Hoewel er op dit moment geen objectieve elementen zijn die wijzen op een concrete cyberdreiging tegen België of een ander land van de Europese Unie, neemt de onrust in alle sectoren en ook bij de man en vrouw in de straat toe. Mensen stellen zich terecht veel vragen en er doen ook alarmerende geruchten de ronde. Men vraagt zich af of dit nu het begin is van een cyberoorlog en of we bijvoorbeeld cash geld moeten afhalen omdat de bankenterminals weldra gehackt zullen worden. Natuurlijk is het alle hens aan dek bij het Centrum voor Cybersecurity België (CCB), maar er heerst geen paniek in onze diensten omdat we de situatie minutieus opvolgen en in contact staan met een sterk internationaal netwerk van cybersecurity-experten.

Is dit nu het begin van een cyberoorlog?

Bij de jongste conflicten tussen landen valt het op dat een fysieke aanval steeds vaker vooraf wordt gegaan door cyberaanvallen, de zogenaamde hybride oorlogsvoering. Dit is onder andere bedoeld om de tegenpartij doof en blind te maken door bv. communicatiemiddelen of radarsystemen uit te schakelen. Men probeert via een cyberaanval ook kritische infrastructuur te vernielen om de vijand te verzwakken.  We merken ook op dat minder schadelijke aanvallen uitgevoerd worden bij wijze van afleidingsmanoeuvre.

Ons Cyber Threat Research and Intelligence Sharing team (CyTRIS) volgt de situatie dagelijks op en maakte een overzicht van cyberaanvallen die tot dusver in het conflict zijn waargenomen. Het is altijd moeilijk om de dader van een cyberaanval aan te duiden omdat het nu eenmaal gemakkelijker is om je in de digitale wereld te verstoppen, maar in deze gevallen kunnen we er uit geopolitiek oogpunt van uitgaan dat er een link is met het Russische regime.

Welke cyberactiviteiten werden gesignaleerd in Oekraïne ?

Er gebeurden DDoS-aanvallen op de Oekraïense overheid, het leger, de financiële sector en de communicatiesector.  Een DDOS aanval veroorzaakt een overbelasting op het netwerk waardoor het tijdelijk buiten gebruik is.  Meestal richt een DDOS aanval geen blijvende schade aan, maar het kan wel de aandacht afleiden van een andere aanval.

Er is ook bewijs dat er wiper-malware ingezet is. Dit is een soort computervirus dat binnendringt in de systemen van de gebruikers en daar data kan verwijderen. Het beveiligingsbedrijf ESET stelt dat honderden computers in Oekraïne op die manier onbruikbaar gemaakt zijn.

Een ander beveiligingsbedrijf, Palo Alto ontdekte dat er backdoor malware, SockDetour genaamd, gebruikt is voor spionagedoeleinden onder meer gericht tegen Amerikaanse defensiebedrijven. Backdoor malware is een computervirus dat zoals de naam het zegt, een achterpoortje achterlaat in de systemen om data te kunnen lekken.

Er zijn ook Web Defacement en Supply chain attacks opgemerkt. Web Defacement zijn aanvallen waarbij de hackers een website binnendringen en inhoud op de site vervangen door hun eigen boodschappen. Bij een supply chain aanval dringt de aanvaller bij zijn vijand binnen via een kwetsbaarheid in een software die het slachtoffer gebruikt.

En ten slotte zijn er ook meerdere valse berichten verspreid.  Desinformatiecampagnes worden onder meer gebruikt om een aanval te rechtvaardigen.

Amerikaanse en Britse cyberagentschappen maakten deze week melding van een nieuwe bedreiging: het virus Cyclops Blink genaamd, van de aan Rusland gelinkte Sandworm-groep.

Lees het advies op CERT.be

Nu de ransomware groep CONTI openlijk haar diensten heeft aangeboden aan het Russische regime, kan bij ransomware aanvallen van dit type voortaan ook in de richting van Rusland gekeken worden.

De informatie van deze aanvallen wordt gretig gedeeld in de netwerken van cybersecurity experts, zoals EU CSIRT.  Het CCB maakt deel uit van deze netwerken en krijgt daardoor snel belangrijke waarschuwingen doorgespeeld die we op onze beurt kunnen delen

Kunnen Belgische sectoren ook getroffen worden en welke sectoren worden geviseerd?

