Independent. Dynamic. Involved.
nlen

De Cyber-Krimoorlog: tijd voor een inkijkoperatie

Door Diederik Perk & Peter Rietveld.

De gebeurtenissen van de afgelopen dagen rondom de crisissituatie op de Krim laten een toenemend niveau van cyber-oorlog zien. Tientallen netwerken in de Oekraïne, waaronder overheidssystemen, zijn geïnfecteerd met een stuk malware dat heimelijk surveillance uitvoert, beheersrechten toe-eigent en het mogelijk maakt om lopende systemen plat te leggen.[1] Naast deze geavanceerde malware waren er een aantal DoS en DDoS aanvallen op publieke forums en overheidsnetwerken. Bevestigd is dat van Oekraïense parlementsleden via VOIP hun mobiele telefoon onbruikbaar is gemaakt.[2] En het grootste gevaar loert in wat vooralsnog onzichtbaar blijft.

Forensische analyse van de malware levert indicaties op dat de afzenders uit de omgeving van Moskou komen, zoals de Russische taal en van een tijdsstempel verweven in het DNA van Snake.[3] Een veeg teken is dat dit geen nieuw virus is, maar (nieuwe variant op?) een bestaand stuk malware van professionele cybercriminelen die blijkbaar als huurling het rode leger ondersteunen door het richten van de malware tools op Oekraïense systemen. Het cybergeweld is overigens niet geheel eenzijdig, gezien het feit dat Anonymous zijn #OpRussia doorzet en staatsgegevens blijft lekken.[4]

De informatievoorziening in het Westen komt inmiddels een klein beetje op gang. Deze hapering is weinig verrassend in een landschap zonder goede bron van onderzoekjournalistiek. Ook academisch staat het begrip van cyber security nog in de kinderschoenen. Het wachten is op een onafhankelijke  organisatie die over dit onderwerp tijdig, autoratief en toegankelijk bericht. Qua informatiepositie moet de gemiddelde informatie beveiliger een bovengemiddelde inspanning doen om bij te blijven, laat staan de actualiteit een stap voor te zijn. Anticiperen op ontwikkelingen lijkt op dit moment, hoe wenselijk dit ook zou kunnen zijn, onmogelijk.

Wat de ontwikkeling in de security community kenmerkt is dat het een ecosysteem is waarin ervaring als voedingsbodem geldt. Gedeelde ervaringen, zoals fouten in software worden traditioneel openlijk benoemd en bestreden. Nu ervaart informatiebeveiliging op dit punt tegenwerking van de inmenging van de cyber clubjes van verscheidene overheden. De prijs van exclusieve zero-day exploits is tot buiten alle proporties gestegen nu alle grootmachten en ijverige bondgenoten zich buigen over het verwerven van offensieve capabilities. De weeffouten blijven daardoor in het systeem zitten. Oftewel, apparaten zijn meer en meer metalen mandjes waaruit de waardevolle materialen weglekken en de hoogste bieder vangt op.

‘veelkoppig monster’

Wat voor kwetsbaarheden geldt, is voor dreigingen in het algemeen en het geval van Snake in het bijzonder minder het geval. Een analyse van BAE Systems biedt aanknopingspunten met betrekking tot oorsprong, technische opbouw van de malware en mogelijke indicatoren voor detectie. Deze analyse is gebouwd op de observaties van het Duitse beveiligingsbedrijf Gdata die een sample beschreven van het Snake-component Uroburos. In z’n geheel blijkt het een update te zijn van een succesvolle aanval bekend onder de classificatie Agent.BTZ die met name Amerikaanse militaire systemen in het vizier had. Snake blijkt een monster met veel koppen te zijn, dat niet effectief onthoofd is toen de kans bestond.

Een plichtmatig Navo partnerschap met Oekraïne op cybergebied is al een handjevol jaar geleden in leven geroepen, waarin vooral symbolische zaken worden behandeld zoals samenwerking op awareness promotie, best practices workshops en expert-meetings. Ondertussen heeft minister Hennis-Plasschaert losgelaten dat de Navo een cyber-aanval op grondgebied van de lidstaten zal gaan beschouwen en beantwoorden als militaire actie.[5] Met het gegeven dat Litouwen’s infrastructuur ook onderhevig is aan Snake gerelateerde aanvallen is het een simpele optelsom dat Navo’s eerste cyber-interventiemacht binnenkort van de grond komt. Meer plausibel is echter dat de oplossing vanuit het Westen in meer monitoren en informatie opdoen en minder op het gebied van concrete actie zit, met het attributieprobleem als doorzichtig excuus.[6]

‘gratis kijkje in de Russische keuken’

Aangezien de Navo in haar operationele capabilities vrijwel volledig leunt op Amerikaanse resources zet Europa de poort wederom open voor de trucs van de NSA. De Amerikanen zullen vol aandacht de impact van de snake monitoren. Zoals gezegd, aanvalsmethoden zijn kostbaar en dit is voor buitenstaanders een gratis kijkje in de Russische keuken. In dat kader kan het stilzwijgen van Nederlandse cyberorganen ook uitgelegd worden als aandachtig opletten, zonder voor de beurt te willen spreken. Laten we daar maar op hopen, tenminste.

In hoeverre de diensten er al mee vertrouwd zijn is nog even afwachten, maar evenwel wordt de markt van informatiebeveiliging verder vertroebeld door inmenging van staatsgeheimen en de korte lijntjes met directe hofleveranciers. Daar waar de Russen op inzet van schemerige maar kundige hackers kunnen rekenen gunnen Westerse overheden een bijna-monopolie aan Fox-IT en haar buitenlandse equivalenten om een kerntaak van de regering uit te voeren. Een klein aantal partijen krijgt kritieke informatie over beveiligingszaken die voor de rest van de wereld, klanten en concurrenten niet beschikbaar zal zijn onder de noemer van het staatsbelang. Nu heeft Fox-IT tenminste zelf al meermalen op het onwenselijke hiervan gewezen, maar zijn wij nog niet uit de brand. Dit zal bepaalde organisaties heel wat concurrentievoordeel opleveren.

Voor overige omstanders met belangen in informatiebeveiliging – iedereen dus – is de conclusie dat een informatieoverschot resulteert in een kennistekort. Zaak is om in crisissituaties niet gebiologeerd de veelkoppige wurgslang in de ogen te blijven kijken. Inderdaad moet je je systemen monitoren, je patching updaten en de actualiteiten in de gaten houden, maar wees daarnaast ook proactief in het inzetten van je omgeving.

Dus concreet. Contacteer je beveiligingsleveranciers en vraag hoe ze nu lering trekken uit wat er rond de Krim gebeurd. Overleg verder met je ketenpartners, ontketen desnoods voor jouw zaak een competentiestrijdje politiek touwtrekken in Den Haag. Tenzij je een multinational runt natuurlijk, dan ben je aan de blauwhelmen van de Navo overgeleverd. En allicht, aan het immer-luisterend oor van de NSA.