Websites van de Europese Investeringsbank (EIB) waren maandagavond offline door cyberaanvallen. De aanval werd via Telegram geclaimd door KillNet. De hackersgroep is het beeld van een oorlog die ook digitaal plaatsvindt.
De Europese Investeringsbank deelde gisteren in een Tweet slachtoffer te zijn van een cyberaanval. Hierdoor waren de websites eib.org en eif.org ontoegankelijk.
Hoewel de EIB nog niet wil speculeren over de dader, claimde onder andere KillNet al verantwoordelijkheid via een Telegram-bericht. De hackersgroep bedreigde midden vorige week de Europese bankensector met desastreuze cyberaanvallen. Het is daarom voor de hand liggend dat KillNet het probleem veroorzaakte of medeverantwoordelijk is.
Oorlogskind
Een officiële ontstaansgeschiedenis van een hackersgroep is niet snel te vinden, maar er wordt gedacht dat KillNet zich vormde rond maart 2022. De oprichting heeft alles te maken met de oorlog tussen Rusland en Oekraïne, waarbij KillNet vanuit een pro-Russische gedachtegang de Russische staat helpt met het voeren van een digitale oorlog.
In de video die vorige week verspreid werd, deden ze een oproep naar andere hackersgroepen om het Europese bankensysteem onderuit te halen. “Geen geld, geen wapens, geen regering in Kiev”, klonk het dreigement. Die insteek moest hackersgroepen van over de hele wereld overtuigen om mee te doen aan wat ze zelf ‘het project’ noemen. “Niets zal jullie redden en dit is geen waarschuwing. Ik informeer jullie alleen maar. Je hebt nog nooit eerder zulke problemen gezien”, sloot de gemaskerde man zijn boodschap af. Ondertussen knippert nog een aantal keer de naam KillNet over het beeld.
Mocht KillNet werkelijk de Europese bankensector op zijn knieën krijgen, gaat het om de grootste actie die het heeft ondernomen sinds zijn ontstaan. De hackersgroep specialiseerde zich hiervoor in DDoS-aanvallen gericht op bedrijven en overheidsinstellingen die steun uiten voor Oekraïne. De cyberaanval maakt internetpagina’s ontoegankelijk door een bombardement aan HTTP-verzoeken. Het is waarschijnlijk dat dit type aanval de websites van de EIB onbereikbaar maakte.
Oude bekende
In de video was niet alleen KillNet aan het woord. De hackersgroep vond blijkbaar al aansluiting bij een ander bekend pro-Russisch hackerscollectief: REvil. Zij blijken een nieuwe doorstart te maken, nadat de Russische inlichtingendienst begin vorig jaar meldde het collectief volledig te hebben opgerold door arrestaties.
“Als God over Rusland regeert, wie regeert er dan over Europa? Dat klopt, het bankensysteem”, gaat hun boodschap gericht aan de Europese bankensector van start. “Geen geld, geen problemen. REvil is voldoende vertrouwd met de Europese financiële structuur. Tot snel.”
De REvil die we horen spreken, kan bestaan uit leden die in 2022 nog een kleinere positie in de groep innamen. Het ledenbestand zal daarnaast verder aangedikt zijn, want enkele maanden na de arrestaties dook er online al een blogpagina op die leden rekruteerde.
Als we in de video werkelijk iemand van REvil horen spreken, is de werkwijze van de hackersgroep samen met de ledenwissel op de schop gegaan. In de jaren dat ze actief waren, kondigde zij nooit een cyberaanval aan. Hun handelsmerk draait verder om de verspreiding van ransomware, dat al meer geavanceerde hackers vereist dan een in principe eenvoudige DDoS-aanval.
Als hacker kom je niet zomaar binnen in de digitale muren van een financiële instelling. Deze worden voortdurend bewaakt met de best verkrijgbare beveiligingsmechanismen en gemonitord door gespecialiseerd personeel. Volgens de financiële situatie van 31 december 2022 stond het balanstotaal van de EIB op meer dan 500 miljard euro. Een berg geld dus, waar je mensen met kwade bedoelingen ver van uit de buurt wil houden.
Darknet Parliament
Laatste partij die paraat staat is Anonymous Sudan. Zij openen de video en benoemen zich als een “directe bedreiging aan alle Europese banken.” De hackersgroep wist eerder al een DDoS-aanval met succes te lanceren op de online diensten van Microsoft. De Windows-bedenker verwijst zelf naar de groep met de benaming Storm-1359.
De drie groepen samen noemen zichzelf de Darknet Parliament. Voor de publieke communicatie neemt voorlopig KillNet het voortouw. Zij geven aan de Europese systemen voor bankoverschrijvingen IBAN, WIRE, SWIFT en WISE als doelwit te hebben. In het Darknet Parliament zit voornamelijk kennis over het uitoefenen van een DDoS-aanval. Deze aanval veroorzaakte waarschijnlijk de storing bij de websites van de EIB, al lijkt het onwaarschijnlijk dat daar interne systemen door zijn geraakt. Aanwijzingen voor een ransomware-aanval zijn er momenteel niet. Bij de EIB blijft het overigens erg stil, buiten het bericht op Twitter is er geen informatie publiekelijk bekendgemaakt. Daar brengt de instelling waarschijnlijk verandering in als de aanval is opgelost en een onderzoek wordt gestart.
KillNet representeert dat de oorlog tussen Rusland en Oekraïne niet alleen op de grond wordt uitgevochten. Het wil overheidsinstellingen en bedrijven afstraffen voor hun steun aan Oekraïne en lijkt het deze keer groots te willen aanpakken. Al moeten we nog met enige voorzichtigheid zeggen dat de hackersgroep nu daad bij het woord voegt.