"Overheid werd bestookt vanuit 29 landen": dit weten we nu over de "nooit geziene" cyberaanval in ons land

Even na 11 uur gisterochtend merkte Belnet de cyberaanval op. Belnet is historisch gezien de eerste aanbieder van internet in ons land en valt onder de bevoegdheid van de federale overheidsdienst Wetenschapsbeleid. 

Belnet beheert het centraal internetknooppunt in ons land en maakt internetverkeer mogelijk voor de computersystemen van hogescholen en universiteiten, onderzoekscentra en overheidsbedrijven. Het is dat internetverkeer dat door de cyberaanval hinder heeft ondervonden.

Maar Belnet was eigenlijk niet het echte doelwit, zo vertelt Geert Baudewijns, de CEO van securitybedrijf Secutec, dat ook overheidsdiensten als klant heeft. "Wij dachten in eerste instantie dat dit een aanval was op het Belnet-netwerk. Na analyse hebben we gezien dat dit helemaal niet het geval was: men wilde de overheid raken. Men wilde overheidswebsites platleggen. Dat is tot op heden niet gelukt. Op vlak van beveiliging zitten we in België op topniveau, dat heeft nu zijn nut zeker bewezen."

"Die aanval gebeurde trouwens niet alleen via het Belnet-netwerk", benadrukt Baudewijns. "Dat is via alle telecomproviders gebeurd. Providers als Telenet en Proximus hebben die aanval, in meer of mindere mate, ook binnengekregen."

Het ging om een zogenoemde "ddos-aanval", waarbij websites bestookt worden met duizenden aanvragen, tot die websites overbelast geraken en blokkeren. 

"Rond 11 uur zagen we bepaalde trafiekstromen die bepaalde alarmbelletjes deden rinkelen. Vanaf de middag ging dat crescendo. Toen hebben we onmiddellijk het crisisproces opgestart en het Centrum voor Cybersecurity betrokken", zegt Dirk Haex, directeur van Belnet.

Het ging dus voor alle duidelijkheid niet om een hacking, waarbij gegevens zouden worden gestolen. "Zo'n ddos-aanval heeft de bedoeling om de diensten plat te leggen, absoluut niet om gegevens te stelen", klinkt het.

Dat zei Belnet-directeur Haex vrij stellig in "De ochtend" op Radio 1 (lees verder onder de audio):

Ethisch hacker Inti De Ceukelaire vergelijkt het met een gigantische file op de autosnelweg. "Wat er hier gebeurd is, is dat bepaalde - strategisch uitgekozen - systemen doelbewust overbelast worden." 

"Als we vandaag met iedereen tegelijk afspreken om met onze auto naar Brussel te rijden, dan zal je heel veel file krijgen op alle wegen naar Brussel en je kan niet meteen extra rijstroken aanleggen. Dat is ook gebeurd met Belnet: er is heel veel verkeer dat tegelijk met heel veel pakketten aan informatie naar de websites van de overheid wil surfen."

De mensen van Secutec zeggen dat ze tijdens de aanval zo'n 40 miljoen van die aanvragen geteld hebben. Die kwamen uit 29 landen. "Dat is extreem veel: dat is geen student die aan het experimenteren is geweest", zegt Baudewijns. "Die landen zijn heel divers. Dat gaat van Bahrein tot Tsjechië, daar is geen lijn in te trekken: die landen vormen gewoon een tussenpersoon."

Tientallen websites werkten gisterenmiddag een stuk trager of soms zelfs helemaal niet. Aan verschillende universiteiten en hogescholen waren er problemen met afstandsonderwijs omdat de verbindingen voortdurend uitvielen. 

Verschillende overheidswebsites waren moeilijk bereikbaar, wat problemen gaf voor thuiswerkende ambtenaren, maar ook voor mensen die naar Tax-on-web wilden surfen of online hun vaccinatiemoment wilden vastleggen. Bij de Brusselse vervoersmaatschappij MIVB waren er problemen met de kaartjesverkoop. In het parlement werden verschillende vergaderingen uitgesteld. Ook de openbare omroep VRT ondervond hinder.

Bekijk het verslag uit "Het Journaal" en lees verder onder video: 

Een ddos-aanval tegen (overheids)websites komt vrijwel dagelijks voor, maar de aanval van vandaag is volgens Belnet uitzonderlijk zwaar. "Belnet bestaat sinds 1993. Het is de eerste keer dat wij geconfronteerd worden met een dergelijke gigantische datastroom." 

Volgens Belnet gaat het dan ook om een cyberaanval "van nooit geziene grootte". De provider heeft speciale systemen die de dagelijkse ddos-aanvallen afweren, maar die konden het gisteren niet langer bolwerken.

Dé vraag is natuurlijk wie de aanval tegen de Belgische overheidswebsites heeft uitgevoerd. Belnet heeft op dit moment "geen enkel idee", klinkt het.  "Het onderzoek zal dat moeten uitwijzen." Nadat Belnet gisteren een klacht had ingediend bij de Federal Computer Crime Unit, zit het onderzoek bij deze gespecialiseerde onderzoekseenheid. 

Maar, zo merkt Belnet-directeur Haex, op, "we mogen niet verwachten dat we morgen zullen weten wie erachter zit. Het is een heel complexe analyse die moet gebeuren." Mogelijk gaan we het nooit voor 100 procent zeker weten.

