Russische cyberdreiging neemt toe in Oekraïne en Europa, nieuwe destructieve campagne in de maak

Gepubliceerd op 23 maart 2023 om 15:00

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑

Russische cyberaanvallen met een destructief karakter zijn in intensiteit wisselend en worden vaak met succes afgeweerd. De meeste door het Kremlin gesteunde propagandacampagnes gericht op Oekraïne hebben weinig impact gehad, wat de beperkingen van de Russische invloed aantoont wanneer deze wordt geconfronteerd met een veerkrachtige Oekraïense bevolking. Russische staat-gerelateerde cyber- en invloedactoren zijn echter niet ontmoedigd en blijven zoeken naar alternatieve strategieën binnen en buiten Oekraïne.

IRIDIUM bereidt destructieve campagne voor tegen Oekraïne en partners

Sinds januari 2023 heeft Microsoft waargenomen dat Russische cyberdreigingsactiviteit zich aanpast om de destructieve en inlichtingenverzamelingscapaciteit op Oekraïne en haar partners te vergroten, zowel op civiel als militair gebied. IRIDIUM, ook bekend als Sandworm en toegeschreven aan de Russische militaire inlichtingendienst (GRU), lijkt zich voor te bereiden op een vernieuwde destructieve campagne, vergelijkbaar met de eerdere golf van Foxblade en Caddywiper malware-inzet tegen Oekraïense overheids- en mediaorganisaties in de beginfase van de oorlog. Eind 2022 testte deze dreigingsactor mogelijk aanvullende ransomware-achtige capaciteiten die gebruikt kunnen worden in destructieve aanvallen op organisaties buiten Oekraïne die cruciale functies vervullen in de Oekraïense bevoorradingslijnen. De Prestige ransomware-operatie tegen een Pools bedrijf in 2022 is een voorbeeld van dergelijke aanvallen.

Microsoft-onderzoeken hebben aangetoond dat cyberdreigingsactoren met bekende of vermoedelijke banden met de GRU, Russische Buitenlandse Inlichtingendienst (SVR) en Russische Federale Veiligheidsdienst (FSB) geprobeerd hebben om toegang te krijgen tot overheids- en defensiegerelateerde organisaties in Centraal- en Oost-Europa en Amerika. Tussen januari en half februari 2023 hebben Microsoft-dreigingsinlichtingenanalisten aanwijzingen gevonden van Russische dreigingsactiviteit tegen organisaties in ten minste 17 Europese landen, met de overheidssector als belangrijkste doelwit. Hoewel deze acties hoogstwaarschijnlijk bedoeld zijn om inlichtingen te verzamelen over organisaties die politieke en materiële steun verlenen aan Oekraïne, zouden ze ook destructieve operaties kunnen ondersteunen als dat wordt bevolen.

Doelsectoren buiten Oekraïne sinds februari 2022

Russische propagandamachine richt zich op Oekraïense vluchtelingen en zaait angst voor invasie in Moldavië, aldus autoriteiten en experts

Ondertussen richt de propagandamachine van Moskou zich op Oekraïense vluchtelingen en bevolkingen in landen die Oekraïne helpen en wakkert de angst aan dat Moldavië het volgende doelwit is voor een Russische invasie. Vanaf januari 2023 richtte een Russische propagandacampagne zich op de Oekraïense diaspora in de Europese Unie (EU) en het Verenigd Koninkrijk (VK) met beweringen dat Oekraïense vluchtelingen in het buitenland zouden worden uitgeleverd en gedwongen gerekruteerd in de Oekraïense strijdkrachten. In medio februari beschuldigden Moldavische en Oekraïense autoriteiten Rusland van het beramen van een staatsgreep. Rond die tijd hield de pro-Russische Shor-partij in Moldavië protesten om Chisinau onder druk te zetten om de winterse energierekeningen voor alle burgers te betalen, in lijn met de Kremlin-inspanningen om buren en Europese staten onder druk te zetten via gelijktijdige energietekorten en berichten die aandringen op diplomatieke verzoening met Rusland. Eerder in het jaar claimde de pro-Russische hacktivistische groep KillNet aanvallen op Moldavische overheidswebsites, terwijl verschillende Moldavische politieke figuren het doelwit waren van een hack-en-leak-campagne, versterkt door Russische staatsmedia genaamd "Moldova Leaks".

Russische cyberdreigings- en invloedsactoren richtten een groot deel van hun operationele capaciteit op het behalen van een snelle overwinning in Oekraïne, in overeenstemming met de waarde die het Russische militaire denken hecht aan hoge impact aan het begin van een oorlog. Wellicht anticiperend op een snelle en beslissende overwinning, hielden vroege Russische cyberaanvallen geen rekening met de snelle reactie van Oekraïense netwerkverdedigers en de internationale technologiegemeenschap om kwaadaardige activiteiten te identificeren en te mitigeren.

