Zo probeerden Russische militaire hackers de communicatie in Oekraïne te ontregelen

De digitale aanval op een Oekraïens ministerie begint met een gerichte e-mail aan een ambtenaar, ergens in het najaar van 2021. Er staat iets in over de budgetten van overheidsfunctionarissen. De hoop is dat de ambtenaar op de bijlage klikt. De persoon die het document opent, ziet niets verdachts: gewone tekst. Maar op de achtergrond is een link naar een malafide website verstopt. Het is een Word- of Excel-document met zogeheten template injection.

Het is het begin van een alarmerende actie van Ruslands militaire hackers, die de intenties van Moskou duidelijk maakt lang voordat het eerste schot zal worden gelost: Oekraïne digitaal in een aantal stappen kapotmaken om de invasie te bespoedigen.

Nederlandse beveiligingsexperts van beveiligingsplatform Trellix zagen het gebeuren bij het Oekraïense ministerie. Ze laten zien hoe de hackers van de Russische militaire dienst GROe te werk gaan. Het ministerie is een klant van Trellix, en daarom wil hoofd onderzoek Christiaan Beek niet zeggen om welk ministerie het gaat. “Laat ik het zo zeggen, ik begrijp waarom een staat in dit specifieke ministerie is geïnteresseerd. Het heeft contacten met belangrijke andere ministeries.”

Bestandje

De eerste mail is niets bijzonders, zo gaan staatshackers overal ter wereld te werk. Via de link komt een bestandje binnen dat naar het geheugen van de pc gaat. Het is de eerste fase van de hack, het verzamelen van informatie op het gehackte systeem: waar ben ik, hoe ziet het netwerk eruit, welke harde schijven zijn aangesloten, welke gebruikersnamen zie ik. “Toen deze eerste fase succesvol was, werden meer programma’s geïnstalleerd”, zegt Beek, die de software bestudeerde.

De malware van Fancy Bear, zoals de Russische militaire hackers heten, communiceert met de aanvalscomputer die gewoon in de cloud van Microsoft staat. Veel overheidsorganisaties draaien op grote cloudservers, zoals OneDrive van Microsoft. Staatshackers maken daar gebruik van. Door hun aanvalsinfrastructuur daar ook te plaatsen, komen ze vertrouwenwekkend over. De verbindingen van de malware naar Onedrive vallen niet zomaar op.

De Russische hackers gaan nu naar de volgende fase. Ze installeren twee programma’s die commando’s kunnen uitvoeren en het netwerk kunnen verkennen, de programma’s Empire en SharpHound, voor iedereen beschikbare opensourcesoftware die een netwerk in kaart brengt. De hackers werken voorzichtig. Na elke stap controleren ze de communicatie met de geïnfecteerde computer. Is die er nog? Is de malware ontdekt of hebben ze nog steeds toegang tot het ministerie?

Gevoelige documenten

De hackers hebben nu zicht op het netwerk van een Oekraïens ministerie. Ze zoeken naar de meest waardevolle informatie: de gegevens van de belangrijkste ambtenaren, de back-upsystemen, archieven, gevoelige documenten. Een paar weken lang zitten ze in het systeem. Gewone spionage, zoals zoveel hackgroepen dat doen.

Dan, half januari 2022, verandert hun gedrag. “Ineens zagen we dat er destructieve malware werd uitgerold”, zegt Christiaan Beek. Hackgroepen blijven vaak ongezien in een netwerk. Ze halen er documenten uit of vertrekken weer in stilte. De Russische hackers doen iets anders, waardoor ze hun aanwezigheid verraden: ze lanceren kwaadaardige software. 

De Master Boot Record, die het opstarten van de computer regelt, wordt overschreven met een valse waarschuwing. Na het aanzetten van de computer verschijnt op het scherm de volgende tekst: “De harde schijf is beschadigd. Als je bestanden wilt herstellen moet je 10.000 dollar betalen.” Beek: “Maar die waarschuwing is vals. Er is geen mogelijkheid om bestanden te herstellen.” In deze tweede fase van de hack worden aanwezige bestanden overschreven met een willekeurige code.

Alarmbellen

De software van Trellix herkent de kwaadaardige intenties van de malware en stopt de aanval. “Als je sabotagesoftware inzet, vallen systemen om en gaan de alarmbellen af”, zegt Beek. “Dan word je als het goed is meteen buitengesloten en heb je geen toegang meer.”

Het Oekraïense ministerie is niet het enige slachtoffer, blijkt uit een analyse van Microsoft. “Ons onderzoeksteam heeft malware geïdentificeerd op tientallen getroffen systemen”, schrijft Microsoft op 15 januari. “Deze systemen omvatten verschillende overheden, non-profit- en technologie organisaties, allemaal in Oekraïne.”

Eén dag voor de Russische invasie van Oekraïne keren de militaire hackers terug. Het is een aanwijzing dat de acties van de hackers nauw verbonden zijn aan die van de machthebbers in het Kremlin. Een paar uur later begint de invasie. Wederom proberen de hackers Oekraïense systemen kapot te maken, ditmaal met sabotagesoftware HermeticWiper. 

Wipers

Het is een destructief virus dat data overschrijft en computers kapotmaakt. In de Russische malware vinden onderzoekers van beveiligingsbedrijf ESET bewijs dat deze software eind december 2021 is geschreven. Wederom een aanwijzing dat de plannen voor de invasie al langer klaarlagen.

Christiaan Beek: “In de jaren dat ik in het vak zit werden wipers ingezet om een politiek statement te maken. In de aanloop naar de invasie hebben de hackers de ministeries proberen te ontregelen zodat de communicatie in Oekraïne minder goed verloopt.”

Angst aanjagen, je macht laten gelden. Als voorbode van wat komen gaat. Beek heeft, net als andere securityspecialisten, inmiddels het contact verloren met de meeste klanten in Oekraïne. De helft van de bedrijven is nu dicht, schat hij. “Het land is aan het overleven en niet meer bezig met de beveiliging van netwerken.”