‘Russische hackers trainen voor aanvallen op kritieke infrastructuur’

Vulkan Files Een klokkenluider lekte duizenden documenten die een uniek inkijkje geven in Russische cyberoorlogsplannen. Ze tonen onder meer aan dat kritieke infrastructuur in het buitenland nadrukkelijk een doelwit is.

Dat in de Russische cyberoorlog tegen Oekraïne veel is mislukt” moet volgens een expert niet leiden tot onderschatting.
Dat in de Russische cyberoorlog tegen Oekraïne veel is mislukt” moet volgens een expert niet leiden tot onderschatting.

Foto Yuri Kochetov/EPA

Aanvallen op kritieke infrastructuur, beïnvloedingscampagnes op sociale media en binnenlandse massasurveillance. Een groot pakket gelekte documenten van een Moskous computerbeveiligingsbedrijf met nauwe banden met de inlichtingendiensten geeft zicht op de aard en schaal van Russische cyberoperaties.

Een consortium van elf nieuwsorganisaties, waaronder Der Spiegel, The Guardian en onderzoekscollectief Paper Trail Media, kreeg ruim vijfduizend pagina’s aan documenten in handen, afkomstig van het Russische IT-bedrijf Vulkan, gevestigd in een buitenwijk van Moskou. Die zouden gelekt door een klokkenluider die het oneens is met de Russische oorlog in Oekraïne. Vulkan presenteert zich als een normaal commercieel beveiligingsbedrijf, met klanten als de Russische Sberbank, de Russische spoorwegen en luchtvaartmaatschappij Aeroflot. Maar uit de gelekte informatie blijkt dat het bedrijf ook al jaren werkt voor de binnenlandse veiligheidsdienst FSB en de militaire en buitenlandse inlichtingendiensten GROe en SVB.

Vulkan ontwikkelde voor, of in samenwerking met die diensten verschillende softwareprogramma’s die gebruikt kunnen worden bij cyberaanvallen. Zo is er het project Scan-V, waarmee softwaresystemen van potentiële doelwitten geautomatiseerd onderzocht kunnen worden op zwakke plekken, die hackers toegang kunnen verlenen. Mogelijk is die tool gebouwd voor de beruchte militaire hackersgroep Sandworm, die onder meer verantwoordelijk wordt gehouden voor geruchtmakende cyberaanvallen op de Oekraïense stroomvoorziening in 2015 en Russische pogingen de Amerikaanse verkiezingen van 2016 te beïnvloeden.

Crystal-2V is bedoeld om cyberaanvallen te simuleren op kritieke infrastructuur, zoals spoorwegen, vliegvelden, en electriciteitsnetwerken

Verontrustend is ook het systeem Crystal-2V. Dat is trainingssoftware, bedoeld om cyberaanvallen te simuleren op kritieke infrastructuur, zoals spoorwegen, vliegvelden, electriciteitsnetwerken en havens. Onder de gelekte documenten troffen journalisten van de aangesloten media onder meer een kaart aan met doelwitten in de Verenigde Staten en details over de kerncentrale Mühleberg, bij de Zwitserse hoofdstad Bern.

Massasurveillance

Een derde systeem dat Vulkan hielp ontwikkelen, Amezit, is bedoeld om massasurveillance van internet mogelijk te maken in Rusland en gebieden onder Russische controle. De binnenlandse veiligheidsdienst FSB zou daarmee op massale schaal de online activiteiten van burgers kunnen volgen en censureren. Ook bevat het systeem een module waarmee binnenlandse desinformatiecampagnes kunnen worden uitgevoerd op sociale media. Het was al langer bekend dat Russische hackers zich internationaal van zulke tactieken bedienden, bijvoorbeeld bij de beruchte ‘trollenfabriek’ Internet Research Agency in Sint-Petersburg, opgericht door Wagner-topman Jevgeni Prigozjin.

Het is onduidelijk of de Russen Amezit ook in Oekraïne hebben ingezet, maar dat is wel mogelijk: het internetverkeer in bezette delen van de regio Cherson onder Russische controle werd omgeleid via de in 2014 door Rusland geannexeerde Krim.

Volgens de onderzoekers opereerde Vulkan tot de Russische invasie voor de buitenwereld als een normaal beveiligingsbedrijf. Medewerkers bezochten bijvoorbeeld internationale cyberveiligheidsconferenties, en er werken oud-medewerkers bij westerse bedrijven, waaronder Amazon en Siemens. Het Duitse bedrijf liet vrijdag aan persbureau Reuters weten een onderzoek in te stellen.

Voorjaarsoffensief

Volgens Dave Maasland, topman van de Nederlandse tak van beveiligingsbedrijf ESET, bieden de documenten een uniek kijkje achter de schermen van de Russische cyberstrategie. Die wierp in de oorlog in Oekraïne nog weinig vruchten af, onder meer doordat de Russen onvoldoende capaciteit bleken te hebben om een verwoestende cyberoorlog lang vol te houden. „Dit lek laat zien dat ze die capaciteit in rap tempo willen uitbreiden, bijvoorbeeld door te bouwen aan de mogelijkheid om geautomatiseerd doelwitten binnen te dringen.”


Lees ook Zelfs Rusland houdt grote cyberaanvallen maar eventjes vol

Dat in de Russische cyberoorlog tegen Oekraïne „heel veel is mislukt” moet volgens Maasland dan ook niet leiden tot onderschatting. De Russen zijn blijkens de documenten vol ambities. „Ze huren goede mensen in.”

De uitgelekte documenten bewijzen volgens Maasland dat Rusland „erop uit is om vitale infrastructuur aan te vallen”. De trainingstool bevat „gedetailleerde plannen om treinen te laten botsen of het luchtverkeer over te nemen.”

Eerder deze maand waarschuwde softwarebedrijf Microsoft voor een Russisch digitaal voorjaarsoffensief tegen Oekraïne en zijn bondgenoten. Volgens een rapport van het bedrijf zouden hackers in de afgelopen maanden hebben geprobeerd toegang te krijgen tot systemen van onder meer IT-bedrijven, financiële instellingen, media en humanitaire hulporganisaties in en buiten Oekraïne.