Russische dreigingsactoren zetten tientallen wiper-families en ransomware in

In januari 2022 zette de Russische militaire actor DEV-0586 de WhisperGate-wiper in tegen enkele Oekraïense organisaties. Sindsdien hebben Russische dreigingsactoren ten minste negen nieuwe wiper-families en twee soorten ransomware ingezet tegen meer dan 100 Oekraïense organisaties. Honderden systemen binnen de Oekraïense overheid, vitale infrastructuur, media en commerciële sectoren zijn getroffen door wipers die bestanden permanent verwijderen en/of machines onbruikbaar maken. De meeste van deze aanvallen vielen echter samen met de Russische invasie in februari en maart 2022. Dreigingsactoren die verbonden zijn met de Russische GRU - met name IRIDIUM - zijn niet teruggekeerd naar de grootschalige inzet van destructieve wipers zoals waargenomen in de eerste 30 dagen van de oorlog. Actieve incidentrespons en informatie-uitwisseling tussen Oekraïense en geallieerde netwerkverdedigers hebben vrijwel zeker destructieve inspanningen verstoord en kunnen dreigingsactoren ertoe aanzetten nieuwe en diverse malware-families te ontwikkelen en in te zetten. De pieken en dalen van de inzet en de periodieke introductie van nieuwe wipers of varianten wijzen op een voortdurende reactieve ontwikwikkeling van destructieve capaciteit in plaats van een diep reservoir van destructieve hulpmiddelen.

Russische invloedsactoren proberen sociale media te overspoelen met informatieoffensief en valse vlag provocaties

Russische invloedsactoren probeerden sociale mediaplatforms te overspoelen met een informatieoffensief voorafgaand aan de grootschalige invasie. Russische staatsgelieerde boodschappers probeerden Oekraïners te ontmenselijken door te pleiten voor de "denazificatie" van het land en de schuld te verschuiven naar de VS, met beweringen dat Amerikaanse biolaboratoria biowapens creëerden in Oekraïne. Tegelijkertijd probeerde het Kremlin valse vlag provocaties op te zetten, zoals plannen om een "zeer grafische" nepvideo te verspreiden om een voorwendsel voor invasie te creëren. Het Russische propagandasysteem bestaat uit zowel erfenis- als post-invasie propagandaelementen, die in de loop van de oorlog in belang zijn toegenomen en afgenomen. Het erfenis-ecosysteem heeft vier hoofdcategorieën: 1) de zogenaamde "vijfde colonne" van het Kremlin in Oekraïne, 2) media van de zelfverklaarde Volksrepublieken Donetsk (DNR) en Loehansk (LNR), 3) Russische inlichtingenmedia en 4) beïnvloeders en oorlogscorrespondenten, voornamelijk in Oost-Oekraïne.

Ruslands propaganda-ecosysteem gericht op Oekraïne

Na de invasie verschenen "gelokaliseerde" nieuwswebsites, pas gelanceerde mediakanalen en georganiseerde groepen, waarvan sommige gelieerd waren aan prominente invloedagenten, die Kremlin-gealigneerde verhalen verspreidden. Voorafgaand aan de Russische invasie in 2022 werd het Oekraïense medialandschap sterk beïnvloed door grote pro-Russische Oekraïense figuren, die algemeen bekend staan als de "vijfde colonne" van het Kremlin.

Oekraïense en westerse weerstand weerhouden Russische invloedspogingen

Russische invloedspogingen in de weken voorafgaand aan de invasie en de vroege dagen van de oorlog hadden grotendeels weinig effect op Oekraïense en westerse doelgroepen, ondermijnd door de proactieve vrijgave van inlichtingen. Bijkomende uitdagingen beperkten de impact van het Kremlin toen de tanks de grens overstaken en bemoeilijkten het vermogen van Rusland om westerse doelgroepen online te bereiken, met technologie- en sociale mediabedrijven die veel Kremlin-geaffilieerde accounts verwijderden. RT America, dat kantoren had in New York, Miami, Los Angeles en Washington, DC, sloot zijn deuren. Onderzoeksgroepen en mediakanalen weerlegden verhalen die probeerden Oekraïne de schuld te geven van Russische aanvallen, zoals de bombardementen op een ziekenhuis in Mariupol en het bloedbad in Boecha in maart 2022.

A Year Of Russian Hybrid Warfare In Ukraine MS Threat Intelligence 1
PDF – 8,6 MB 252 downloads

Bron: anoniem, microsoft.com

Meer info over de cyberoorlog 

Meer cyberoorlog nieuws