AchtergrondCyberaanval
Is dat nou moeilijk, zo'n close-access-hack-operatie van de Russen?
Niet eerder kreeg het publiek zo’n gedetailleerde inkijk in een cyberoperatie. Wat was de Russische militaire inlichtingendienst GROe precies van plan en waarom was het nodig om dit vanuit Den Haag te doen? En hoe sterk is het bewijs tegen de Russen?
De MIVD heeft het over een ‘close-access-hack-operatie’. Wat is dat?
Het wil zeggen dat hackers ergens binnen proberen te komen door fysiek dichtbij het doel te zijn, in dit geval het OPCW in Den Haag. De vier Russen probeerden op het draadloze wifi-netwerk in te breken door vlakbij hun auto te parkeren. In de achterbak bevond zich de benodigde apparatuur, zoals een telefoon met 4g-verbinding, een batterij, laptop en een krachtige antenne. Deze laatste is cruciaal omdat hiermee het langskomende internetverkeer kan worden onderschept.
Met die antenne kan het netwerk worden gekraakt?
Nee, dat niet. Volgens Erik de Jong van Fox IT hangt het er helemaal vanaf hoe een netwerk is beveiligd. ‘Daarna is het een kwestie van kijken wat je tegenkomt. Komt er onversleuteld verkeer voorbij? Is er een apart gastennetwerk? Hadden ze wellicht het wachtwoord van het netwerk al? We weten het niet.’
Het doel bij dit alles was vermoedelijk niet om een netwerk te besmetten of te ontregelen, maar om informatie te krijgen van de mensen die op het netwerk zitten. De antenne is in dit alles een eerste opstapje. De Jong: ‘Een nadeel van een draadloos netwerk is natuurlijk dat de signalen niet bij de muren ophouden. Als je maar dichtbij genoeg bent, heb je al de eerste horde genomen.’
Hoe kom je dan écht binnen?
Dat is het echte werk, zegt Michel van Eeten (hoogleraar cybersecurity aan de TU Delft en lid van de Cyber Security Raad). ‘De spullen die in de auto zijn gevonden, zijn niet zo spannend. Dat is echt geen James Bond-spul. Interessanter is hoe de Russen daarna het wifi-netwerk wilden kraken.’
Hier is niets over bekend gemaakt tijdens de persconferentie. Maar onderzoekers hebben een maand of vijf geleden een kwetsbaarheid ontdekt in WPA-2, de meestgebruikte versleuteling voor draadloze netwerken. ‘We weten het niet, maar wellicht hebben ze wel geprobeerd hiermee binnen te komen. Het is gewoon een kwestie van proberen: een bruggenhoofd neer te zetten om bijvoorbeeld van daaruit in computers in te loggen.’
Waarom kwamen de Russen voor hun hack naar Nederland? Zoiets kan toch ook op afstand?
Dat klopt. Een methode op afstand is ‘spearphishing’. Hierbij verstuurt een aanvaller een e-mail die afkomstig lijkt van een naaste collega. Omdat de ontvanger denkt met een bekende te maken te hebben, is hij eerder geneigd om op een link te klikken. Deze link kan dan naar een nagemaakte site leiden die hem vraagt gebruikersnaam en wachtwoord in te vullen. Aanvallers gebruiken vaak verschillende methoden naast of na elkaar, aldus De Jong. ‘Dan doen wijzelf ook, in opdracht van een klant. Je probeert dan op alle mogelijke manieren naar binnen te komen. Puur digitaal, maar dus ook soms in een combinatie van digitaal en fysiek.’
Bij hacks is het bewijs altijd een probleem. Speelt dat nu ook?
Bij digitale aanvallen is het inderdaad bijzonder lastig om deze toe te wijzen aan een specifieke groep. Maar hier gaat het om een combinatie met fysieke nabijheid en juist deze combinatie maakt het zo sterk. Dus niet alleen de digitale bewijzen die op hun telefoons en laptops zijn gevonden, maar ook dat taxibonnetje en de apparatuur in de auto. ‘Zeer overtuigend’, noemt De Jong van digitale beveiligingsfirma Fox IT het bewijs. En ook hoogleraar Van Eeten vindt het bewijs ‘glashelder’.
De vier mannen zijn gelinkt aan de hackersgroep Fancy Bear, waarvan wordt aangenomen dat deze wordt gefinancierd door de Russische overheid. Deze groep gaat volgens De Jong vaak behoorlijk roekeloos te werk in hun puur digitale activiteiten en laat daarbij veel sporen achter. ‘Waarom ze zo opereren, weten we niet. Misschien achten ze zich ten onrechte onaantastbaar.’
Wat zal het gevolg van deze onthulling zijn?
De Jong: ‘Dat is moeilijk te zeggen. Wat ik wel weet, is dat dit een heel speciaal moment is. Dit is echt ongekend. En ik vind het ook goed dat de actie op deze opvallende manier in de schijnwerpers wordt gezet.’
Ook minister Bijleveld van Defensie legde hier tijdens de persconferentie de nadruk op. Volgens haar kunnen de Russische diensten hun werk alleen doen in de geborgenheid van de schaduw. Dat moet nu voorbij zijn.
De Jong ziet nog een ander voordeel: ‘De Nederlandse overheid waarschuwt al heel lang voor cyberspionage, maar tot nu toe bleef dat een abstract verhaal. Ineens wordt het concreet. Iedereen beseft nu dat dit gewoon gebeurt. Niet noodzakelijkerwijs vanuit Moskou, maar gewoon hier, onder onze ogen.’
Ook Van Eeten denkt dat een van de doelen is om de al langer geuite verdenkingen nu eindelijk eens concreet te maken. Maar wat ook nog speelt: ‘Dit is een succesverhaal. Hiermee laten we zien: kijk eens hoe goed onze dienst is.’
Fancy Bear
De Russische hackersgroep Fancy Bear wordt beschuldigd van een aantal grote cyberaanvallen van de afgelopen jaren. Ze zouden onder meer zijn binnengedrongen in de Amerikaanse Democratische Partij. E-mails van partijkopstukken belandden daarna op WikiLeaks. De MIVD sprak tijdens de persconferentie over Unit 26165. Dat is een van de namen die worden gebruikt voor Fancy Bear. Andere namen zijn Pawn Storm, APT28, Sofacy Group, Sednit, Strontium en Unit 74455. De groep zou werken voor de GROe, de buitenlandse militaire inlichtingendienst van Rusland. Fancy Bear zou ook het Witte Huis, de NAVO, Duitse ministeries en het Wereldantidopingagentschap hebben belaagd. Een ander doelwit was de Onderzoeksraad voor Veiligheid, die de ramp met vlucht MH17 onderzoekt.
Volgens beveiliger Trend Micro, die Fancy Bear in de gaten houdt, is het een zeer serieus te nemen groep: ‘Het is een grote en behoorlijk actieve groep met veel kennis. Ze hebben toegang tot geavanceerde en vrij vernuftige technologie en waarschijnlijk hebben ze veel middelen. Ze jagen ook niet op geld, zoals de meeste hackers, maar op informatie.'