Haex zegt dat er verschillende motieven zijn waarom cybercriminelen dergelijke aanvallen uitvoeren. Groen-Kamerlid Wouter De Vriendt suggereerde dat China wel eens achter de aanval kon zitten. "Maar het is veel te vroeg om daar uitspraken over te doen", zegt Belnet-directeur Dirk Haex. "Het kunnen evengoed ontevreden studenten zijn die het beu zijn om digitaal les te volgen."

Dat het inderdaad ook gewoon studenten zouden kunnen zijn, zegt ook de Belgische ethische hacker Inti De Ceukelaire. "Je moet er heel veel computers voor activeren die het verkeer naar de geviseerde computersystemen sturen." 

"Vandaag kan je perfect op het internet voor een paar euro een paar duizend computers tegelijk naar een systeem richten. Dat kost je bijvoorbeeld vijf of tien euro. Je hebt daar eigenlijk zelfs geen technische kennis voor nodig." Experten zoals Baudewijns bevestigen dat, maar wijzen er wel op dat het hier gaat om een cyberaanval op grote schaal, en dat er dus wellicht meer aan de hand is.

Beluister het gesprek met ethische hacker Inti De Ceukelaire in "De wereld vandaag" op Radio 1 en lees verder onder audio: 

Volgens expert Tim Cools is de suggestie dat China wel eens achter de aanval zou kunnen zitten wat "vergezocht" op dit moment. De aanval doet wel denken aan wat er de voorbije maanden in andere landen gebeurd is. Zo werd eind maart het parlement in Australië aangevallen, samen met de tv-omroep Channel Nine. Omdat het land twee jaar eerder ook al werd aangevallen (net voor de verkiezingen) en de Australische inlichtingendienst na een onderzoek tot de conclusie kwam dat China achter deze aanval zat, werd ook nu in die richting gekeken. 

Eerder dit jaar werd ook India het slachtoffer van Chinese hackers die het elektriciteitsnetwerk waren binnengedrongen, en dichter bij huis werd ook het Finse parlement afgelopen herfst aangevallen. De Finse inlichtingendienst wees toen de Chinese hackersgroep APT31 aan als verantwoordelijke, die in opdracht van de Chinese overheid zou hebben gehandeld.

“Of deze aanval staatsgesponsord is, en of China hier bijvoorbeeld achter zit, dat kunnen we nu nog niet besluiten”, zegt VRT NWS expert Tom Van de Weghe. “Maar uitgerekend dinsdagmiddag was in de commissie Buitenlandse Zaken van de Kamer een zitting gepland over de behandeling van de Oeigoeren in China. We zien internationaal dat kritiek op China al eerder gelijkaardige aanvallen triggerde.”

China is er in elk geval zeer goed toe in staat, aldus Van de Weghe. “Er zijn weinig landen die zo goed zijn uitgerust als China. Cyberoorlogsvoering is ook een militaire strategie waar China steeds vaker op terugvalt, als deel van een grotere informatieoorlog. Precies omdat het zo moeilijk te achterhalen is wie erachter zit. Vaak gebruikt het land "onderaannemers" zoals APT31, die hun sporen goed kunnen uitwissen. De Chinese overheid zal trouwens staalhard ontkennen dat ze hier iets mee te maken heeft."

Bekijk hier het verslag van het "Laat journaal" met onze cyberexpert Bram Vandeputte en lees voort onder de video:

Ook Baudewijns kan de vraag naar de verantwoordelijke dader nog niet beantwoorden. "Je kunt dat niet op 24 uur bepalen, daar heb je maanden voor nodig. Maar we hebben een hele hoop ruwe data ter beschikking. We gaan die verder delen, zodat het Centrum voor Cybersecurity België de juiste analyse kan maken en verdere stappen kan ondernemen."

Dat in theorie zelfs een scholier achter de cyberaanval zou kunnen zitten, doet de vraag rijzen of Belnet voldoende heeft geïnvesteerd in veiligheid. "Op zoiets is niemand voorbereid. Het kan de beste overkomen", zegt ethisch hacker Inti De Ceukelaire. "Het is heel moeilijk om je daar volledig tegen te beschermen."

"Wanneer de ticketverkoop voor Tomorrowland start, moet de organisatie zeer veel geld investeren om ervoor te zorgen dat de website online blijft. Dat is voor een paar uur tijd. Als je als overheid constant voorbereid moet zijn, vraagt dat heel wat investeringen. Het kan zijn dat hier de grens overschreden is. Ik ben benieuwd welke veiligheidsmaatregelen genomen zijn om dit te voorkomen."

Een vraag voor Belnet-directeur Dirk Haex. "Wij investeren continu in cyberveiligheid. Wij hebben verschillende diensten om onze klanten te beschermen. Maar tegen een aanval van een dergelijke omvang is het heel moeilijk om in te grijpen", verdedigt hij zich. Ook Tim Cools, cybersecurity-consultant, denkt niet dat er te laks is omgesprongen met cyberveiligheid. "Deze aanval moet van een enorme orde zijn geweest", zegt Cools. 

Bekijk de uitleg van Belnet-directeur Dirk Haex in "Het Journaal" van gisterenavond: