Home Onderwerpen Zoek Over ons Doneer Contact

Verhitte cyberoorlog in 2016

— Digitaal wapengekletter tussen Rusland en de VS —

dr. Albert Benschop
Universiteit van Amsterdam
Eerste versie: 5 November 2016 — Laatste versie: 02 April, 2017

Koude cyberoorlog escaleert
  Meer cyberaanvallen - meer schade
  Voorspel en context
Inzet van zware cyberwapens
  Aanval op kerncentrale
  Gestolen cyberwapens te koop
  Wie steelt wat van wie en waarom?
Cyberoorlog om gestolen emails?
  Elektronisch Watergate
  Rusland ontkent
  Obama waarschuwt, maar moet iets doen
  Joe Biden gooit knuppel in cyberhok
Russische reactie
  Andrey Krutskikh: geen provocaties zonder vergelding
  Vladimir Poetin
  Nucleaire dreiging: zoek de schuilkelders
Aanloop naar Amerikaanse presidentsverkiezing
  Stemmachines manipuleren?
  Misleiding en cyberpropaganda
  Aanval op infrastructuur van internet
Cyberwapens geïmplanteerd en op scherp
  Dansen op een digitaal kruitvat
  Shamoon revisited: alle computers op tilt
  FSB slaat alarm: cyberaanval op Russische banken?
In plaats van een vredige kerst
  Trump president dankzij Poetin?
  Manipulatie van Europese verkiezingen
  Interventie in Nederlandse verkiezingen
  Wilders in Russisch perspectief
Schermutselend naar het einde
  Nog meer bewijzen
  Nederlandse servers in Russische dienst
  Oog om oog, tand om tand of veilig over de drempel?

Informatiebronnen
Verwante teksten
Index Oorlog in Cyberspace — Internet als slagveld
Index Doemsdag in Cyberspace— Een hypothetische constructie
Index Rusland vs. Oekraïne — Een nieuwe fase in de cyberoorlog?
Index Kwetsbare slimme woningen — Hoe veilig is mijn thuisnetwerk?
Index ISIS en het Cyberkalifaat
Index CyberJihad Internationaal
Index Jihad in Nederland — Kroniek van een aangekondigde politieke moord
Index CyberTerrorisme: Dodelijk geweld vanaf het toetsenbord
Index Regulatie en zelfregulatie van internet
Index Politiek op het internet
rode_knop Netactivisme en wolkbewegingen
Index Iran — Anatomie van een twitterende rebellie
Index Egypte — Rebelleren met en zonder internet
Index Syrië: Het zwarte gat van het internet
rode_knop Toezicht op internet: Grootschalig afluisteren en de surveillancestaat
rode_knop Encryptie: privacy beschermen

“We are moving into an era that is as dangerous, if not more dangerous, as the Cold War because we do not have that focus on a strategic relationship between Washington and Moscow” [Sir John Sawers, voormalig chef van de Secret Intelligence Service (MI6), in: Express, 13.10.16]. “Cyberwar is not coming to the US — it’s already here” [Dan Tynan, Guardian, 4.8.16].

Cyberoorlog tussen de VS en Rusland? [VPRO, 18.10.2016].

Cyberaanval [NPO Radio ! 5.12.2016]

Index Koude cyberoorlog escaleert

Meer cyberaanvallen - meer schade
De digitale wapenrace is in volle gang. Cyberwapens worden steeds gevaarlijker: destructiever en moeilijker om te detecteren. Kwaadaardige software draagt geen uniform. De cyberoorlog tussen Rusland en de Verenigde Staten is niet aanstaande, maar is zonder formele oorlogsverklaring feitelijk al begonnen — heimelijk, bijna onzichtbaar.

In het cyberconflict tussen beide grootmachten worden niet alleen de traditionele cyberwapens ingezet zoals denial of service aanvallen, onthoofding van websites, spionage, verspreiding van desinformatie en vervolging van cyberdissidenten. We zien steeds meer een verschuiving van spionage naar diefstal van vitale informatie en cybotage van vitale infrastructuren. De schade die de opponenten elkaar toebrengen wordt steeds groter, en de politieke verontwaardiging over de cyberaanvallen is in de loop van 2016 enorm toegenomen. Cyberspace is een gevaarlijk slagveld geworden. De stille cyberoorlog die al enige jaren tussen Amerika en Rusland wordt uitgevochten begint steeds luidruchtiger te worden.

Zoals we zullen zien spelen niet alleen internationale territoriale militaire conflicten (aan de oostelijke grenzen van Europa en in Syrië/Irak), maar ook de Amerikaanse presidentsverkiezingen een belangrijke rol.

Index


Voorspel en context
De eigenaardigheden en geschiedenis van cyberoorlog heb ik elders zeer uitvoerig uit geanalyseerd. Dit jaaroverzicht behandelt de Amerikaans-Russische cyberconfrontaties in 2016. Om de voorgeschiedenis en context te omlijnen die hierbij relevant zijn geef ik eerst een korte opsomming van een aantal belangrijke door de Russische overheid geïnspireerde en georkesteerde cyberaanvallen.

CyberCommandoCentrum

Index Inzet zware cyberwapens

Aanval op kerncentrale
In 2016 wordt in Europa een kerncentrale aangevallen waarbij gebruik wordt gemaakt van ongemeen geavanceerde technieken van digitale oorlogsvoering. Hackers — door de Russische staat gesponsord — vallen kerncentrales aan met digitale wapens die Westerse economieën kunnen verlammen. De cyberaanval ontregelt in Europa een nucleaire energievoorziening. Het hoofd van de International Atomic Energy Agency — IAEA), Yukiya Amano verklaarde dat het idee van cyberaanvallen die de nucleaire infrastructuur raken geen “imaginair risico” is [Reuters, 10.10.16].

Voor deze aanval werd gebruik gemaakt van zeer geavanceerde technieken van digitale oorlogsvoering. De malware is zo geavanceerd dat ze niet ontworpen kan zijn door iemand die niet door de staat wordt gesteund [Security Affairs, 15.6.16; ArsTechnica, 12.7.16].

De makers van Furtim beschikken in ieder geval over aanzienlijke bronnen en hoogontwikkelde vaardigheden. Het vermoeden van de specialisten van SentinelOne is dat het virus uit Oost-Europa komt en waarschijnlijk van Russische oorsprong is. Maar zij richten geen direct verwijt naar Moskou.

Cyberaanval op kerncentrale

Index


Gestolen cyberwapens te koop
Wie krachtige cyberwapens wil gebruiken kan proberen ze zelf te maken, maar kan ze ook proberen te stelen van staatsinstellingen die dergelijk wapens al langer produceren met inzet van omvangrijke financiële middelen en met zeer hooggekwalificeerd personeel. Daarom proberen talloze hackers dagelijks in te breken op het netwerk van de waarschijnlijk meest potente Amerikaanse veiligheidsdienst NSA.

Op 13 augustus 2016 beweert een groep die zichzelf The Shadow Brokers noemt dat zij ingebroken hebben op het netwerk van de Equation Groep van de NSA en dat zij daar een grote hoeveelheid data gestolen hebben over de cyberwapens die daar ontwikkeld worden. Zij bewijzen dat met beelden van de gestolen data die o.a. instructies bevatten over hoe specifieke cyberwapens gebruikt moeten worden.

De Equation Group is een van de meest geavanceerde afdelingen van de NSA die zich minstens sinds 2001 bezighoudt met het ontwerpen van cyberwapens en met het infecteren van waarschijnlijk tienduizenden computernetwerken in de hele wereld [Arstechnica, 16.2.16]. Hiervoor maakt zij gebruikt van een krachtig arsenaal aan ‘exploits’ en ‘implantaten’ — dat zijn Trojaanse paarden met exotische namens zoals EquationLaser, EquationDrugs, DoubleFantasyt, TripleFantasy, GrayFish en Fanny.

De Equation Group was betrokken bij de ontwikkeling van uiterst agressieve malware voor spionage en cybotage zoals Stuxnet en Flame. Een van de meest technische hoogstandjes in het arsenaal van de Equation Groep is een programma waarmee de fabrieksmatige software van de meest gebruikte harde schrijven kan worden geherprogrammeerd [Securelist, 16.2.16].

Shadow Broker takeover

Op 13 augustus bieden de hackers van Shadow Brokers via Twitter het gestolen arsenaal aan voor iedereen die bereid is daarvoor de juiste hoeveelheid geld te betalen. Zij verwijzen naar een Pastebin pagina waarop instructies staan voor het verkrijgen en ontsleutelen van de gestolen bestanden [Cyberwarzone, 16.8.16; Washington Post, 16.8.16]. Het manifest en twee grote geëncrypteerde bestanden werden ook gepost op GiHub, Tmbl en Dropbox.

De uitnodiging van The Shadow Brokers om deel te nemen aan de veilig van cyberwapens is in nogal krakkemikkig Engels geschreven en is gericht aan de “overheidssponsoren van cyberoorlogsvoering en aan de genen die daarvan profiteren.”

De partij die de meeste bitcoins naar een bepaald adres stuurt is de winnaar en krijgt te horen hoe de bestanden ontcijferd kunnen worden. De winnaar mag met de cyberwapens doen wat hij wil. Je kunt er net als de Equation Groep elk netwerk mee kraken. Ook de Equation Groep (die niet weet wat er gestolen is) mag aan de bieding deelnemen.

