Hoe Russische hackers nu ook Duitse verkiezingen willen beïnvloeden

© iStock
Kamiel Vermeylen

Tijdens de afgelopen verkiezingscampagne in Frankrijk en de VS verschenen plots gestolen documenten op het internet die de uitkomst van de stembusgang trachtten te beïnvloeden. Ook in Duitsland vrezen ze voor een zelfde scenario bij de komende verkiezingen. Wie zit er achter deze diefstal, en hoe gaan ze te werk? En kan dit ook in België gebeuren?

Tijdens de afgelopen verkiezingen in de Verenigde Staten en Frankrijk, doken er plotsklaps vertrouwde documenten op die het imago van enkele kandidaten trachtten te beschadigen. Een succesvolle tactiek, zo weet ook voormalig Amerikaans presidentskandidate Hillary Clinton. Zij zag haar populariteit kelderen nadat Wikileaks en DCleaks allerlei gestolen interne documenten op het internet openbaarden. Uit deze documenten bleek onder meer dat ze toespraken voor grootbanken had gegeven tegen riante betaling, ondanks het feit dat ze zich profileerde als de kandidate die komaf zou maken met het establishment. Nadat haar gooi naar het Amerikaans presidentschap tevergeefs bleek, wees Clinton met beschuldigende vinger naar de hackers die haar enorme reputatieschade hadden berokkend.

Ook kersvers Frans President Emmanuel Macron werd slachtoffer van een cyberaanval. Aan de vooravond van de verkiezingen publiceerde het profiel emleaks allerlei documenten van de entourage van Macron op de website Pastebin.com. Niet alleen kwamen deze publicaties te laat om Macron nog van de overwinning te houden, het digitale team van de Franse president wist de hackers te misleiden met valse paswoorden en documenten.Zowel Clinton als Macron beschuldigden Rusland van de cyberaanvallen. Moskou wil de verkiezingscampagne beïnvloeden om er zelf voordeel uit te halen, klonk het eendrachtig.

De Russische beer?

Dat deze documenten net tijdens de verkiezingscampagne opduiken, is natuurlijk geen toeval. Deze doelbewuste reputatieschade, ook wel Black PR genoemd, is op korte tijd een vaak gebruikte strategie geworden om de uitkomst van een vredevolle democratische overgang naar iemands hand te zetten.

Bij zulke cyberaanvallen keert steeds dezelfde naam terug: APT28, ook wel bekend als Fancybear of Sofacy group, lijkt in opdracht van de Russische overheid te werken. Een recent rapport van de Amerikaanse cybersecurityfirma CrowdStrike stelt dat het hackerscollectief door middel van cyberaanvallen ook Oekraïense artillerie uitschakelt en hoogstwaarschijnlijk samenwerkt met de Russische overheid.

Een ander rapport van Google van 2014 stelt onderaan pagina 20 eveneens dat de hackers sporen hebben achtergelaten die duidelijk in de richting van Rusland wijzen. Bovendien is het artikel getiteld met de titel ‘peeling into the aquarium’, wat een impliciete verwijzing is naar de bijnaam van het gebouwencomplex ten noordwesten van Moskou van waaruit de Russische militaire inlichtingendienst GRU opereert.

Om toegang krijgen tot vertrouwelijke gegevens gebruikt FancyBear vaak dezelfde beproefde techniek. Nadat ze een of meerdere doelwitten hebben geïdentificeerd, gaan ze onder meer op sociale media op zoek naar alle mogelijke informatie over de personen in kwestie. Aan de hand van deze informatie sturen ze een e-mail die de interesse moet wekken van de ontvanger. De afzender van die e-mail lijkt een vertrouwd persoon of instelling, wat het erg moeilijk maakt om zulke e-mails op voorhand te herkennen.

De e-mail bevat altijd een link naar een ogenschijnlijk betrouwbare website, maar in werkelijkheid is het een nagebootste versie van het origineel. Wanneer het slachtoffer op deze link klikt, is de besmetting van het toestel een feit, vaak zonder dat iemand het goed en wel beseft. Vanaf dan hebben de daders vrij spel, en kunnen ze op zoek naar interessant informatie zoals geheime documenten, bankgegevens en andere data. Een methode die in het Engels toepasselijk spearphishing (speervissen, nl.) wordt genoemd.