Al deze aanvallen zijn ontdekt in Oekraïne en dus niet in andere EU landen.  We hebben op dit ogenblik geen aanwijzingen dat bepaalde Belgische sectoren in gevaar zouden zijn. Maar dat wil niet zeggen dat we onaantastbaar zijn. Een cyberaanval die te voelen is tot in België is nooit helemaal uit te sluiten.  In het verleden zijn er al digitale aanvallen uitgevoerd die gevolgen hadden tot in België, denk maar aan NotPetya in 2017. Deze aanval begon in een Oekraïense overheidsdienst maar deinde al snel uit naar de bedrijfswereld en werd gevoeld tot in de haven van Rotterdam en in enkele Belgische bedrijven. Nu er sancties tegen het Russische regime uitgevaardigd zijn, stellen velen zich de vraag of Rusland zal antwoorden met een cyberaanval op onder meer Belgische instanties. Bepaalde criminele organisaties scharen zich openlijk achter het Russische regime en bieden hun hulp aan.  Ze dreigen ermee om aanvallen te lanceren in landen die Rusland proberen te raken. Op dit ogenblik hebben we ook hier geen concrete aanwijzingen voor. Deze bedreiging wordt echter permanent geëvalueerd en indien nodig zullen er extra maatregelen genomen worden.

Staan we weerloos tegen een cyberaanval?

Zeker niet.  Cyberexperts en beveiligingsfirma’s blijven er op hameren dat basisbeveiligingsacties al een groot verschil kunnen maken: phishing herkennen, sterke wachtwoorden en tweetstapsverificatie (2FA) gebruiken en vooral de systemen tijdig patchen en updaten.

De beste beveiliging voor organisaties en bedrijven, niet alleen vandaag, maar het hele jaar rond, is de cyberbeveiligingsweerstand te versterken. De basisbeveiligingsacties spelen daarin een primaire rol. Wij raden bedrijven en organisaties aan een (cyber)noodplan uit te werken, te actualiseren en op regelmatige basis te testen. Het is belangrijk dat elke medewerker weet wat zijn of haar taak is bij een cyberincident. Bekijk ons webinar overcyberincidenten: https://www.youtube.com/watch?v=-cHcTidmT1Y

Zijn tegenreacties van hackers nuttig?

Wij horen Belgische hackers aankondigen dat ze Russische websites zouden bestoken met DDOS aanvallen en ook de hactivisten groepering Anonymous kondigt aanvallen aan die het Russische regime zullen raken.  Wij willen dit zeker niet aanmoedigen. Hacken is illegaal en dergelijke aanvallen zijn waarschijnlijk slechts speldenprikken voor het Russische regime. Daar komt nog bij dat dergelijke aanvallen door het Russische regime gebruikt kunnen worden om een veel ernstigere tegenaanval te rechtvaardigen.

Laten we geen spoken zien!

Op dit ogenblik is de kans op IT problemen groter in onze organisaties en bedrijven omwille van het zogenaamde FUD-syndroom (Fear, Uncertainy and Doubt) dan door een aanval van het Russische regime.  Wees daarom niet onmiddellijk in paniek als er een website ‘plat’ gaat, of als het bedrijfsnetwerk ‘traag’ is.  De kans is groot dat de IT-afdeling misschien wat halsoverkop een beveiligingsupdate doorvoert. Als er je gevraagd wordt om wachtwoorden te veranderen, doe dat dan ook zo snel mogelijk. We willen ook vragen om de beveiligingsadviezen van je werkgever goed op te volgen.

Het CCB houdt de situatie nauwlettend in de gaten en wij zullen als dit nodig is onmiddellijk via onze kanalen concrete adviezen en instructies doorgeven aan sectoren die een risico lopen. Als de bevolking op één of andere manier gewaarschuwd moet worden, zullen wij hiervoor al onze kanalen inzetten en rekenen we op de pers om de informatie mee te verspreiden. We engageren ons om op regelmatige basis een update van de situatie te publiceren.