Zitten er echt Russen achter de cyberaanvallen?

raster poetinBeeld ANP

Russische hackersgroepen zijn inmiddels befaamd. Toch blijft het lastig aan te tonen dat het daadwerkelijk de Russen zijn die achter de recente cyberaanvallen zitten.

Ze zijn geboren in St. Petersburg of Moskou, Letland of Moldavië, en ook als ze al sinds jaar en dag in de Verenigde Staten of Australië wonen, hebben ze Russisch klinkende namen. Dat veel en misschien zelfs de meerderheid van de cybercriminelen in de wereld hun wortels hebben in de voormalige Sovjet-Unie lijdt geen twijfel. Dat was al het geval lang voor in Washington alarm werd geslagen over Russische inmenging in het Amerikaanse verkiezingsproces.

Sindsdien heeft iedereen de mond vol van hackersgroepen die worden aangeduid met namen als Cozy Bear en Fancy Bear, die in opdracht van de Russische veiligheidsdiensten herhaaldelijk aanvallen zouden uitvoeren in diverse landen. Ook Nederland, Duitsland en Frankrijk maken zich zorgen in het licht van de aankomende verkiezingen. De Franse presidentskandidaat Emmanuel Macron zegt al doelwit te zijn van Russische hackers. Hun reputatie is inmiddels alleszins vergelijkbaar met die van de Russische maffia in de jaren negentig. Het Amerikaanse internetsecuritybedrijf FireEye noemde Rusland daarom enkele jaren geleden niet voor niets al ‘een fantoom in cyberspace’.

Russisch of Russisch-sprekend

“De samenleving is vooral wakker geschrokken na die recente gebeurtenissen. Maar ook daarvoor waren Russische hackers al bedreiging nummer één”, zegt cybercrimespecialist Dmitri Volkov. “De grootste spammers waren Russische staatsburgers of mensen die Russisch spraken, de ontwikkelaars van programma’s die waren bedoeld om geld te stelen van cliënten van banken spraken ook Russisch, net als de auteurs van programma’s die zijn bedoeld om computers van individuele gebruikers binnen te dringen en die door veel hackers in de hele wereld worden gebruikt.”

Volgens Volkov concluderen westerse specialisten wel al te makkelijk dat het om Russen gaat, zodra ze zien dat er Russisch wordt gebruikt. “We moeten begrijpen dat Russisch de tweede taal is op het internet. En dat betekent dat hackers afkomstig kunnen zijn uit Rusland, maar ook bijvoorbeeld uit Kazachstan of de Baltische staten, waar veel mensen Russisch spreken en waar daadwerkelijk hackers zitten. Van welk land ze staatsburger zijn is moeilijk te zeggen, maar hun permanente verblijfplaats is niet altijd Rusland. Daarom hebben wij het altijd over Russisch-sprekende hackers en niet over Russische hackers, zoals onze westerse collega’s.”

Geen politiek

Volkov is medeoprichter van Group-IB, een bedrijf dat is gespecialiseerd in de opsporing van computercriminelen. Het idee ervoor ontsproot in 2004 aan het brein van de Moskouse student informatieveiligheid Ilja Satsjkov, die Volkov en nog enkele medestudenten enthousiast kreeg. “In Rusland hield niemand zich daarmee bezig”, aldus Volkov, die ondanks zijn status binnen het bedrijf casual en studentikoos oogt. “We begonnen met ons vieren, eerst hielpen we vooral bekenden, via via kregen we meer bekendheid. We combineerden het werk met onze studie. In 2007 en 2008 kregen steeds meer Rusissche banken te maken met cyberaanvallen. Die waren daar niet op voorbereid en ze riepen onze hulp in. Aanvankelijk hadden we geen concurrentie.”

Tegenwoordig opereren Volkov en zijn collega’s vanaf twee etages van een weinig opvallend kantoorgebouw in een oude industriewijk van Moskou. Niets wat erop wijst dat hier de gezworen vijand zetelt van talloze internetcriminelen, die het bloed van de veelal nog piepjonge specialisten wel kunnen drinken. Group-IB telt inmiddels 160 zorgvuldig uitgekozen en opgeleide krachten en heeft niet alleen klanten in Rusland, maar ook ver daarbuiten, tot in de Verenigde Staten en Australië toe. Bij de opsporing van cybercriminelen werkt het bedrijf samen met Europol en Interpol en in eigen land met de politie en veiligheidsdiensten. “Over politiek praten we niet”, waarschuwt Volkov.

Vrije uitwisseling van kennis

Dat een groot deel van de computercriminaliteit een Russisch tintje heeft wekt geen verbazing, zelfs al deed het internet in Rusland betrekkelijk laat zijn intrede in vergelijking met West-Europa of de Verenigde Staten. “De belangrijkste factor die daarin een rol speelde is de vrije uitwisseling van kennis op het Russische internet”, legt Volkov uit. “Na de eeuwwisseling ontstonden er op het internet speciale fora van hackers, waar mensen openlijk informatie uitwisselden over hoe je bepaalde aanvallen moest uitvoeren. Daar werd bijvoorbeeld besproken hoe je het beveiligingssysteem van een grote Amerikaanse bank moest omzeilen en hoe je veilig je geld kon cashen zonder te worden betrapt.”

