Cisco Talos brengt cyberoorlog tegen Oekraïne in kaart

Al sinds 2014, maar zeker na de Russische invasie van Oekraïne op 24 februari 2022 is Oekraïne het slachtoffer van cyberaanvallen op ongekende schaal, merkt Cisco Talos (de Threat Intelligence organisatie van Cisco) op in het 2022 Year in Review-rapport. Het rapport gaat in detail in op hoe het digitale slagveld eruitziet na een oorlog die nu bijna een jaar duurt. De oorlogen van vandaag worden namelijk niet alleen op traditionele slagvelden uitgevochten maar ook in cyberspace.

Hoewel de aanvallers een gemeenschappelijk doelwit hebben, zijn er ook aanzienlijke verschillen. Van herhaalde geavanceerde aanvallen op kritieke infrastructuur of militaire doelen om de defensie- en bevoorradingscapaciteiten van Oekraïne rechtstreeks te beïnvloeden, tot opportunistische fraudeurs die individuele burgers van Oekraïne uitbuiten door geld te ontnemen of rekeninggegevens te stelen.

Onder de serieuzere bedreigingen wijst Cisco Talos op de hackersgroep Gamaredon, die in het rapport wordt geïdentificeerd als gesponsord door de Russische staat en die zich richt op informatiediefstal bij bijvoorbeeld defensie, het diplomatieke corps en de politie.

Tijdens de eerste maanden van de oorlog daalde het aantal cyberaanvallen in de rest van de wereld aanzienlijk, blijkt uit gegevens van de incidentrespons van het bedrijf. Pas in juli 2022 bereikt het aantal cyberaanvallen wereldweer weer een "normaal" niveau.

"Hoewel het onmogelijk is om een definitieve reden vast te stellen, denken we dat de oorlog waarschijnlijk een sleutelrol heeft gespeeld. Veel dreigingsactoren leken hun focus te hebben verlegd naar pro-Russische of pro-Oekraïense acties. Die beoordeling wordt ook ondersteund door de verscheidenheid aan dreigingsactoren en de toegenomen activiteit die we in de regio zien", schrijven de auteurs van het rapport. “Ook zien we dat Chinese groepen (MustangPanda) de oorlog als onderwerp gebruiken in phishing campagnes richting Europese en Russische organisaties.”

Een uitzondering vormen systematische DDoS-aanvallen om landen en bedrijven te "straffen" die steun betuigen aan Oekraïne, het land steunen met wapens of sancties opleggen tegen Rusland. Een voorbeeld is de groep Killnet, die spraakmakende aanvallen uitvoerde in een aantal landen, waaronder Litouwen, in verband met de beperking van het goederenvervoer over de grens met Rusland. Ook hebben Noorwegen en de VS te maken gehad met grootschalige aanvallen die aan Killnet worden toegeschreven.

De oorlog heeft ook bijgedragen aan verdeeldheid en interne conflicten in cybercriminele groeperingen. Zo spraken de cybercriminelen achter de Conti ransomware zich uit over de Russische invasie, wat ertoe leidde dat Oekraïense sympathisanten binnen de groep informatie lekten over hun aanpak en ook hadden verschillende ransomware-groepen in augustus en september 2022 te maken met uitgebreide DDoS-aanvallen, waardoor ze minder goed in staat waren om zelf aanvallen uit te voeren.

Zolang de oorlog voortduurt, zal de cyberoorlog dat ook doen - en net zoals de cyberaanvallen lang voor de invasie begonnen, zal de digitale strijd in de nabije toekomst voortduren. "Het verhoogde risico van cyberdreigingen zal waarschijnlijk blijven bestaan na een mogelijk staakt-het-vuren op het fysieke slagveld", aldus de auteurs van het rapport.

De voortdurende steun aan Oekraïne was het afgelopen jaar een belangrijk aandachtspunt voor Cisco Talos.

Een team van 45 Threat Hunters, ondersteunde Oekraïne bij het monitoren van 30.000 endpoints, bij 30 infra- en overheidspartijen en deelde informatie, verdedigingsmogelijkheden en strategieën voor het aanpakken van mogelijke cyberaanvallen.