Een maand na een zware cyberaanval kampt het leger nog steeds met naweeën: ‘Dit ruikt naar Rusland’

Sinds dinsdag kunnen militairen opnieuw mailen met de buitenwereld. Een kleine maar symbolisch belangrijke stap voorwaarts in de schoonmaakactie waar de cyberspecialisten van het leger ondertussen al een maand mee bezig zijn. Dag in, dag uit. Duizenden offline gehaalde militaire servers moeten worden doorzocht, indien nodig opgekuist en weer opgestart.

Donderdag 16 december. Op het militair hoofdkwartier in Evere gaan de alarmbellen af. Het leger blijkt het slachtoffer van een cyberaanval. Hackers proberen via een gat in de beveiliging van de veelgebruikte software Log4j binnen te dringen. Het heeft er alle schijn van dat het de digitale inbrekers ook is gelukt. Om erger te voorkomen worden grote delen van het netwerk volledig platgelegd.

Over het wie, wat en waarom van de cyberaanval bestaat weken later nog altijd veel onduidelijkheid. In het federaal parlement eisen zowat alle partijen dat de zaak snel toegelicht wordt door de legerleiding, maar voorlopig moet die zich beperken tot ‘geen commentaar’. Het is afwachten.

Een bron binnen de militaire inlichtingendienst ADIV, die mee instaat voor de cyberverdediging van het land: “We zullen nog tot februari bezig zijn met de opkuis. De belangrijkste servers zijn weer online, maar lang niet allemaal. Zo werkt het hr-systeem nog niet. Tot de heropstart klaar is, kun je weinig zeggen. Ook al omdat we nog niet weten welke server als eerste is gehackt. Die geeft je informatie over het begin van de aanval.”

Opzichtig

De schade van de inbraak zelf lijkt relatief beperkt. Er zouden voorlopig maar een handvol besmette servers gevonden zijn. Onschuldige servers ook: die achter de websites van het leger en ADIV. Daar kan een hacker op het eerste gezicht niet veel mee qua spionage. Al lijkt dat ook niet het opzet te zijn geweest. Het gaat volgens de militaire geheime dienst eerder om ‘distortion’, het bewust in de soep laten draaien van een heel netwerk.

Een militaire bron met binnen- en buitenlandse ervaring in de cyberoorlog die al jarenlang achter onze schermen woedt: “Hackers die enkele dagen nadat publiek een waarschuwing uitgestuurd is over een veiligheidslek toch langs daar proberen binnen te dringen, zijn niet geïnteresseerd in spionage. Als je zo opzichtig te werk gaat, is dat om overlast te veroorzaken.”

Een andere mogelijkheid waar de krijgsmacht volgens cyberspecialisten maar beter rekening mee houdt, is dat de aanval via Log4j wordt gebruikt als rookscherm voor een andere, meer vernuftige aanval. Eentje waarvan hackers hopen dat die onopgemerkt blijft in de chaos. De ene bonkt op de voordeur terwijl de andere langs het kiepraampje binnenglipt, zeg maar.

Vertraging

Hoe dan ook moet het leger straks met een goede verklaring komen voor zijn schijnbaar slome reactie op het probleem met Log4j. Het Centrum voor Cybersecurity (CCB) stuurde al op maandag 13 december een waarschuwing uit over een “ernstige kwetsbaarheid” in de software. Dat was drie dagen voor de bewuste aanval. Is dat alarmsignaal niet of te laat opgepikt? Het lijkt erop. Al kan de uitleg ook zijn dat de hackers al ‘binnen’ waren en pas voluit ten aanval trokken zodra hun dekmantel weg was.

Eddy Willems, een gerenommeerd expert op het vlak van computerbeveiliging die voor het Duitse G Data werkt: “Die trage reactie is opmerkelijk. Al op vrijdag 10 december was in de cybergemeenschap bekend dat er een probleem van de hoogste orde was met Log4j. Een probleem van tien op een schaal van tien. In ons bedrijf is dat hele weekend doorgewerkt om het gat te dichten. Je verwacht dat een leger hetzelfde doet.”

Nog een vraag: wie zit hierachter? Wat we weten, is dat het lek in Log4j als eerste is ontdekt door cybercriminelen. Begin december is het daarna opgemerkt door een team van de Chinese onlinewinkel Alibaba. Waarop Apache, de ontwikkelaar van de software, in allerijl een oplossing heeft uitgedokterd.

Binnen ADIV is de hypothese dat het probleem eind vorig jaar ter ore is gekomen van staatshackers. De namen van Rusland, China, Iran en Noord-Korea duiken dan op. Er zijn internationaal al aanwijzingen dat Iran aartsrivaal Israël heeft aangevallen via Log4j. Ook Chinese hackers zouden erop gesprongen zijn.

In België wordt toch vooral naar Rusland gekeken. De bron binnen de militaire inlichtingendienst: “De Chinezen, die specialiseren zich in economische spionage. De Russen, die voeren een politieke oorlog online. Dit ruikt naar Rusland. Ook al gezien de oplopende geopolitieke spanningen rond Oekraïne.”

Cybermacht

Het is niet de eerste keer dat de Belgische overheid zwaar getroffen wordt door hackers. In 2015 werd het netwerk van Buitenlandse Zaken weken lamgelegd. Deze aanval doet opnieuw de vraag opborrelen of onze online verdedigingsmuren hoog genoeg zijn. Als thuishaven van de Europese instellingen en de NAVO vormt België een bijzonder aantrekkelijk doelwit.

In het verleden hebben het Centrum voor Cybersecurity en ADIV ervoor gepleit om een groter deel van de overheidscommunicatie via zwaar versleutelde netwerken te laten verlopen. Binnen de krijgsmacht is vandaag alleen de communicatie rond de eigen operaties hermetisch afgeschermd. Het leger bouwt ook al jaren aan een eigen ‘cybermacht’, maar dat werk verloopt traag.