De Russische cyberonderwereld is geen schimmige verzameling hackers zonder structuur, maar een complexe, onderling verbonden gemeenschap die een steeds grotere rol speelt op het wereldtoneel. Zo luidt een korte samenvatting van een rapport van Trend Micro op basis van onderzoek naar deze nog redelijk onbekende wereld.
Russische hackersbendes zijn bijna continu in het nieuws. Bij aanvallen op Europese of Amerikaanse organisaties worden zij bijvoorbeeld vaak verdacht als de aanstichter. Voornamelijk als het gaat om een aanval op kritieke infrastructuur. Maar ook als een land recentelijk steun heeft toegekend aan Oekraïne en kort daarna aanvallen plaatsvinden op overheidsinstellingen of op een goed presterend bedrijf uit datzelfde land.
Geopolitiek als brandstof
De link met het geopolitieke is sinds het conflict tussen Rusland en Oekraïne een drijfveer geworden voor Russische cybercriminelen. Dat gebeurt wel eens uit eigen wil, volgens de groepen om steun te geven aan het vaderland. Staats-gesponsorde groepen zijn er daarnaast ook voldoende te vinden.
Vaker dan eens is het voor onderzoekers die ingezet worden na een cyberincident gissen naar welke bende achter de aanvallen zit. Een vermoeden naar een Russische bende kan er dan op basis van de link met het geopolitieke bijvoorbeeld wel zijn. Niet alle aanvallen worden echter door een bende opgeëist. Over de bendes zelf zijn daarnaast ook vaak veel zaken niet geweten. Zij proberen hun werking dan ook zo geheim mogelijk te houden. Ze maken ten slotte wel deel uit van een crimineel circuit.
Onderzoekers bij Trend Micro hebben zich wel aan een poging gewaagd om het handelen van deze bendes beter in kaart te brengen. Specifiek bij de Russisch-sprekende cybercriminele organisaties.
Gesloten gemeenschap
Daar is het niet eenvoudig om lid van te worden. “Om deel te worden van de binnenste groep, waar bijvoorbeeld researchers binnen de hackergroep deel van zijn, moet eerst vertrouwen worden opgebouwd door social engineering-aanvallen uit te voeren op doelwitten”, vertelt Fyodor Yarochkin, medeauteur en Principal Threat Researcher bij Trend Micro.
Hoe het komt dat bij een aanval het zo lastig is om de dader aan te duiden, kan hij ook goed verklaren. Het grijze gebied tussen staatsgesteunde en puur criminele aanvallen is groot. Yarochkin: “Soms doet een Russische hacker zich voor als iemand van buiten Rusland, niet alleen om onder de radar te blijven, maar ook om betaald te worden. Veel landen mogen wettelijk geen geld overmaken naar Rusland, omdat het als een terroristische staat wordt aangemerkt.”
In het rapport wordt beschreven hoe nationale en criminele hackers elkaar beïnvloeden en zelfs samenwerken. “Voor sommige op de staat gerichte missies maakt het niet uit wie het fysiek heeft uitgevoerd – of het nu nationale actoren, hacktivisten of financieel gemotiveerde cybercriminelen zijn – zolang de resultaten de strategie van de staat ondersteunen.” Met andere woorden: staten maken steeds vaker gebruik van de infrastructuur en het vakmanschap van cybercriminelen om hun doelen te bereiken, zonder directe betrokkenheid.
‘Enorm gesofisticeerd’
In België en Nederland zijn het vaak DDoS-aanvallen die digitale onderbrekingen zichtbaar maken. Die veroorzaken verstoringen zonder directe financiële schade, maar dat maakt ze niet onschuldig. Vladimir Kropotov, eveneens Principal Threat Researcher en medeauteur van de onderoekspaper, stelt dat dergelijke aanvallen vaak eerder vallen onder hacktivisme dan onder cybercriminaliteit met malware. Toch kunnen ze strategisch ingezet worden – als test, afleiding of als instrument om chaos te veroorzaken.
Tip! Europese landen krijgen storm pro-Russisch hacktivisme op zich af
Een DDoS-aanval op een overheidswebsite of ziekenhuissysteem verstoort de dienstverlening, raakt burgers en leidt tot kostbare hersteloperaties. Zelfs zonder losgeld eisen deze aanvallen middelen en aandacht op die elders hard nodig zijn.
De cybercriminelen uit Rusland beperken zich zeker niet tot DDoS-aanvallen. Dit type aanval beschouwd men wel eens als een eenvoudige aanval waar niet veel middelen voor nodig zijn. Zo licht mag er zeker niet gedacht worden over de Russische bendes. Trend Micro beschrijft deze gemeenschap net met de kernwoorden ‘hoge maturiteit’ en ‘enorm gesofisticeerd’.
“De Russischtalige underground heeft een onderscheidende cultuur ontwikkeld die technische expertise van de elite combineert met strikte gedragscodes, reputatiegebaseerde vertrouwenssystemen en samenwerking die wedijvert met legitieme ondernemingen”, aldus Yarochkin. “Dit is niet zomaar een verzameling criminelen, het is een veerkrachtige, onderling verbonden gemeenschap die zich heeft aangepast aan de wereldwijde druk en de toekomst van cybercriminaliteit blijft vormgeven.”
In mei 2023 werden bijvoorbeeld 22 bedrijven in de Deense energiesector tegelijkertijd aangevallen. Deze gecoördineerde cyberaanvallen worden toegeschreven aan de Russische militaire inlichtingendienst GRU, specifiek de eenheid bekend als Sandworm. De aanvallers maakten gebruik van kwetsbaarheden in Zyxel-firewalls om binnen te dringen en voerden kwaadaardige code uit om de firewallconfiguraties te verkennen. Dit soort coördinatie vereist aanzienlijke planning en middelen, wat wijst op de betrokkenheid van een staatsactor.
Hoe kunnen Europese bedrijven zich beschermen?
Op basis van de bevindingen wil Trend Micro ervoor zorgen dat bedrijven zich beter kunnen voorbereiden. Er zijn Europese wetgevingen voor de kritieke infrastructuur, zoals de NIS2 die nog redelijk recent zijn geïntroduceerd. Maar zelden is het voldoende.
Lees ook: NIS2 leidt tot betere basishygiëne
Trend Micro adviseert een combinatie van drie componenten: toonaangevende beveiligingsplatforms, diepgaande dreigingsinformatie én menselijke expertise die inzicht biedt in strategische verschuivingen. Alleen zo kunnen bedrijven hun cyber risk exposure management (CREM) structureel verbeteren.
Ken je vijand
Het besluit van het rapport draait om het belang van het kennen van je vijand. “Het begrijpen van de vijand is het eerste deel van de verdediging tegen hen.” Trend Micro’s onderzoek maakt duidelijk dat Russische hackersgroepen niet alleen technisch onderlegd zijn, maar ook strategisch en georganiseerd te werk gaan. Of ze nu gemotiveerd worden door financiële winst, nationalistische drijfveren of beide – hun aanpak wordt steeds verfijnder. Inzicht in hun werking is dan ook de eerste stap naar een effectieve verdediging.