Velen weten meer dan één, was het idee achter de fora. “Er werden diensten aangeboden van hacker tot hacker, want er is geen enkele ‘universele’ hacker die alles kan. De één hield zich bezig met het ontwikkelen van schadelijke programma’s, een ander richtte zich op de verspreiding daarvan, weer iemand hield toezicht op het netwerk of het kraken van antivrusprogramma’s. Er waren mensen die zich specialiseerden in het innen van gestolen geld, of in het verzamelen en verkopen van persoonsgegevens waarmee je nog meer geld kon stelen.”

Niet in eigen land

Dat alles gebeurde in betrekkelijke openheid. Vaak was een simpele registratie voldoende om toegang te krijgen tot de vergaarde kennis over internetcriminaliteit. Er was een besef van straffeloosheid, met dien verstande dat er volgens Volkov één gouden regel was: alleen banken of bedrijven aanvallen over de grens, niet in het land waar je woont. Daarin kwam aan het eind van het decennium verandering, toen ook klanten van Russische banken het doelwit werden.

“Die criminelen waren ervan overtuigd dat ze niet konden worden gepakt”, zegt Volkov. “Inderdaad werden in die tijd de organisatoren van dat soort schema’s nooit gearresteerd, dat overkwam alleen mensen die probeerden het geld te cashen, dat was dus de laatste schakel van die hele keten. Daarbij kwam dat grote winsten de risico’s rechtvaardigden. Een gewone Rus moest in die tijd één of twee jaar werken om een miljoen roebel bij elkaar te sparen, maar zo’n internetcrimineel kon zijn eerste miljoen al meteen op de eerste dag verdienen. De verleiding was heel groot. Dat begon te veranderen na 2011, toen wij gingen samenwerken met grote banken en met de politie, wat leidde tot de aanhouding en de berechting van organisatoren en daarmee tot een vermindering van het aantal aanvallen op Russische banken. Want als je de organisator hebt, stort die hele piramide in.”

Politiek tintje

In dezelfde tijd dat Russische criminelen meer en meer in eigen land actief werden, groeide het aantal internetmisdrijven over de grens die niet economisch maar politiek gemotiveerd waren. Daar zouden al dan niet door de Russische staat gesponsorde hackers bij betrokken zijn. In 2007 werden servers van de regering van Estland aangevallen, na een conflict tussen Estland en Rusland over de verplaatsing van een Russisch oorlogsmonument in de Estse hoofdstad Tallinn. In 2008, rondom de vijfdaagse Russisch-Georgische oorlog, was Georgië het doelwit van een cyberaanval. Er waren ook aanvallen op het Amerikaanse ministerie van Defensie en op sites van de Poolse en Hongaarse overheid.

Meer recent waren er aanvallen op doelen in Oekraïne en Duitsland, die voor een deel zijn geclaimd door een groep die zich CyberBerkoet noemt, een verwijzing naar de Oekraïense oproerpolitie Berkoet die in 2012 met demonstranten een veldslag leverde in de straten van Kiev. Volgens de Finse cybercrime-expert Mikko Hyppönen leiden de sporen van die pro-Russische groep naar Oekraïens grondgebied. Sommige van deze groepen kunnen in opdracht opereren, andere ‘hacktivisten’ doen dat mogelijk uit eigen beweging.

Harde bewijzen ontbreken

Het Amerikaanse bedrijf FireEye onderzocht in 2014 aanvallen die worden toegeschreven aan een hackersgroep die de naam APT28 kreeg. Dezelfde groep kreeg vorig jaar, na de aanval op de servers van de Amerikaanse Democratische Conventie van het beveiligingsbedrijf CrowdStrike de naam Fancy Bear, waarbij ‘bear’ verwijst naar Rusland. FireEye concludeerde, net als CrowdStrike later, dat APT28 opereerde in opdracht van Rusland. De hackers gebruikten de Russische taal en ze waren vooral actief tijdens de werkuren van de Europees-Russische tijdzone.

Hardere bewijzen ontbreken vooralsnog, en dat kan best nog lang zo blijven, gelooft Andrej Soldatov, een kenner van de Russische veiligheidsdiensten en auteur van het boek ‘Het Rode Web’, over hoe de Russische staat de vrijheid op internet steeds verder aan banden legt. “Het probleem is dat je er absoluut zeker van kan zijn dat een concrete aanval is uitgevoerd in het belang van een staat, maar je kunt geen bewijzen vinden die de directe betrokkenheid van staatsstructuren in die aanval aantonen”, zei Soldatov tegen Radio Liberty, nadat de Amerikaanse president Obama extra sancties tegen Rusland had afgekondigd in verband met de recente cyberaanvallen. Ook blijft het mogelijk dat niet alle informatie wordt vrijgegeven, om niet te onthullen hoe bijvoorbeeld de Amerikaanse inlichtingendienst aan bepaalde informatie komt.

Dmitri Volkov beaamt dat. “Er wordt gezegd dat Rusland of andere landen achter deze of gene aanval zit. Maar helaas worden er maar heel zelden data gepubliceerd die bevestigen dat een land bij een aanval is betrokken. Ik ben een technisch specialist, in die rapporten zoek ik altijd naar informatie die ik zelf in mijn werk kan gebruiken. Maar heel vaak wordt dat soort informatie niet gepubliceerd en het is onduidelijk waarom. Er wordt wel gezegd wie erachter zit, welk schadelijk programma er is gebruikt, maar nadere gegevens die bijvoorbeeld de gebruikte server identificeren ontbreken. Terwijl dat nuttig zou zijn voor specialisten overal ter wereld.”

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden