Amerikanen en Britten gooiden Russische staatshackers uit netwerk

Amerikaanse en Britse overheidsdiensten hebben in maart in alle stilte voorkomen dat Russische staatshackers een grote cyberaanval konden uitvoeren. Duizenden computersystemen waren besmet, klaar om over te nemen en te gebruiken, maar de operatie verbrak de verbinding tussen Rusland en de zogenoemde bots. Daardoor kon Rusland ze niet inzetten.

De actie is uitgevoerd met goedkeuring van een rechter, maakt het Amerikaanse ministerie van Justitie bekend.

Een dag voor de Russische invasie van Oekraïne hadden de Verenigde Staten en Groot-Brittannië al gewaarschuwd dat Rusland een nieuw en gevaarlijk digitaal wapen had. Dat wordt Cyclops Blink genoemd. De schadelijke software kaapte apparaten die computernetwerken moeten beveiligen. Via die apparaten kregen de hackers toegang tot de netwerken. Ze konden zo opdrachten voor aanvallen doorsturen.

Uitzonderlijke stap

Na de waarschuwing stuurden de fabrikanten WatchGuard en ASUS software-updates om Cyclops Blink te verwijderen. Veel gebruikers voerden de updates door, maar lang niet iedereen deed dat en daardoor bleven de meeste apparaten besmet. Daarom mochten de Verenigde Staten en Groot-Brittannië in alle stilte de niet-gerepareerde apparaten opschonen, buiten de gebruikers om. De schadelijke software werd verwijderd en de instellingen werden aangepast om toegang te voorkomen. Dat is een uitzonderlijke stap.

Cyclops Blink is voorlopig tandeloos. De systemen zelf zijn nog wel besmet, maar Rusland zou daar op dit moment niets mee kunnen. Het Amerikaanse ministerie van Justitie roept gebruikers die dat nog niet hebben gedaan wel op om de software op hun beveiligingsapparaten te updaten, om te voorkomen dat Rusland de systemen alsnog kan kapen.

De systemen zouden zijn besmet door een hackersgroep die Sandworm of Voodoo Bear wordt genoemd. De hackers zouden in dienst zijn van de Russische militaire inlichtingendienst GROe. Sandworm wordt onder meer verantwoordelijk gehouden voor de gijzelsoftware NotPetya. Die trof in 2017 Oekraïense bedrijven, maar de infectie verspreidde zich naar andere landen. Twee containerterminals in de haven van Rotterdam lagen daardoor ook plat. In december 2015 zou Sandworm delen van het Oekraïense elektriciteitsnet hebben platgelegd met een cyberaanval. Honderdduizenden mensen zaten daardoor urenlang zonder stroom.

(kg)

Meer