later zal ze haar dochter bellen. Dat had ze vaker moeten doen, zegt ze. Gewoon even vragen hoe het gaat, in plaats van op Facebook kijken. Dat neemt ze zichzelf voor. Mensen weer ‘echt’ spreken. Echt contact. Weg van de computersystemen.

Rusland zat achter aanval

- De Amerikaanse CIA en de Britse regering zeggen met ‘groot vertrouwen’ dat de Russische militaire dienst GROe achter de verspreiding van het NotPetya-virus zat, dat op 27 juni 2017 tientallen landen trof. Volgens de Amerikanen is het de ‘meest destructieve en schadelijkste cyberaanval ooit.’

- In eerste instantie leek het virus op ransomware: het versleutelde computers en vroeg om losgeld. Het was echter niet mogelijk om bestanden te ontsleutelen, ook niet na betaling.

- De aanval was gericht op Oekraïne. De schade in andere landen was nevenschade, zegt ook het Nederlandse Nationaal Cyber Security Center (NCSC). ‘Daarnaast is ook een andere ontwikkeling zichtbaar: het niet voorzien of accepteren door de aanvaller van nevenschade voor andere landen die niet het primaire doelwit zijn. Het bekendste voorbeeld voor Nederland daarvan is NotPetya waarbij ook Nederlandse bedrijven geraakt werden en daarmee onbedoeld (economische) schade leden.’

- De Deense multinational Maersk moest nieuwe software aanschaffen. Het bedrijf leed zeker 250 miljoen euro schade. Het Amerikaanse koeriersbedrijf FedEx had ook voor honderden miljoenen schade. Vele honderden andere bedrijven hebben hun schade nooit bekendgemaakt.

- De Oekraïense geheime dienst SBU schat dat bijna 1.000 instituten in Oekraïne getroffen waren.

- De Amerikaanse overheid heeft twee weken geleden vijf bedrijven op een sanctielijst geplaatst vanwege hun faciliterende rol bij de verspreiding van NotPetya. Daaronder Digital Security. De Amerikanen hebben de AIVD ook gewaarschuwd voor de betrokkenheid van dochterbedrijf ERPScan. De Nederlandse dienst deed zelf geen onderzoek naar Digital Security of ERPScan. 

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.