De hackers sluiten af met een bericht voor de «rijke elites» die wetten maken om zichzelf en vrienden te beschermen, die liegen en bedriegen en die andere mensen neuken en in de gevangenis opsluiten.

Op 28 augustus wordt een nieuwe aankondiging op Pastebin geplaatst vol met grofheden en grotendeels onbegrijpelijk gescheld. Een langer bericht inclusief een zelf-interview verschijnt op 1 oktober in Medium.com. Belangstellenden voor de veiling worden lekker gemaakt met wat er allemaal in het pakket zit dat in de aanbieding is: alle denkbare instrumenten om op computernetwerken in te breken, voor alle platforms. En alles splinternieuw.

In een vierde bericht dat op 15 oktober op Medium verschijnt wordt plotseling gezegd dat de veiling niet doorgaat. “TheShadowBrokers is being bored with auction so no more auction.”

Op 31 oktober publiceren de Shadow Brokers een ‘Halloween message’ op Medium. Nu met een nieuw bestand dat “configuratie data voor een nog niet ontsloten toolkit voor een diversiteit van UNIX-platforms”. Daarbij zit een lijst met 352 IP-adressen en 306 domeinnamen die gebruikt zijn voor de operaties van het hackteam van de NSA, de Equation Groep. De landen die daarin het meest voorkomen zijn China, Japan, Korea, Spanje, Duitsland, India, Taiwan, Mexico, Italië en Rusland [HackerHouse,31.10.16].

Index


Wie steelt wat van wie en waarom?
Zijn de hackers er echt in geslaagd om de digitale kroonjuwelen van de Amerikanen te stelen? Hebben zij werkelijk de hand weten te leggen op de meest krachtige cyberwapens uit het supergeheime arsenaal van de NSA? Tot nu toe zijn alle specialisten het erover eens dat de bewijzen van de hack steekhoudend zijn. Vooral omdat er een grote overeenkomst is tussen de gestolen codes en de al eerder bekende code die de Equation Groep voor haar malware gebruikte. Bovendien zijn de algoritmes die voor de encryptie worden gebruikt zeer verwant [ArsTechnica, 16.8.16]. De experts wijzen er wel op dat exploits die in de data worden getoond nogal gedateerd zijn. De meest recente bestanden zijn van juni 2013.

De authenticiteit van de gestolen bestanden wordt ook bevestigd door voormalige medewerkers van de NSA. Een voormalig lid van de hackdivisie van de NSA, de Tailored Access Operations (TAO) verklaarde dat ze zonder twijfel echt zijn. “Het zijn de sleutels tot het koninkrijk. De spullen waar je over praat zouden de veiligheid van een groot aantal belangrijke netwerken van overheid en bedrijfsleven ondermijnen, zowel hier als in het buitenland” [Washington Post, 16.8.16].

Exploits en implantaten
Op de Pastebin pagina van de Shadow Brokers kan een bestand worden gedownload: EQGRP-Auction-Files.zip. Het zipbestand bevat zeven bestanden waarvan er een geopend kan worden omdat het met GPG geëncrypteerd is met als wachtwoord Theequationgroup.

Het bestand bevat 301 megabytes aan informatie. Er zitten diverse ‘exploits’ in die gebruikt worden voor het omzeilen van firewalls om de controle over een netwerk te krijgen. Daarnaast bevat het een aantal implantaten die gebruikt worden om informatie te stelen of te modificeren. De malware is voorzien van handleidingen en instructies,

Het zijn geen alledaagse inbraak- en afluister instrumenten. Het is dure software waarmee firewalls en andere mechanismen van netwerkbeveiliging onschadelijk worden gemaakt. Ze kraken ook geavanceerde beveiligingssoftware zoals die van Cisco, Juniper en Fortinet, die in de hele wereld worden gebruikt door de grootste onderwijsinstellingen en overheidsdiensten. Cisco en Fortinet hebben al bevestigd dat hun beveiligingssoftware is gecompromitteerd door de exploits van de Equation Group en onderzoeken de omvang van de schade [The Register, 17.8.16].

In een aantal exploits maken handig gebruik van kwetsbaarheden in beveiligingssoftware die nog niet eerder zijn ontdekt (zero-day lek)

Volgens Edward Snowden zijn The Shadow Brokers in werkelijkheid een constructie van de Russische inlichtingendienst. “Indirect bewijs en conventionele wijsheid indiceren een Russische verantwoordelijkheid.” De NSA volgt precies wat er in andere landen gebeurt op het gebied van de ontwikkeling van cyberwapens. En als het zo uit komt stelen zij de cyberwapens van hun rivalen. “Maar onze rivalen doen hetzelfde tegen ons — en soms zijn zij daarbij succesvol” [eweek, 16.8.16].

Hierdoor wordt het probleem van de attributie (welke actor verantwoordelijk is voor een specifieke cyberaanval) in een hogere versnelling gebracht. De ene rivaal gebruikt cyberwapens die het digitale stempel dragen van cyberwapens die door de andere rivaal zijn gefabriceerd. Hoe kun je dan nog achterhalen door wie je feitelijk in cyberspace wordt aangevallen?

Edward Snowden suggereert in een tweet dat deze diefstal van NSA-geheimen een poging kan zijn om invloed uit te oefenen op de scherpte waarmee de Amerikanen gaan reageren op de DNC-inbraak. Het lijkt erop dat iemand een boodschap verstuurt dat vergelding tegen Rusland voor haar hack van politieke organisaties erg snel een smerig karakter kan aannemen.

Index Een cyberoorlog om gestolen emails?

Elektronisch Watergate
Van juni 2015 tot april 2016 worden de computersystemen van de Democratische Partij in de VS gekraakt en worden vertrouwelijke emails via Wikileaks gelekt. Eind april 2016 werd bekend dat hackers bijna een jaar lang inbraken op het computernetwerk van de Democratische partij. Het computersysteem van het Democratische Nationale Comité; (DNC) werd zodanig gecompromitteerd dat de hackers al het email- en chatverkeer konden lezen.

Watergate 2016
Een dossierkast waarin werd ingebroken als onderdeel van de Watergate inbraak in 1972 staat naast een computerserver waarop Russische hackers in 2016 inbraken tijdens de presidentiële verkiezingscampagne bij het hoofdkwartier van het Democratische Nationale Comité; in Washington.

De communicatie van meer van 100 functionarissen van de Democratische Partij en van democratische groeperingen werden afgeluisterd. Andere doelwitten waren de netwerken van de presidentiële kandidaten, Hillary Clinton en Donald Trump, en de computers van sommige Republikeinse politieke actiecomités [Washington Post, 14.6.15].

De FBI wachtte maanden voordat zij de Democratische Partij ingelichte over de cyberaanval. Hierdoor werd er veel te laat ingegrepen en werden er meer vertrouwelijke documenten gelekt dan nodig was geweest.

De FBI constateerde dat minstens een computer-systeem van de DNC was gecompromitteerd door hackers die zij «the Dukes» noemde. Het is een cyberspionageteam dat verbonden is aan de Russische regering en dat in de voorafgaande jaren telkens probeerde om in te breken op de email-systemen van het Witte Huis, het ministerie van Buitenlandse Zaken en zelfs in de best bewaakte netwerken van de Joint Chiefs of Staff [NYT, 13.12.16].
Vanaf juni 2015 hadden de hackers toegang tot de computersystemen van de Democratische Partij, maar pas in de september nam de FBI voor het eerst contact op met de partij. Special agent Adrian Hawkins verzocht hen extra goed op te letten of er verdachte activiteiten op het partijnetwerk plaatsvonden.

Het personeel van het DNC kon niets verdachts traceren en verzocht de FBI om meer informatie. Die werd niet gegeven [Reuters, 3.8.16; VK, 3.8.16]. In november belde agent Hawkins opnieuw naar het hoofdkantoor van de democraten met een meer specifieke mededeling: een DNC-computer was “calling home”, dat wil zeggen dat er gestolen informatie naar Rusland werd verstuurd.

Het beveiligingsbedrijf Crowdstrike werd al in mei 2016 ingeschakeld om de inbraak op het DNC te onderzoeken. Nadat zij de indringers buiten de deur hadden gezet en de beveiliging van het netwerk was opgeschaald, werden de daders opgespoord. Crowdstrike identificeerde twee afzonderlijke groepen hackers die voor de Russische overheid werken: Cozy Bear (ook wel bekend als ‘the Dukes’ of ‘A.P.T.29’) die verbonden is aan FSB en Fancy Bear die gelieerd is aan de GROe, de militaire inlichtingendienst. De hackers beschikten over uitstekende operationele vaardigheden. Zij maakten gebruik van meerdere onbekende fouten in software en veranderden telkens van tactiek om hun clandestiene aanwezigheid in het netwerk te verhullen. Bovendien maakten zij gebruik van in Windows ingebouwde instrumenten om onder de radar te vliegen [Wikileaks, DNC-emails, 22.7.16; Washinton Post, 6.8.16; Security Affairs, 2.11.16].

