Op werkdagen voor 23:00 besteld, morgen in huis Gratis verzending vanaf €20
Sandworm nieuws
12 december 2019 | Bertrand Weegenaar

In 2014 kwam Sandworm op de radar van onderzoeksjournalist Andy Greenberg. Hij is verbonden aan Wired en The New York Times. In de afgelopen vijf jaar zag hij de activiteiten op het gebied van cyberoorlogsvoering en hacken evolueren naar een staat gedreven tactisch wapen dat grote mogendheden testen en al inzetten.

Rusland is hierin voorloper. De Oekraïne zijn hun favoriete testgebied. Digitale oorlogsvoering is een gebied waar, veelal in stilte, aanvallen worden voorbereid en uitgevoerd. Na een periode van onderzoek worden zwakke plekken in netwerken, bij gebruikers en servers uitgezocht en stukjes software geplaatst. Afhankelijk van de doelstellingen van de aanvallers worden deze stukjes software gebruikt om informatie te vergaren en te kopiëren (lees: staats- en bedrijfsspionage), om te chanteren en geld te verdienen (lees: gijzelsoftware) of obstructie te plegen. De focus die Andy Greenberg heeft betreft met name de laatste categorie. Waarbij deze eerder in combinatie, of als afleiding gebruikt worden.

Sandworm is de naam van een groep hackers waar Greenberg achterna ging. Hij zag het werk van Sandworm evolueren van ‘pesten’ (bijvoorbeeld door een netwerk plat te leggen met een DDOS-aanval) tot aan zeer geavanceerde aanvallen waarin wereldwijd slachtoffers vielen. Sandworm is ook het fantasie beest dat in de reeks Dune (1969) van Frank Herbert een hoofdrol speelt. De Sandworm duikt vanuit de duinen onverwachts op en richt daarbij grote schade aan. In Sandworm A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers doet Greenberg op bijna thrillerachtige wijze verslag van zijn jacht. De Sandworm staat synoniem met een Zero Day hackaanval, een aanval waarbij het slachtoffer geen vorm van waarschuwing heeft gekregen.

Greenberg neemt ons mee vanuit het episch centrum van cyberoorlogsvoering de Oekraïne naar diverse grote hacks van de afgelopen jaren waar Sandworm’s digitale fingerprints op terug te vinden zijn. De aanval is misschien niet te voorkomen, de analyse natuurlijk wel (alhoewel de hackers steeds slimmer zijn in het maskeren of wissen van hun sporen). Dit vakgebied heet forensische IT en is belangrijk om defensieve wapens te maken, en schuldigen aan te wijzen. De Oekraïne is door het digitale leger van Rusland een aantal jaren geleden gekozen om aanvalstactieken, hacks en software te testen. Dus worden regelmatig websites van overheidsorganen en banken plat gelegd, worden infrastructurele elementen als water- en elektriciteitscentrales aangevallen. Schadelijk voor de economie en vervelend voor de burgers. Rusland gebruikt het digitale aanvalswapen inmiddels geregeld naast en tijdens conventionele oorlogsvoering. Bij de invallen in Georgië (2008) en de Oekraïne (2014) werden dezelfde tactieken uitgevoerd: digitale lastercampagnes, platleggen van websites, wissen van bestanden op servers, infrastructuuraanvallen op banken, verkeersinfrastructuur enzovoort.

De technieken uit deze aanvallen werden weer gebruikt in een paar wereldwijde bekende hacks: WannaCry en NonPetya. De laatste heeft, defensief geschat, een schade van 10 miljard dollar opgeleverd. Oorsprong van deze aanval: hackerscollectief FancyBear. Bij de start van de Olympische Winterspelen in 2018 werd de organisatie getroffen door een cyberaanval. Maandenlang durende analyses door tientallen bedrijven en overheden achteraf, liepen over Chinese en Noord-Koreaanse groepen weer naar FancyBear. De Amerikaanse overheid heeft de vinger definitief gewezen naar de schuldigen van de GRU, de Russische buitenlandse veiligheidsorganisatie. FancyBear en Sandworm lijken dezelfde groep mensen te zijn: groep 74455. Diverse leden en commandanten van deze groep zijn niet meer welkom, buitenlandse tegoeden zijn bevroren en namen zijn gepubliceerd.

De verhalen van Greenberg lezen als een thriller. De digitale oorlogsvoering toont volgens Greenberg wel een belangrijk kwetsbaarheid, de veiligheid van de burgers. In ‘normale’ oorlogsvoering geldt dat burgers en hun faciliteiten (water, stroom enzovoort) ontzien worden. In de Oekraïne heeft Sandworm laten zien dat het ontwrichten en vernietigen van cruciale voorzieningen te doen zijn. Eén van de belangrijkste voorbeelden hiervan is de Stuxnet (2005) waarbij de Amerikaanse veiligheidsdienst een virus geplaatst heeft in een Iraanse kerncentrifuge met fatale gevolgen voor deze fabriek. Het wapen Stuxnet werd later ‘gestolen’ van de NSA en op vele manieren aangepast en gebruikt in diverse aanvallen.

Greenberg laat zien dat de grenzen van Rusland hier steeds verder opschuiven. Het Westen, de NATO, trekt geen grens. De rode lijn van wat geaccepteerd wordt schuift steeds verder op. Waarbij Greenberg een belangrijke waarschuwing geeft: in de Oekraïne is nog veel infrastructureel materiaal met de hand te bedienen. Dat is in de West-Europa en Amerika niet het geval. Onderzoekers hebben de afgelopen jaren als sporen van hacksoftware in deze omgevingen aangetroffen.

Dit boek is super toegankelijk ook voor niet techneuten. Het leest uitstekend als vervolg op Het is oorlog maar niemand die het ziet van Huib Modderkolk.

Populaire producten

    Personen

      Trefwoorden