De aanval heeft erg veel weg van een zogeheten DNS amplification DDoS aanval, zo vertelt cybersecurity-expert Rickey Gevers: ‘De aanvallers misbruiken servers die in Nederland staan. Vanuit het perspectief van de slachtoffers komt er dus heel veel internetverkeer vanuit Nederland.’
Specifieker: de aanvallen komen uit het zogeheten Mirai-botnet. 'Dat is een botnet dat Internet of Things-apparaten gebruikt. Denk aan webcams of koelkasten die verbonden zijn met het internet. De command-and-control-server, die alle apparaten aanstuurt en de aanval dus coördineert, staat dus in Nederland', stelt Gevers.
Nederland is volgens Gevers niet het enige land waarvandaan de aanval op Oekraïense ministeries, staatsbanken, private banken en Diia (digitaal ID-applicatie) plaatsvond. ‘De aanvallers misbruikten eerst servers in Rusland en China.’ Ook werden landen als Tsjechië en Oezbekistan genoemd. 'Zeer krachtige aanvallen die we hebben afgeslagen', zo meldt de Oekraïense minister van Digitale Transformatie Michaelo Fedorov op Telegram.
Kamervragen
D66-Kamerlid Alexander Hammelburg gaat de minister van Defensie en de staatssecretaris Digitalisering Kamervragen stellen naar aanleiding van de berichtgeving. Zo wil Hammelburg onder meer weten wat de minister hiervan wist, om wat voor soort aanval het gaat en welke risico's Nederland loopt wanneer cyberaanvallen via Nederlandse servers verlopen.
'Er zijn vaker cyberaanvallen geweest op Oekraïne, en we weten dat het ook wel eens via andere landen liep, maar ik hoorde vanochtend voor het eerst over dit geval', aldus Hammelburg. 'Daarom stelde ik de vragen, maar ik maak me er ontzettend veel zorgen over. Het gaat niet alleen over de nationale veiligheid en de soevereiniteit van Oekraïne, maar ook over die van Nederland en heel veel andere landen.'
Kamervragen D66 over cyberaanval #Oekraine via Nederland @Ahammelburg @BNR pic.twitter.com/ogmmE1TLib
— Sophie van Leeuwen (@sophievleeuwen) February 16, 2022
Wel nuanceert Hammelburg de rol van Nederland in de cyberaanval. 'De vraag in deze is meer in hoeverre kunnen we en hebben we er controle over. Het is niet zo dat Nederland bewust bijdraagt aan de cyberaanvallen, dit komt door het online gebruik van servers die op Nederlands grondgebied staan. Overigens ook in China, Rusland, Oezbekistan en Tsjechië in dit geval. Dus wat kúnnen we eraan doen dat dit soort aanvallen direct worden gestopt? Ook in gezamenlijkheid met Europese partners en bondgenoten, want dit zijn geen aanvallen van troepen die aan één kant van de grens staan die beantwoord kunnen worden met troepen die aan de andere kant die grens staan. Dit kan op ieder willekeurig moment vanuit alle kanten van de wereld op ons af komen, en daar moeten we klaar voor zijn.'
'Aanvallen aan de lopende band'
Eerder dinsdagavond trok de oprichter van één van de getroffen banken, Oleg Gorochovskij, aan de bel op Facebook. 'Onze bank, en vele anderen, zijn aangevallen, met verschillende uitkomsten. We ontvangen aan de lopende band aanvallen uit Nederland.' Gorochovskij is eigenaar van mobile-only-bank Monobank.
Cybersecurityconsultant Lada Roslycky van Black Trident sluit een bewuste link met Nederland niet uit. 'Jullie hebben onlangs cybersteun aangeboden. Het zou kunnen dat hieraan gerefereerd wordt.' Twee weken terug boden premier Mark Rutte en minister van Buitenlandse Zaken Wopke Hoekstra nog hun digitale steun over aan de Oekraïense president Volodymyr Zelenski.
Tegelijkertijd is dat volgens Gevers absoluut niet hard te maken. 'Dit lijkt op een ‘normale’ DDoS-aanval. Eén die zowel voor landen als helaas ook voor kids bereikbaar is. En we kunnen niet zien waar deze ‘pakketjes’ echt vandaan komen.'
Luister ook | Havens steeds vaker slachtoffer van cyberaanvallen
Kinderlijk eenvoudig?
Wat volgens Gevers echter niet in het voordeel van een tiener spreekt, is een aanvullend bericht van de Oekraïense cyberpolitie. Oekraïners kregen sms'jes over geldautomaten die buiten werking zouden zijn. Maar: dat was niet waar. 'Dat is wel bijzonder, want dat duidt op desinformatie. En een desinformatieaanval in combinatie met een DDoS-aanval zie ik een tiener niet snel doen.'
In de loop van dinsdagavond leken alle Oekraïense websites en apps van banken en de Oekraïense overheid weer naar behoren te functioneren.
Ongekende aanval
Oekraïne heeft gezegd dat ze de aanval goed hebben kunnen afweren, maar ik denk dat nog niet alles hierover bekend is, zegt BNR-verslaggever Geert Jan Hahn. 'Ze noemen het zelf een ongekende aanval. Met name de intensiteit waarop de aanvallen hebben plaatsgevonden, dus het was vrij heftig. Ze weten nog niet echt wat de schade is.'
Hahn vervolgt: 'Wat ze ook niet weten is of het een natie of een agressor is geweest. Of gewoon een kind, want zo'n aanval kan ook kinderspel zijn.'
Dat Nederland cybersteun heeft aangeboden, ligt volgens Hahn nu vrij gevoelig. ‘De afgelopen acht of negen dagen is er ook vrij weinig naar buiten gekomen over die cybersteun. We weten dat we iets hebben aangeboden, maar journalist Huib Modderkolk liet vorige week ook al weten dat het misschien gaat om één of twee Nederlandse personen met een cybertoolbox, en dat is het dan. Er is niemand die het eigenlijk weet. Ik snap dat het ironisch overkomt, maar we weten nu niet of Nederland in een kwaad daglicht wordt gesteld of dat we een van de vele landen zijn die misbruikt wordt voor deze aanvallen', aldus Hahn.