De bewijzen

Tom Finney van SecureWorks liet in het interview weten dat verschillende zaken er keer op keer voor zorgden dat Iron Twilight kon worden verbonden aan deze hacks. Om te beginnen het gebruik van de Bit.ly urls die steeds door dezelfde gebruikersaccount werden aangemaakt, om deze vervolgens te gebruiken in de gerichte e-mails om de slachtoffers te laten inloggen op valse inlogpagina’s. De command en control servers die voor de malware werden gebruikt waren vaak hetzelfde, ook de domeinnamen die door de hackersgroep worden ingezet, werden meer dan eens gebruikt, waardoor verschillende aanvallen aan de hackersgroep waren te linken. In de broncode van de gebruikte malware is verder Russische tekst gevonden en zijn er documenten ontwikkeld in de tijdzone van Moskou. Ook werd er gebruikgemaakt van geavanceerde malware die nog niet eerder was gezien, waardoor deze ook niet is opgemerkt door beveiligingssoftware.

Het ene bewijs is sterker dan het andere zegt Finney. Wat duidelijk is, is dat het om één en dezelfde hackersgroep gaat en als je dan alle doelwitten naast elkaar zet, dan is er eigenlijk geen twijfel meer. De Amerikaanse verkiezingen zijn natuurlijk voor meer partijen interessant, dat zouden ook bijvoorbeeld de Chinezen of misschien wel de Noord-Koreanen kunnen zijn, maar doordat het steeds dezelfde hackersgroep is, kan je zaken uitsluiten. De Chinezen en Noord-Koreanen hebben weinig op met Oekraïne of Georgië. Of wat te denken van MH17 of de Russische sporters. Dat is voor hen veel minder belangrijk, voor de Russen daarentegen zijn het allemaal zaken die er toe doen.

Rusland is niet de enige

De Russen gebruiken hun hackersteam dus volgens Finney zeer regelmatig om inlichtingen te verzamelen en om eventueel gegevens uit te laten lekken, wanneer ze denken dat het in hun voordeel is. Maar hoe zit het met de andere landen, de Russen zijn ongetwijfeld niet de enige die hacken.

Finney zegt hierover dat elke overheid die zich maar een beetje bezighoudt met cyberintelligence wel hackers in dienst heeft die inlichtingen verzamelen. Veel landen kiezen er echter voor om het op een veel kleinere schaal toe te passen, waardoor de kans dat een beveiligingsbedrijf erachter komt of het hackersteam op het spoor komt een stuk kleiner is. In juni 2010 werd echter ook Stuxnet ontdekt, malware die was ontwikkeld om de centrifuges in een Iraanse kerncentrale om zeep te helpen. Daarin zou het ook zijn geslaagd en hierdoor liep het Iraanse kernprogramma jaren vertraging op. Deze malware was ook zeer geavanceerd en nooit eerder aangetroffen. Wie deze malware uiteindelijk heeft ontwikkeld is nooit duidelijk geworden, al wordt er afwisselend naar Israël en de Verenigde Staten gewezen. Volgens de New York Times zou president Obama in 2010 de opdracht hebben gegeven om Stuxnet daadwerkelijk in te zetten.

Cyberoorlog heeft een toekomst

Tot op heden lijkt het erop dat we kunnen stellen dat veel van deze politiek gemotiveerde hacks geen mensenlevens hebben gekost, al is dat natuurlijk niet met zekerheid te stellen. Op zich is dat ook niet het doel van deze hacks. Het is echter wel iets wat in de toekomst ongetwijfeld nog gaat gebeuren. Dat er in de toekomst een cyberoorlog gaat plaatsvinden die mogelijk meer slachtoffers gaat eisen lijkt onoverkomelijk. De hackactiviteiten van veel landen zijn de afgelopen jaren fors opgevoerd. Nu verschillende beveiligingsbedrijven, waaronder SecureWorks, dit Russische elite hackersteam hebben blootgesteld, gaan de Russen ongetwijfeld hun procedures en methodes herzien, om weer onzichtbaar te werk te kunnen gaan.

Ook door andere landen zullen de Russische methoden worden bestudeerd, om niet dezelfde fouten te maken. Het enige wat wij als gebruikers kunnen doen, is investeren in betere beveiliging. Goede beveiligingssoftware en goede routers met dito firewalls. Het wachten is tot de Next Gen-firewall ook voor consumenten beschikbaar komt. Voor beveiligingsbedrijven is er de komende jaren in ieder geval nog genoeg werk.

Table of contents