Russische hacker Vaak is het zeer lastig om te achterhalen wie verantwoordelijk is voor het maken en plaatsen van kwaadaardige software. Toch laten hackers onbedoeld soms zeer duidelijke digitale vingerafdrukken achter. De hackers die de malware in de computersystemen van de Democratische Partij injecteerden maakten gebruik van Russische internetadressen, van Russischtalige toetsenborden en de tijdscodes correspondeerde met de werkuren in Rusland [CBS, 26.7.16].

Van de duizenden vertrouwelijke documenten die werden gestolen werden aan de vooravond van de Democratische Conventie van door Wikileaks meer dan e-mails 19.000 gepubliceerd [NYT, 10.10.16; Guardian, 23.7.16]. Daaruit bleek dat de partijtop Clinton in de voorverkiezing tegen Bernie Sanders had voorgetrokken. Het kostte de kop van partijvoorzitter Debbie Wasserman Schultz, die vanwege haar ijdelheid en neiging om nogal ruimhartig te declareren toch al niet geliefd was in de Democratische Partij [Guardian, 24.6.16].

De Amerikaanse inlichtingendiensten en het Ministerie van Binnenlandse Veiligheid verklaarden dat de Russische leiders verantwoordelijk waren voor aanvallen op het Democratisch Nationale Comité; en het lekken van gestolen emails. Maar zij onthult niet de namen van de functionarissen die de cyberaanvallen tegen de VS autoriseerden. De cyberaanvallen werden opgevat als een inmenging in het Amerikaanse verkiezingsproces door de Russische overheid.

In december 2016 werden in een publicatie van de New York Times de details van de hele operatie in kaart gebracht. Wat begon als een inlichtingenoperatie liep uiteindelijk uit op een poging om kandidaat Hillary Clinton te beschadigen en Donald Trump te bevoordelen. “Een goedkoop wapen met grote gevolgen dat Rusland al getest had in de verkiezingen in de Oekraïne en Europa was nu met desastreuze effectiviteit ingezet in de VS” [NYT, 12,12,16].

Index


Rusland ontkent
De Russische president ontkende elke betrokkenheid bij de aanvallen op de computersystemen van de Democratische Partij. In zijn toespraak op een investeringsforum in Moskou zei Vladimir Poetin op 12 october: “There was a whole hysteria about that being of interest to Russia, but there is nothing within the interest of Russia” [CNN, 12.10.16]. De Amerikanen stoken de ‘hysterie’ over Rusland op om de publieke opinie te manipuleren en de aandacht af te leiden van onderwerpen die naar boven zijn gekomen door gelekte documenten.

Misschien heeft iemand gewoon het wachtwoord verloren of een eenvoudig wachtwoord gebruikt, verklaarde German Klimenko, Poetin’s topadviseur op het gebied van internet. “Het is altijd eenvoudiger om dit weg te verklaren als intriges van vijanden, dan op de eigen incompetentie.”

De woordvoerder van president Poetin, Dmitry Peskov, noemde de beschuldiging door de Amerikaanse overheid ‘onzin’: “Ik sluit de mogelijkheid absoluut uit dat de overheid of overheidsdiensten hierbij betrokken waren” [Wasington Post, 15.6.16]. Een paar dagen later vertelde hij dat het niet belangrijk was hóe de emails van Hillary Clinton’s campagne waren gehackt, maar wát erin stond.

De Russische minister van buitenlandse zaken, Sergey V. Lavrow, noemde het ‘flatteus’ dat Rusland zoveel aandacht krijgt van de Amerikanen. “Now everybody in the United States is saying that it is Russia which is running the presidential debate” [CNN, 12.10.16]. En hij voegde aan toe dat de VS geen enkel bewijs hadden geleverd.

Index


Obama waarschuwt, maar moet iets doen
Op 7 october waarschuwt de regering van Obama formeel Rusland dat zij intervenieert in de Amerikaanse verkiezingen. In een gezamenlijke verklaring van het Ministerie van Binnenlandse Veiligheid en de directeur van de Nationale Inlichtingendienst wordt onomwonden gesteld:
Donald Says
Niet tegen de verwachting in debiteerde Donald Trump een geheel andere interpretatie van de feiten. In een interview met Larry King, dat werd uitgezonden op Russian Today, uitte hij zijn sterke twijfel aan de Russische betrokkenheid.
    “Ik denk dat dit vermoedelijk onwaarschijnlijk is. Misschien hebben de democraten dit in omloop gebracht — wie zal het zeggen. Als zij iets doen, hoop ik dat iemand in staat zal zijn om dit te achterhalen zodat het gestopt kan worden. Want dat zou helemaal terecht zijn.”
Het was de eerste keer dat de Amerikaanse regering officieel en zo onomwonden de Russische overheid beschuldigde van het hacken van het politieke systeem. Sindsdien werd er heftig gespeculeerd over de vraag of president Obama een bevel zou doen uitgaan voor een vergeldende cyberaanval. Hoe moest deze aanval op het DNC worden geïnterpreteerd? Als een aanval die erop gericht is om een bepaalde kandidaat verkozen te laten worden, of als poging om verdeeldheid en twijfel te zaaien over het Amerikaanse politieke systeem? En als het waar is wat de Amerikaanse regering zo stellig beweerde, dan was de Russische leider er in ieder geval in geslaagd om haar met een lastig probleem op te zadelen: wat te doen?

De republikein Michael McCaul, voorzitter van de Commissie voor Binnenlandse Veiligheid zette druk op de ketel:

De cyberinbraak op het computernetwerk van de Democratische partij was onmiskenbaar van Russische makelij. Dit bracht een aardverschuiving teweeg in de Amerikaanse politiek. Er moest een serieuze, krachtige reactie volgen.

Index


Joe Biden gooit knuppel in cyberhok: dreiging met clandestiene cyberoorlog
Joe Biden Vicepresident Joe Biden liet er geen gras over groeien. In een interview voor Meet the Press van NBC werd hem op vrijdag 14 oktober door Chuck Todd gevraagd of de USA bereid was om een bericht te sturen naar de Russische president Vladimir Poetin. Zijn antwoord was: Op de vraag of het Amerikaanse publiek zou weten of er een boodschap aan president Poetin was verstuurd, reageerde Biden: “Hope not.”

Hij suggereerde dat president Obama het bevel had gegeven —of van plan was dat te doen— om een of andere geheime actie te lanceren als de gestolen emails online gepubliceerd zouden worden. De Amerikaanse overheid lijkt dus van plan om haar arsenaal van cyberwapens in te zetten om de diefstal van emails van democraten te vergelden.

De voormalige onderdirecteur van de CIA Michael Morell is sceptisch over de mogelijkheid dat de VS een aanval zouden plegen op Russische netwerken:

De democratische senator Dianne Feinstein, vicevoorzitter van het inlichtingencomité; van de Senaat, riep in een verklaring op tot stevige maatregelen:

Obama overwoog een geheime cyberactie tegen Rusland als vergelding voor de vermeende Russische interventie in de Amerikaanse presidentiële verkiezingen. Hij vroeg aan de CIA om opties aan te dragen voor een brede clandestiene cyberoperatie die de leiding van het Kremlin irriteert en in verlegenheid zal brengen. Een van de opties is dat de cyberaanval gericht wordt op het degraderen van het vermogen van de Russische regering om haar interne internetverkeer te censureren en om de financiële handel en wandel van Poetin en zijn kompanen aan het licht te brengen (het offshore geld dat oligarchen naar het buitenland hebben gebracht) [WJS, 11.8.16].

De cyberoperatie wordt voorbereid door een team binnen het Center for Cyber Intelligence van de CIA. Het team bestaat uit honderden specialisten met een budget van honderden miljoenen dollar. Het heimelijke actieplan is ontworpen om het Amerikaanse verkiezingssysteem te beschermen en ervoor te zorgen dat Russische hackers niet kunnen interveniëren met de verkiezingen in november [NBC News, 14.10.16]

Maar uiteindelijk wordt geen van deze aanvalsplannen formeel aan de president voorgelegd. President Obama besluit om de Russische regering niet publiekelijk aan de schandpaal te binden en neemt hij ook geen tegenmaatregelen. Hij is bang dat de cyberoorlog escaleert en wil de onderhandelingen met Rusland over Syrië niet in gevaar brengen [NYT, 13.12.16].

Iraanse ultracentrifuges en ISIS-netwerken
Er zijn twee gevallen bekend waarin president Obama een offensieve cyberactie heeft geautoriseerd. De eerste was de operatie tegen het nucleaire programma van Iran. Met het supervirus Stuxnet werden ultracentrifuges buiten werking gezet. Het duurde een paar jaar voor de Iraanse overheid in de gaten kreeg wat er aan de hand was. Bij toeval werd de computer-code van Stuxnet bekend. Hierdoor werd duidelijk dat de centrifuges explodeerden door een cyberaanval.

Het tweede geval was de actie tegen Islamitische Staat. Deze aanval was vooral gericht om de communicatie van ISIS te ontregelen en data in haar systemen te veranderen. De campagne ontregelde het vermogen van ISIS om haar boodschappen te verspreiden, nieuwe aanhangers te rekruteren, orders van commandanten te blokkeren en dagelijkse functies uit te oefenen. Deze aanvallen werden publiekelijk aangekondigd door minister van Defensie Ashton B. Carter en anderen. Maar de details zijn niet bekend gemaakt.

De onderminister van Defensie, Robert O. Work, gaf een meer gekleurde beschrijving van de operatie. “We are dropping cyberbombs. We have never done that before” [NYT, 14.4.16]. De operatie begon met een serie «implantaten» in de ISIS-netwerken om de online gewoontes van de commandanten te leren kennen. Het plan is om ze te intimideren of om hun berichten te wijzigen met het doel om jihadistische strijders naar gebieden te sturen waar zij kwetsbaarder zijn voor aanvallen door Amerikaanse drones of lokale grondtroepen.

Index Russische reactie

Andrey Krutskikh: geen provocatie zonder vergelding
Moskou is van mening dat de Amerikaanse dreiging om sancties te nemen als vergelding voor cyberaanvallen provocatief en dom zijn en dat Rusland altijd een geschikt antwoord zal geven. Andrey Krutskikh, de speciale presidentiële vertegenwoordiger voor internationale samenwerking op het gebied van internationale veiligheid, zei:

Aan Amerikaanse kant is echter niemand in de stemming om de vijandige retoriek te temperen waardoor een abnormaal politiek klimaat ontstaat. Juist daarom is het nodig een overeenkomst op te bereiken.

Index


Vladimir Poetin: vijandbeeld en sancties voor binnenlands gebruik
Op zondag 16 oktober komt president Vladimir Poetin met een eigen verklaring en zegt dat het voor hem geen nieuws was om te horen dat de officiële instanties van de VS “iedereen bespioneren en afluisteren”. Gevraagd naar zijn reactie op Joe Biden’s dreigementen van cyberaanvallen tegen Rusland, zei Poetin glimlachend: “We weten hoe we elkaar kunnen verrassen.”

De VS bespioneert iedereen.

De VS portretteren Rusland als vijand om de aandacht af te leiden van binnenlandse problemen. Volgens Poetin heeft Rusland niet de intentie om de Amerikaanse verkiezingscampagne te beïnvloeden.

Amerikaanse functionarissen van inlichtingendiensten zeggen dat de regering Obama overweegt een ongehoorde geheime cyberactie tegen Rusland te lanceren als vergelding voor een Russische interventie in de Amerikaanse presidentiële verkiezingen. Dergelijke initiatieven zijn volgens Poetin alleen maar bedoeld om de aandacht af te leiden van binnenlandse problemen door een vijandbeeld te creëren en de natie te verenigen in het gevecht tegen deze vijand. De sancties hebben slechts als doel de macht van Rusland in bedwang te houden.

Om de problemen in de wereldpolitiek op te lossen is het nodig een compromis te bereiden. Maar niet alle landen zijn hiertoe bereid, en zeker niet de VS.

De dreiging van cyberaanvallen loochent internationale standaarden voor communicatie. Zij schenden de normen van internationale communicatie en laten alleen maar zien dat Washington nerveus is [TASS, 16.10.16].

Index


Nucleaire dreiging
Tv-zender NTV waarschuwt burgers om zich voor te bereiden op nucleaire schuilkelders. In een angstaanjagende Russische tv-uitzending worden burgers opgeroepen om uit te zoeken waar de dichtstbijzijnde schuilkelder is en worden kijkers gevraagd of zij al voorbereid zijn op een nucleaire oorlog. De staatstelevisie NTV: “If it should one day happen, every one of you should know where the nearest bomb shelter is. It’s best to find out now.” [Infowar, 15.10.16].

De woedende gastheer Evgene Kiselyoy spendeerde twee uur aan het waarschuwen dat het conflict nucleaire dimensies kan aannemen. “We’ve had it with American abuse over Syria.” Door het ‘onbeschofte gedrag’ van de VS tegenover Rusland kan het conflict ‘nucleaire dimensies’ aannemen.

Sinds september heeft de Russische overheid 40 miljoen van haar burgers gedwongen om deel te nemen aan een massieve defensieoefening om ze voor een nucleaire holocaust voor te bereiden. Het Russische leger kondigde aan dat het de nationale oefening organiseerde in voorbereiding op een grootschalige oorlog.

De gouverneur van St Petersburg maakte duidelijk hoeveel brood de burgers konden verwachten als Rusland aangevallen zou worden: 300 gram voor 20 dagen.

Het Kremlin gaf ook het bevel uit om nucleaire raketten uit te rollen naar haar Noord Europese enclave Kaliningrad in de buurt van Poland. De raketten staan daar op schootsafstand van de Europese hoofdsteden. In dezelfde week lanceerde Rusland 3 internationale ballistische testraketten.

Het militaristische tromgeroffel op de televisie en de militaire oefeningen zijn erop gericht om de VS ervan te weerhouden om zich te bemoeien met de Russische militaire campagne in Syrië en om niet te hard te reageren op de vermeende Russische inmenging in de Amerikaanse verkiezingen.

Amerikaanse democratie in diskrediet
Het idee dat de Russische regering Donald Trump steunt in de Amerikaanse verkiezingen wordt door Vladimir Poetin zelf “onzinnig en absurd’ genoemd. De Russische media geven een heel ander beeld.

Hillary Clinton wordt afgeschilderd als oud, ziek en russofobisch. Haar presidentschap zou Rusland en de wereld in gevaar brengen. Hoewel de fouten van Trump niet worden verzwegen, wordt hij gepresenteerd als een kampioen voor Amerikanen die genoeg hebben van hun politieke elite.

Het hoofddoel van de Russische media is het discrediteren van de Amerikaanse verkiezingen en het politieke systeem. De Amerikaanse democratie is helemaal niet democratisch, en Trump levert hiervoor het beste bewijs [Financial Times, 21.10.16].

Uiteindelijk sprak ook Poetin zijn voorkeur voor Trump uit: “Hij is de kandidaat van het volk”, liet Poetin weten. In tegenstelling tot Hillary Clinton die volgens hem het symbool is van de dynastievorming in de Amerikaanse politiek (na de Kennedy’s en de Bushes). Belangrijker is de isolationistische politiek van Trump waardoor de NAVO-landen onder drukt gezet worden om meer voor hun defensie te betalen. Verdeeldheid onder de bondgenoten van de Westerse alliantie zou voor Moskou een zegening zijn.

Index Aanloop tot verkiezingen

Stemmachines manipuleren?
Van augustus tot oktober 2016 worden in meer dan 10 Amerikaanse staten de databanken voor de presidentsverkiezingen gekraakt (waaronder die in Arizona, Illinois en Florida). De CIA stelt ook hiervoor de Russen verantwoordelijk: een van de gebruikte IP-adressen circuleerde eerder in hackersfora van Russische criminelen en de gebruikte aanvalsmethode lijkt sterk op de methodiek die in eerdere door de Russische staat gesponsorde cyberaanvallen werd gebruikt. Het Ministerie van Binnenlandse Veiligheid biedt de staten specifieke ondersteuning aan en gedetailleerde preventieve maatregelen om de stemmachines veiliger te maken [CBS, 8.9.16; CNN, 12.10.16].

Stemmachines manipuleren met cybermiddelen is overigens vrij lastig. De stemmachines zijn niet met het internet verbonden, het tellen van de stemmen gebeurd zeer gedecentraliseerd en er zijn zeer veel controles van en toezicht op het eerlijke verloop van de tellingen.

Index


Misleiding en cyberpropaganda
De rules of war zijn veranderd
De chefstaf van het Russische leger Valery Gerasimov: “De rol van niet-militaire middelen om politieke en strategische doeleinden te bereiken is toegenomen, en in veel gevallen hebben zij de macht van wapens in effectiviteit overtroffen“ [Moscow’s Shadow, 6.7.14].
Het verspreiden van valse berichten is niets nieuws. Tijdens de koude oorlog investeerde de Sovjet-Unie stevig in de ideologische strijd. Maar ook tegenwoordig is desinformatie is nog een belangrijk aspect van de Russische militaire doctrine. De stroom van misleidende verhalen en onjuiste informatie is zo sterk dat de NAVO en de Europese Unie speciale afdelingen hebben opgezet om desinformatie van Russische zijde te identificeren en te ontzenuwen [CounterPsyOps; Disinformation Review; Disinformation Digest].

De in St. Petersburg gevestigde Internet Research Agency verspreidt systematisch en grootschalig valse informatie op het internet. Om chaos te creëren worden via tientallen sociale mediasites de meest angstaanjagende berichten de wereld ingejaagd. Een chemisch bedrijf in Louisiana staat in brand en stoot giftige dampen uit, een uitbraak van het Ebola-virus in Atlanta etc.

Deze vervalste berichten en gemanipuleerde foto’s en video’s lijken afkomstig van gewone mensen in heel Amerika. Vanuit verschillende adressen worden dagelijks honderden tweets met verdraaide en valse berichten verstuurd.

De verontwaardiging over Russische interventies in het Amerikaanse presidentsverkiezingen is uiteraard groot. Maar we zouden niet moeten vergeten dat het met slinkse en heimelijke technieken beïnvloeden van een verkiezing door geheime diensten helemaal niet nieuw is. En het is zeker ook geen Russische uitvinding is. Het is iets dat de Verenigde Staten in de recente geschiedenis zelf herhaaldelijk hebben gedaan: met spionage, disinformatie en moord werd geïntervenieerd in de verkiezingen in Chili, Honduras, Iran, Afghanistan etc. etc. [Daugherty 2006].

Het is wel (relatief) nieuw dat er cyberaanvallen worden gelanceerd om de verkiezingen te beïnvloeden é;n dat dit op zo’n grote schaal gebeurt. De Russische interventies hebben in ieder geval bijgedragen aan de chaos rond de presidentsverkiezingen en aan de verkilling van het politieke klimaat. Donald Trump bulderde al weken van te voren dat er met de verkiezingen geknoeid zou worden. Zijn nederlaag is hierdoor bij voorbaat al verdacht bij zijn aanhangers. Onder die omstandigheden kan zelfs de kleinste ontregeling van de feitelijke stemprocedure of onregelmatigheid bij het tellen van de stemmen catastrofaal zijn.

Index


Aanval infrastructuur van internet
Op vrijdag 21 oktober wordt een belangrijk deel van het Amerikaanse internet urenlang worden platgelegd door een extreem grootschalige en uiterst geraffineerd uitgevoerde DDos-aanval op Dyn , een van de belangrijkste bedrijven die de ruggengraat van het internet — het Domain Name System (DNS) — beheren. De aanvallen worden uitgevoerd met behulp van het Mirai botnet dat de infrastructuur van het internet aanvalt via ‘slimme’ apparaten zoals digitale videorecorders, routers, camera’s, printers van Panasonic, Samsung en Xerox, etc.

De cyberaanvallen zijn zorgvuldige gepland en uitgevoerd. Per keer wordt vanuit tientallen miljoenen IP-adressen tegelijkertijd aangevallen. Het gevolg was dat veel grote internetbedrijven onbereikbaar werden: Amazon, CNN, BBC, Fox News, The Guardian, New York Times, Wall Street Journal, Wired, Spotify, Printerest, SoundCloud, Twitter, Netflix, PayPal, PlayStation Network, Reddit en GitHub. Het Amerikaanse ministerie van Binnenlandse Zaken doet samen met de FBI onderzoek naar de mogelijke oorzaken van de aanval op de (inter)nationale infrastructuur van het internet.

Alle signalen wijzen erop dat dit slechts een oefening was voor een nog veel groter offensief. De Amerikanen worden nerveus omdat zij weinig verweer blijken te hebben tegen het afschieten van de grootste internetmachten.

Amerikaans internet plat op 21 oktober 2016
De rode plekken geven aan in welke gebieden in de VS het internet plat ging op 21 oktober 2016.
Bron: Downdetector.com

Mirai botnets werden eerder in september gebruikt in DDoS-aanvallen op de blog Krebs on Security en op de Franse internetprovider OVH [Security Affairs, 25.9.2016].

De broncode van het Mirai botnet werd begin oktober 2016 bekend gemaakt op de Engelstalige hackersgemeenschap Hackforums. Hierdoor is het gemakkelijker en goedkoper geworden om vergelijkbare aanvallen uit te voeren op de kernstructuur van het internet. Het garandeert dat het internet binnenkort overspoeld zak worden met aanvallen van veel nieuwe botnets die worden aangedreven door onveilige routers, IP camera’s, digitale videorecorders en andere gemakkelijk te hacken ‘slimme’ apparaten [ZDNet, 3.10.2016; KrebsonSecurity, 16.10.16].

Dit incident toont aan dat er uiteindelijk weinig is dat niet gehackt kan worden. Alle computergestuurde en sensor-afhankelijke apparaten die zorgen voor de meest uiteenlopende stadsvoorzieningen kunnen worden gehackt en ontregelt. En alle digitale informatie- en communicatiesystemen kunnen worden gecompromitteerd. Dat geldt in het bijzonder voor de draadloze communicatie waarvan onze mobieltjes, tablets en laptops gebruik maken.

Er worden steeds meer goedkope apparaten op de markt gebracht die onderdeel uitmaken van het Internet of Things. Ze zijn eenvoudig te installeren ook door mensen zonder enige computer- of netwerkkennis en die geen idee hebben van de risico’s die deze apparaten met zich meebrengen.

De standaardinstellingen van de apparaten zijn bekend of gemakkelijk te achterhalen; zelfs als gebruikers de instellingen wijzigen zijn de wachtwoorden vaak makkelijk te raden of te kraken. Hierdoor kan de controle over al deze apparaten makkelijk worden overgenomen en als zombie worden ingevoegd in een gigantisch kwaadaardig botnet. Zonder dat de gebruikers zich dit realiseren kunnen hun printers, camera’s, thermostaten, game consoles en andere gadgets gaan functioneren als soldaten van een cyberleger dat het hele internet ontregelt en kritische bedrijfsprocessen cyboteert.

Index Cyberwapens zijn geïmplanteerd en staan op scherp

Dansen op een digitaal kruitvat
In de directe aanloop naar de presidentsverkiezingen zetten de Verenigde Staten zich schrap voor Russische cyberaanvallen. Het vermoeden is dat Rusland chaos wil veroorzaken tijdens de verkiezingen door het internet plat te leggen of op grote schaal valse informatie te verspreiden via sociale media [NBC News, 3.11.16].

Een woordvoerder van president Obama verklaarde:

De Amerikaanse overheid bereidt zich op het ergste voor, inclusief een cyberaanval die grote delen van de energievoorziening platlegt, of van het internet. Zij heeft de Russische autoriteiten laten weten dat elke poging om de verkiezingen of het tellen van de stemmen te manipuleren als een ernstige inbreuk op de nationale soevereiniteit opvat.

Hackers van het Amerikaanse leger staan klaar om terug te slaan als Rusland zou proberen om de presidentsverkiezingen te verstoren. Volgens NBS News [5.11.16] zijn zij zijn al geïnfiltreerd in de netwerken van de Russische elektriciteitsvoorziening, telecommunicatie, en het commandocentrum van het Kremlin. Zodra de VS op een ‘significante manier’ worden aangevallen zullen deze al geïmplanteerde cyberwapens uit het hele arsenaal worden ingezet.

Begin september verklaarde president Obama tijdens de G-20 top in China dat hij geen wapenwedloop in cyberspace wil met Rusland, maar dat de VS zowel in offensief als in defensief opzicht meer cybercapaciteit heeft dan welk ander land dan ook [Telegraph, 5.9.16].
Het slagveld is in vergaande mate geprepareerd. Wie over de meest geavanceerde cybercapaciteiten beschikt is nog onbekend. We weten wel dat beide tegenstanders in staat zijn om de industriële controlesysteem te ontregelen of ruïneren van chemische bedrijven, kerncentrales en systemen voor waterregulatie. De cruciale vraag is wanneer al deze ’voorbereidingen van het slagveld’ ook daadwerkelijk op een dramatische wijze tot uitbarsting zullen komen.

De digitale messen zijn geslepen, de wederzijdse dreigingen nemen toe, de schermutselingen in cyberspace escaleren in hoog tempo en de stemming wordt steeds strijdlustiger. Daarbij staan de Amerikanen verdeeld achter Hillary Clinton dan wel Donald Trump, terwijl de Russen in de door de overheid geregisseerde oorlogshysterie schijnbaar gesloten achter Vladimir Poetin staan. De cyberconfrontatie tussen Amerika en Rusland leek een kruitvat dat op het punt van uitbarsten staat.

Dat gebeurde niet op de verkiezingsdag en ook niet nadat Trump als de voor velen verrassende overwinnaar uit de stembus verrees. De overwinning van Trump was ook een teken van succes van de Russische chaostactiek van politieke hacks en het lekken van vertrouwelijke e-mails. Andy Greenberg kopte in Wired: “De overwinning van Trump is een signaal dat het seizoen voor Russische politieke hackers is geopend” [Wired, 9.11.16]. Het jachterrein van de Russische hackers (en vooral van de groep Fancy Bear) beperkt zich niet tot doelwitten op Amerikaanse bodem, maar is sinds de inbraak in de Democratische ook uitgebreid naar het Europese theater [TrendMicro, 9.11.16]. Fancy Bear valt binnen Rusland oppositionele activisten aan, en in het buitenland alle vijanden van het Kremlin.

Index


Shamoon revisited: alle computers op tilt
Midden november 2016 dook het Shamoon-virus weer op dat in 2012 was ingezet tegen het energiebedrijf Saudi Aramco. Deze keer werden wederom in Saoudi-Arabië duizenden computers op het hoofdkantoor van de belangrijkste burgerluchtvaartdienst volledig buiten werking gesteld. Belangrijke data werden gewist en alle werkzaamheden lagen een aantal dagen stil [Symantec, 30.11.16; Bloomberg, 1.12.16; ArsTechnica, 1.12.16; DarkReading, 1.12.16].

Ook in dit geval werd de beschuldigende vinger richting Iran gestoken en bleef onduidelijk wat de precieze motieven waren van deze grootschalige cybotage.

Van brandende vlag naar dode vluchteling
Shamoon —ook wel W32.Disttrack genoemd— is kwaadaardige software die ontwikkeld is om de Master Boot Record (MBR) en Volume Boot Record (VBR) van een computer te wissen waardoor het apparaat onbruikbaar wordt. De versie van Shamoon die bij de aanval op Aramco was gebruikt was identiek aan die in november 2016 werd ingezet tegen de luchtvaartdienst.

Het enige verschil was dat de beelden van een brandende Amerikaanse vlag die in 2012 op vernietigde computers werd achtergelaten, vervangen werden door een foto van het lichaam van Alan Kurdi, de 3-jarige Syrische vluchteling die in september 2015 in de Middellandse Zee verdronk.

De kwaadaardige software veroorzaakte een enorme schade bij vier van de organisaties die tot de doelwitten behoorden. Defensieve maatregelen bij de andere twee organisaties voorkwamen een vergelijkbare uitkomst. De aanvallen leiden niet tot ontregeling van het luchtverkeer of van operationele systemen. De schade bleef beperkt tot de administratieve systemen van de luchtvaartdienst.

Al voordat zij de digitale bom tot ontploffing brachten hadden de cyberaanvallers zich op een of andere wijze meester gemaakt van cruciale inlogcodes en procedures. Zij waren ingebakken in de codering van de cyberbom. De nieuwe variant van Shamoon kan zich met grote snelheid door het hele netwerk verspreiden door zelf de bestandsdeling aan te zetten. De malware kopieert zichzelf automatisch in de andere systemen.

Dit incident bevestigt wat we al eerder zagen: cyberwapens worden steeds krachtiger en richten steeds meer schade aan. Het gebeurt gelukkig nog niet vaak dat nationale staat offensieve cyberwapens inzet tegen een andere natie. Maar als er in een netwerk een vernietigend cyberwapen wordt afgevuurd op meerdere doelwitten tegelijkertijd, dan kan dit tot snel escalerende vergeldingsacties leiden.

Index


FSB slaat alarm: cyberaanval op Russische banken?
Embleem van de FSB
Embleem van de FSB
De Russische geheime dienst FSB is beducht voor cyberaanvallen die vanaf maandag 5 december vanuit Nederland de Russische financiële sector zouden willen ontwrichten. Buitenlandse spionagediensten zouden met servers in Nederland in de aanval willen gaan. Volgens een verklaring van de FSD staan in Nederland servers van een hostingbedrijf uit Oekraïne, BlazingFast. Deze servers zouden als commandocentra worden gebruikt waarmee de aanvallen worden uitgevoerd.

Die buitenlandse inlichtingendiensten zouden van plan zijn om massaal sms’jes te sturen naar Russen over een crisis bij Russische banken. Ook via sociale media zouden ze berichten willen verspreiden over faillissementen van Russische financiële instellingen. De actie zou zich richten op enkele tientallen steden in Rusland [Bloomberg, 2.12.16; VK, 2.12.16].

De FSB werkt naar eigen zeggen hard aan het verijdelen van de plannen. Doelwit zouden tientallen Russische instellingen zijn, inclusief de grote banken. De FSD meldt niet welke buitenlandse diensten Rusland zouden willen belagen, maar de spanningen met Oekraïne lopen de laatste tijd weer hoog op.

De directeur van BlazingFast, Anton Onopritsjoek liet weten dat zijn bedrijf heel veel klanten heeft en dat er een onderzoek komt. Hij vreest dat het speurwerk erg lang gaat duren, omdat het zoeken is naar een speld in een hooiberg. Maar er wordt gewerkt aan de zaak en er wordt geprobeerd deze dreiging tegen de Russische economie te neutraliseren.

Het Russische ministerie van Financiën denkt dat de situatie stabiel. De onderminister Aleksey Moiseyev zei:

Het Russische ministerie van Communicatie heeft spoedvergaderingen georganiseerd met serviceproviders en banken en heeft hen richtlijnen gegeven hoe om te gaan met de cyberaanvallen.

Volgens de FSB is een samenzwering van buitenlandse inlichtingendiensten om het Russische financiële stelsel te ontregelen en haar economie in een diepe crisis te storten. Maar zij noemt geen man en paard. Niet welke inlichtingendiensten dat zouden zijn, noch waar zij haar vermoeden op baseert dat die cyberaanval op 5 december vanuit Nederland gelanceerd zal worden.

Uitgesloten is het niet. We hebben gezien dat de cyberschermutselingen tussen Rusland en de V.S. en ook tussen Rusland en de Oekraïne al tot een gevaarlijke hoogte zijn gestegen. De in stelling gebrachte cyberwapens worden steeds venijniger, geraffineerder, heimelijker en destructiever.

Er is echter ook nog een ander scenarario denkbaar. Ook in de dikke mist waarin onverklaarde ‘koude’ cyberoorlogen worden uitgevochten is de waarheid altijd het eerste slachtoffer. De conflictpartijen proberen de eigen intenties en cyberoperaties zoveel mogelijk te verhullen; zij schrijven aan hun tegenstanders valse intenties toe en stellen ze verantwoordelijk voor operaties die nooit hebben plaatsgevonden. Misleiding, leugen en bedrog zijn in gewapende conflicten onderdeel van de propagandistische strijdtoneel.

Valse of vervalste beschuldigingen aan het adres van de vijand behoren tot het normale repertoire van internationale politiek. Het Tonkin-incident, dat de Amerikaanse president Johnson misbruikte om een volmacht te krijgen voor directe aanvallen op Noord-Vietnam (zonder formele oorlogsverklaring en zonder goedkeuring van het Amerikaans Congres) is hiervan slechs één bekend voorbeeld.

Niet uit te sluiten is dat de Russische geheime dienst in opdracht van president Poetin een BlazingFast-incident heeft geënsceneerd dat als voorwendsel gebruikt gaat worden om die lastige voormalige satellietstaat Oekraïne nog steviger aan te pakken.

Sinds 5 december weten we dat de FSB te hoog van de toren heeft geblazen: er gebeurde die dat niets dat op ontregeling van het Russische financiële stelsel lijkt.

Centrale Bank Rusland bestolen
Op 2 december verklaarde een woordvoerder van de Russische Centrale Bank dat hackers erin waren geslaagd om meer dan $31 miljoen te stelen. De hackers hadden met valse persoonsgegevens toegang gekregen tot rekeningen en hadden geprobeerd om 5 miljard roebel te stelen (€73 miljoen; $78 miljoen).

Index In plaats van een vredig Kerst

Trump president dankzij Poetin?
Aan het binnenlandse gevecht over de vermeende Russisische interventie bij de Amerikaanse presidentsverkiezing komt geen einde. Terwijl Donald Trump niet ophoudt om de democratische legitimiteit van zijn verkiezing tot president elke dag hoog van zijn Trump-tower te verkondigen, bleven de inlichtingendiensten en een aantal grote kranten spitten in het elektronisch Watergate schandaal.

Admiraal Michael S. Rogers
Admiraal Michael S. Rogers
Admiraal Michael S. Rogers, directeur van de NSA. en commandant van het US Cyber Command verklaarde dat hij ervan overtuigd was dat een buitenlandse staat op effectieve wijze de Amerikaanse presidentsverkiezingen had gemanipuleerd:

Trump haastte zich om de conclusies van de inlichtingendiensten belachelijk te maken: ze hebben geen idee wie er achter de hacks zit en de beschuldigingen aan het Russische adres zijn ‘ridicuul’. De democraten gebruiken dit alleen maar om zich te verontschuldigen voor hun beschamende verkiezingsnederlaag. Daarbij trok Trump ook de geloofwaardigheid van de CIA in twijfel. “Dit zijn dezelfde mensen die zeiden dat Saddam Houssein massavernietigingswapens had” [NYT, 10.12.16; VK, 12.12.16].

Op 13 december 2016 publiceerden Eric Lipton, David E. Sanger en Scott Shane een gedegen staaltje onderzoeksjournalistiek: The Perfect Weapon: How Russian Cyberpower Invaded the U.S. [NYT, 13.12.16]. Daarin zetten zij op overtuigende wijze de gang van zaken rond de Russische hack van de DNC op een rijtje.

Zij laten zien hoe Russische hackergroepen daadwerkelijk hebben geïntervenieerd in het Amerikaanse verkiezingsproces en dat dit met ijzingwekkende precisie en koele calculatie is gebeurd.

Index


Manipulatie van Europese verkiezingen
De verwachting is dat dit succesvolle scenario ook zal worden ingezet bij de aanstaande parlementsverkiezingen in Europa. Russische hackercollectieven hebben al langer het oog op het Duitse politieke systeem. De Duitse Bondsdag, diverse ministeries en de computersystemen van kanselier Angela Merkel werden en worden bijna dagelijks met vernuftige virussen, wormen, Trojaanse paarden en andere kwaadaardige software bestormd. Tegelijkertijd worden via sociale media op grote schaal verzonnen verhalen verspreid om onrust te veroorzaken [NOS, 28.1.16].

De nieuwe directeur van de inlichtingendienst BND, Bruno Kahl, waarschuwt dat Duitsland tijdens de parlementsverkiezingen in 2017 rekening moet houden met cyberaanvallen en desinformatie-campagnes uit Rusland [Süddeutsche Zeitung, 28.11.16].

Index


Interventie in Nederlandse verkiezingen
Ook de Nederlandse verkiezingen van 2017 zouden doelwit kunnen worden van cyberspionage, desinformatie-campagnes en cybersabotage. Daar waarschuwde het D66-Kamerlid Sjoed Sjoerdsma voor [NOS, 16.12.16]. De polarisatie en verhitting van de politieke controverses vormen een vruchtbare bodem voor Russische interventies. De vraag is hoe goed we in Nederland zijn voorbereid op politieke hacks van Russische signatuur. Hoe goed zijn de computersystemen en netwerken van politieke instellingen en partijen beveiligd? Wie doet wat tegen informatieoperaties vanuit door Rusland georkestreerde websites en kwaardaardige verhalen die via sociale media worden verspreid?

Wilders in Russisch perspectief
Het Nederlandse ministerie van Buitenlandse Zaken onderhield enige tijd de website netherlands-embassy.ru waarop de diplomatieke vertegenwoordiging in Rusland praktische informatie plaatste en het nieuws in Nederland bijhield. Toen Buitenlandse Zaken de domeinnaam veranderde gaf zij het webadres terug aan de Russen.

De domeinnaam werd gereactiveerd en hoewel de Nederlandse rijkslogo’s verdwenen wordt er nu in het Russisch allerlei nieuws uit Nederland gepresenteerd. De onderwerpen worden neutraal gepresenteerd: een terrorist die in Rotterdam wordt gearresteerd, een lichtfestival in Amsterdam, een vermist meisje uit Bergen op Zoom dat weer met haar ouders wordt verenigd, en wetenschappers van de Universiteit Twente die een alternatief hebben gevonden voor hemodialyse.


Vriend van Poetin, of toch maar niet?
Feiten x Fabels = Malafide geruchten
Van een ander kaliber zijn bijdragen waarin halve waarheden en hele leugens worden verspreid. Volgens een bericht dat op 23 augustus werd geplaatst zou PVV-leider Geert Wilders niet alleen een referendum voorbereiden om Nederland uit de EU te laten treden, maar daarna ook de anti-Russische sacnties willen opheffen “om de relaties met Rusland te verbeteren.” Brussel zou de relaties met andere landen niet mogen dicteren en controleren. Wilders zou erop gewezen hebben dat Nederland eeuwenlang een partnerschap met Rusland en dat de opheffing van de sancties het welzijn in Nederland zou verbeteren. “Economisch zullen we sterker worden door de betrekkingen en de handel met Rusland te verbeteren.”

Wilders wordt letterlijk geciteerd — maar het citaat is in Nederland niet te vinden en het is onwaarschijnlijk dat Wilders een interview heeft gegeven aan de beheerders van deze site [VK, 14.12.16].

Ook in andere bijdragen krijgt de PVV-leider ruime aandacht: niet alleen de terugtrekking uit de EU, maar ook het verbod op de Koran, de sluiting van alle moskeeën en islamitische scholen en de sluiting van de grenzen voor alle vluchtelingen [zie: 30.8.26; 31.8.16].

Niet onwaarschijnlijk is dat de Russische strategen Geert Wilders tot Poetin-knuffelaar boetseren vanwege zijn de opstelling na het neerschieten van de Malaysia Airlines MH17. Terwijl alle partijleiders van links tot rechts hun afschuw uitspraken over deze terreurdaad en hun medeleven betuigde met nabestaanden, liet Geert Wilders zich interviewen voor de Russische staatspropagandazender Russia Today. Daarin beschuldigde hij de EU van een “hele onverantwoordelijke rol” in de Oekraïne. De Europese landen zouden Oekraïme niet moeten steunen tegen de annexatiepolitiek van Poetin.

Toen PVV-Kamerlid Raymond de Roon in een debat op 12 maart suggereerde dat er aanleiding was om leveringen van wapens aan Rusland op te schorten en misschien wel af te blazen, reageerde Wilders furieus. Hij stuurt aan een aantal vazallen in de fractie een e-mail waarin hij afrekent met deze vrijzinnigheid: “Dit is echt veel te kritisch over Rusland, Is ook niet zo in de fractie besproken. Waarom weet ik hier niks van??”

Geheel tegen de dictatoriale PVV-gebruiken in werd deze e-mail door een fractie-vazal gelekt naar De Telegraaf [10.6.16]. De anonieme bronnen uit de PVV vertelden daarbij dat Wilders de kritiek op Rusland wilde temmen vanwege de samenwerking met het Franse Front National dat «Brussel» de schuld geeft van de opgelopen spanningen tusssen het Westen en Moskou.

De rechts-populistische partijen in Europa paren hun afkeer van ‘Brussel’ aan hun voorliefde voor de krachtige leider van een autoritaire natiestaat. Dat geldt voor het Franse Front National van Marine Le Pen, maar ook voor het Vlaams Belang van Filip de Winter, de Britse UKIP van Nigel Farage, de Oostenrijkse FPö van Heinz-Christian Strache, en de Nederlandse PVV van Geert Wilders.


Geert Wilders met oprichter van Front National Jean-Marie Le Pen en zijn dochter Marine Le Pen

Index Schermutselend naar het einde

Nog meer bewijzen: X-Agent
President Obama verklaarde op 16 december dat hij opdracht had gegeven om de Russische cyberaanvallen te vergelden “op een moment en een plek die wij kiezen”. Maar tegelijkertijd waarschuwde hij nogmaals voor het gevaar van een digitale wapenwedloop [Washingtom Post, 16.22.16].

Op 22 december presenteerde het softwarebeveiligingsbedrijf CrowdStrike (dat in mei werd ingeschaheld om het computers van de democratische te ontdoen van kwaadaardige software) nieuwe bewijzen dat de inbraak op de computers van het DNC het werk was van hackers die werken voor de Russische militaire inlichtingendienst GROe [Crowdstrike, 22.12.16; VK, 22.12.16].

Volgens Crowdstrike was de hack van het computersysteem van de Democraten malware gebruikt die grote overeenkomt vertoon met een programma dat de Russische strijdkrachten gebruikten om Oekraïens veldgeschut te traceren. Via die malware kregen de Russische hackers toegang tot de mobiele telefoons van Oekraïense militaire commandanten.

D-30 Howitzer
D-30 Howitzer bediend door Oekraïense militairen.

De besmette app had een aanwijsbaar effect op het verloop van de oorlog: het Oekraïense leger verloor ongeveer de helft van zijn artillerie verloren, terwijl 80 procent van de D-30 howitzers werd vernietigd.

De app die in 2013 door de autodidactische programmeur Yaroslav Sherstuk was ontwikkeld en werd via sociale media verspreid waardoor Daarom was het voor de hackersgroep Fancy Bear —welke gelieerd is aan de Russische militaire inlichtingendienst Groe— niet moeilijk om de app te kapen. Begin 2014 creëerde Fancy Bear een kwaadaardige variant van de Adroide applicatie en plaatste dit op een forum voor Oekraïense officieren.

De onderzoekers van Crowdstrike hadden al eerder vingerafdrukken van Facny Bear gevonden in het gekreekte computersysteem van het DNC. Nu bleek dat daarbij ook gebruik gemaakt werd van een variant van X-Agent. Het Oekraïens voorbeeld laat zien dat er een nog veel sterkere band is tussen Fancy Bear en het Russische leger.

Volgens medeoprichter van Crowdstrike Dmitri Alperovitch is dit het meest overtuigende bewijs dat Fancy Bear en de GROe aan elkaar verbind:

Index


Nederlandse servers in Russische dienst
We hebben hiervoor gezien dat de Russische geheime dienst het opmerkelijke bericht de wereld inzonden dat er op 5 december vanaf Nederlandse servers een grote cyberaanval gelanceerd zou worden op de financiële sector in Rusland. Dat gebeurde niet. Wat wel gebeurde is dat door de Russische overheid aangestuurder hackers 70 Nederlandse ip-adressen gebruikte om de cyberaanval op de Amerikaanse Democratische Partij te lanceren.

De hackers van Fancy Bear vielen de Democratische Partij onder meer aan via het Tor-netwerk waarop internetgebruikers anoniem kunnen over het web kunnen surfen. Volgens de FBI en het Amerikaanse Departement van Homeland Security (DHS) gebruikten de hackers 900-ip adressen bij Tor-servers, waarvan 140 in Nederland zijn gevestigd [JAR, 29.12.16].

Een van die servers is van Rejo Zenger, die werkt bij de pricacy-organisatie Bits of Freedom en die op 11 mei nog een café-avond had georganiseerd voor (toekomstige) beheerders van Tor exit-nodes. Tegenover de Volkskrant verklaarde hij:

Volgens Zenger is het belangrijker om te kijken naar hoe de hack is uitgevoerd: “De spionnen zouden gebruik hebben gemaakt van kwetsbaarheden in het mailverkeer van de Democratische partij. Daar zou wat aan moeten worden gedaan” [idem].

Het is niet verrassend dat er door Russische cyberspionnen gebruik gemaakt wordt van het Tor-netwerk. Het demonstreert alleen via welke wegen de hackers hebben geopereerd en welke servers zij (achter de ruggen van de eigenaren om) hebben gecompromitteerd om hun cyberoperaties uit te voeren.

Directe steun aan marginale ultra-nationalistische partijen
Ook de Russische diaspora speelt een rol bij het verzwakken van Westerse democratieën. Uiteraard is dit een groot probleem voor landen waarin Russisch-taligen een significant deel van de bevolking vormen — zoals in de landen van de voormalige Sovjet-Unie. Maar het is recent ook een probleem in West-Europa, waar de diaspora een actief onder is geworden van Russische overheidsinvloed.

Zo werden een aantal van de demonstraties van de marginale nationalistische en anti-islamitische beweging Pegida (Patriotische Europäer gegen die Islamisierung des Abendlandes) in Duitsland georganiseerd door vertegenwoordigers van de Russische migrantenorganisaties die door het Kremlin worden gefinancieerd. Op sommige bijeenkomsten werden toespraken in het Russisch gehouden.

Pegida is slechts een voorbeeld van de tientallen marginale politieke partijen en bewegingen die door het Kremlin worden ondersteund in diverse Europese landen. Meestal zijn het ultra-rechtse, anti-islamitische, anti-globalisatie en separatistische bewegingen. Ze komen een keer per jaar in Moskou bijeen. Marine Le Pen heeft hieraan een gulle lening van een Russische bank te danken.

Index


Oog om oog, tand om tand of veilig over de drempel?
Op donderdagavond 29 december loste de aftredende president Obama de eerste serieuze schoten als vergelding voor de Russchische interventie in het Amerikaanse verkiezingsproces.

De eerste maatregel was het uitwijzen van 35 Russische diplomaten. Direct daarop werden sancties aangekondigd tegen zes Russische individuen en vijf Russische instellingen. De diplomaten die worden uitgezet hebben 72 uur om het land te verlaten en de twee vestigingen in Maryland en New York worden vrijdagmiddag om 12 uur gesloten. Daarnaast werd een inreisverbod opgelegd aan hoge functionarissen van de Russische militaire geheime dienst GROe. [Washington Post, 25.12.16]

In een verklaring van het Witte Huis werden de redenen voor deze nog diplomatieke strafmaatregelen kort samengevat:

Het wachten was op een al dan niet proportionele tegenmaatregelen van Russische zijde. De eerste verbale reactie kwam van een Russisch parlementslid. Tegen het Russische nieuwsagentschap TASS verklaarde hij dat de beslissing niet onbeantwoord zal blijven. “Je realiseert je natuurlijk dat de stappen wederzijds zullen zijn en dat de Amerikaanse ambassade in Moskou en waarschijnlijk de consulaten ook beknot zullen worden.”

Even later verklaarde de woordvoerder van de Russische president Dmitri Peskov dat hij nog niet wist wat het antwoord zou zijn, maar dat er geen alternatief is voor reciprociteitsprincipe: oog om oog, tand om tand [Washington Post, 25.12.16].

Geruchten en verwarrende berichten
Op CNN werd het bericht verspreid dat het Kremlin had besloten om de Anglo-American School in Moskou te sluiten, en om het vakantieverblijf van de Amerikaanse ambassadeur in Moskou. Beide berichten moesten worden herroepen [Washington Post, 30.12.16].
Reciprociteit
Op vrijdagochtend liet de Russische minister van Buitenlandse Zaken Sergei Lavrov nog van zich horen. “Wederkerigheid is de wet in diplomatie en internationale relaties”. En daarom zou volgens hem het Kremlin op haar beurt ook 35 Amerikaanse diplomaten moeten uitwijzen en twee Amerikaanse faciliteiten in Rusland moeten sluiten.
Maar president Putin zweeg en besloot er nog een nachtje over te slapen. Op vrijdagmiddag 30 december kwam hij met een voor velen verrassende verklaring: Rusland zal geen Amerikaanse diplomaten uitwijzen als reactie op Obama’s sancties tegen Rusland. Poetin zei dat hij zich niet wilde verlagen tot “dit niveau van onverantwoordelijke diplomatie’s” en in plaats daarvan wil proberen om de relaties met de VS wil herbouwen na de inauguratie van Donald Trump.

In plaats van furieuze retoriek, dreigende taal en harde tegenmaatregelen sloeg Poetin een grootmoedige toon aan.

Poetin wenste Obama, Trump en de Amerikaanse bevolking een gelukkig nieuwjaar en nodigde alle kinderen van Amerikaanse diplomaten uit om de nieuwjaars- en kerstfestiviteiten in het Kremlin bij te wonen (Orthodox Kerstmis valt op 7 januari).

Lame Duck
Vanuit de Russische Ambassade in Groot-Britannië werden een aantal tweets de wereld ingestuurd waarin de sancties van Obama worden afgeschilderd als de laatste stuiptrekkingen van een afstervend bewind. Het toegevoegde lamme eendje is bedoeld om president Obama te kleineren.
De demonstratieve grootmoedigheid van Poetin’s reactie betekende echter ook een klap in het gezicht van de Amerikaanse regering en een kleinering van de aftredende president Obama — hij is een lamme eend die zo irrelevant is, dat het onnodig is om op zijn sancties te reageren [BBC, 30.12.16]. Poetin’s verklaring leek op een variant van Michelle Obama’s dictum tegen Trump: “If they go low, we go high.” De boodschap van Poetin aan Obama was klip en klaar: ‘U doet er niet meer toe’.

Steven Derix vatte het samen:

De schermutselingen tussen de VS en Rusland die in cyberspace begonnen lijken met traditionele diplomatieke maatregelen en sancties te worden beslecht: uitwijzing van diplomaten die van spionage worden verdacht, sluiting van faciliteiten die voor spionagedoeleinden worden gebruikt. Het zijn eerder symbolische excercities die de eigen achterban ervan moeten overtuigen dat de politieke leiding krachtdadig optreedt, dan dat zij de tegenstander werkelijk in verlegenheid brengen of substantiële schade berokkenen.

Poetin heeft met behendig manoevreren de angel uit het symoblische sanctiebeleid van Obama getrokken. Door de ongemene politieke lenigheid van Poetin is het dooretterende conflict over de drempel van het nieuwe jaar verschoven. Het is nu op het bordje van Donald Trump gelegd, die na 20 januari moet bedenken op welke manier hij een overeenstemming met Poetin kan bereiken. En Poetin gaat dit overleg in met een man die zelf met alle mogelijke middelen in het presidentiële zadel heeft geholpen.

Trump en Poetin als matrousjka's

Donald Trump liet onmiddelijk via een tweet aan de wereld weten hoe hij over de reactie van Vladimir Poetin dacht. “Great move on delay (by V. Putin) - I always knew he was very smart!” Poetin heeft de sancties van Obama met een diplomatieke meesterzet gepareerd en overtroefd [NRC, 30.12.16]. En de toekomstige president van de VS prijst hem daarvoor.

Trumps lovende tweets over Poetin lokten ook in het Republikeinse kamp veel kritiek uit. Terwijl Donald Trump opzichtig handjevrijt met Vladimir Poetin spant de invloedrijke Republikein John McCain zich in om de sancties tegen Rusland op te voeren. Hij beschouwt de Russissche cyberaanvallen als een ‘oorlogsdaad’. De VS moeten Rusland daarvoor “een prijs laten betalen.”. Hij denkt daarbij aan maatregelen tegen individuen en organisaties en financiële instellingen.

De voormalige ambassadeur van de VS in Moskou, Michael McFaul, noemde het ongehoord dat Trump als aankomend president samenspant met een autocratische leider als Poetin. Evan McMullin riep de Republikeinen op om Trump te veroordelen wegens zijn bondgenootschap met Poetin die erop uit is de Amerikaanse democratie te ondermijnen.

De dreiging van een telkens grootschaliger inzet van ontregelende en destructieve cyberwapens is wat 2016 betreft van tafel. Mijn nieuwjaarswens is dat dit ook in 2017 zo blijft.

To jaw-jaw is always better than to war-war.”
Winston Churchill [1874 - 1965]. 26 Juni 1954.

Index Bronnen over CyberOorlog in 2016

  1. Accurate Voting

  2. Aljazeera

  3. AP

  4. Ars Technica

  5. BBC

  6. Bloomberg

  7. Buchanan, Ben / Sulmeyer, Michael

  8. CBS News

  9. CNN

  10. CyberWarDesk

  11. Cyberwarzone

  12. DarkReading

  13. Department of Homeland Security (DHS)

  14. Electrospaces

  15. Esquire

  16. Euromaidan

  17. Express

  18. Financial Times (FT)

  19. Flashpoint

  20. Foreign Affairs (FA)

  21. Foreign Policy (FP)

  22. Guardian, The

  23. Heise Security

  24. Huffington Post, The

  25. Infowars

  26. KrebsonSecurity

  27. Lawfare

  28. MIT Technology Review

  29. National Interest, The

  30. NBC News

  31. Newsweek

  32. New York Times, The

  33. NRC

  34. NU.nl

  35. Observer

  36. Register, The

  37. Reuters

  38. Schneier, Bruce

  39. SecureList

  40. Security Affairs - Pierluigi Paganini

  41. SentinelOne

  42. Spiegel, Der

  43. Symantec

  44. TASS

  45. Time

  46. Volkskrant, De (VK)

  47. Wall Street Journal, The

  48. Washington Post, The

  49. Wikileaks
    • The Podesta Emails
    • [22.07.2016] DNC-emails
      WikiLeaks publiceerde 19.252 emails en 8.034 attachments van de top van het Democratic National Committee. De emails dekken de periode van januari 2015 tot 25 mei 2016.

  50. Wikipedia

  51. Wired

  52. Yahoo! News

  53. YouTube

Index


Home Onderwerpen Zoek Over ons Doneer Contact

02 April, 2017
Eerst gepubliceerd: 5 Nov. 2016