Chaos in het Duitse parlement

Dat is net wat er gebeurde in het Duitse parlement op 29 april 2015. Die dag ontvingen tal van Duitse parlementsleden een e-mailbericht dat ogenschijnlijk afkomstig was van de Verenigde Naties. De titel van de e-mail klonk ‘Het Oekraïense conflict met Rusland ruïneert de economie’, met een link die de gebruiker naar een nieuwsbericht op de website van de Verenigde Naties leek te brengen. Een niet toevallig gekozen titel, want dezelfde dag berichtten andere media, waaronder The Telegraph, een artikel met exact dezelfde kop.

Het euvel werd pas twee weken later ontdekt, wanneer Claudia Haydt, een politica van de partij Die Linke, in een brief naar een Franse vriend het accent aigu op de ‘é’ niet meer kon typen op haar toetsenbord. Dat schrijft het Duitse weekblad Die Zeit in een beklijvende reconstructie. Nadat een van de IT-experten het programma opnieuw had geïnstalleerd en het euvel nog niet verholpen was, werd duidelijk dat er iets niet klopte. Nochtans waren er tijdens de besmetting 210 technici aan het werk, maar die hadden niet in de gaten. Wat volgde was een dagenlange strijd om de schadelijke software, ook wel malware genoemd, uit het computersysteem te krijgen. Uiteindelijk werd het hele netwerk opnieuw opgebouwd en de veiligheidsmaatregelen werden verstrengd.

Ook bij deze hack wijzen alle signalen in de richting van Moskou. De hoeveelheid data die de hackers konden bemachtigen was zo groot dat ze een speciale verbindingen via de gewone Cloud moesten aanleggen. Hierdoor werd de verbinding voor de specialisten plots zichtbaar. De datastroom vloeide naar het … noordoosten van Moskou.

In totaal werden 16 computers van Duitse parlementsleden met zekerheid geïnfecteerd. Enkelen van hen zetelden in verscheidene comités waar ze in contact kwamen met gevoelige informatie. De SPD-afgevaardigde Bettina Hagedorn (SPD) zit bijvoorbeeld in het commissie die de financiën van de Duitse geheime dienst bepaalt. Dat is een van de weinige diensten in het doorgaans transparante systeem dat valt onder de ‘geheimhoudingsbehoeftige aangelegenheden’, en dus niet zomaar toegankelijk is. Ook vicevoorzitter van het parlement, Johannes Singhammer (CSU), was een van de slachtoffers.

#Bundestagleaks?

Voorlopig is nog onduidelijk welke informatie precies werd gestolen. In Duitsland wordt wel gevreesd dat deze informatie tijdens de verkiezingscampagne zal worden gepubliceerd om het democratisch proces te verstoren. Op Facebook werd al op 14 april 2014 de pagina BT Leaks aangemaakt, wat lijkt te staan voor ‘Bundestag Leaks’. De omslagfoto toont de Bondsdag met daarvoor de Romeinse godin Justitia, die het recht personifieert. Daarnaast staat de tekst ‘the truth will be revealed’. Bovendien heeft er iemand de domein btleaks.com geregistreerd, al is er op die website nog geen informatie te vinden.

In wiens voordeel zulke gepubliceerde documenten zullen uitdraaien, is moeilijk op voorhand met zekerheid te voorspellen. Doel van zulke publicaties is vaak om de gevestigde partijen in diskrediet te brengen, wat automatisch in het voordeel speelt van anderen.Wel is geweten dat een aantal figuren uit het extreemrechtse Alternative für Deutschland (AfD) zich expliciet afkeert van de Verenigde Staten en openlijk dweept met Rusland. Onder andere lijsttrekker voor de verkiezingen Alexander Gauland pleit voor het opheffen van de sancties tegen Rusland en keurde eerder de annexatie van de Krim goed. Ook partijvoorzitter Frauke Petry ging op visite bij de nationalistische voorzitter van de Doema.

Duitsland in de tegenaanval

De cyberaanval op de Bondsdag is geen alleenstaand feit in Duitsland. In de eerste zes maanden van 2016 werden er door de beveiligingssystemen maandelijks gemiddeld 44.000 schadelijke e-mails geblokkeerd uit het computernetwerk van de regeringsnetwerken, zo blijkt uit het jaarlijkse rapport van het Bundesamt der Sicherheit in der Informationstechnik. En ook de privésector moet het ontzien. Volgens de voorzitter van de Duitse binnenlandse veiligheidsdienst Hans Georg Maaßen verliest die ongeveer 50 miljard dollar per jaar door cyberaanvallen.

Ondertussen reageert Duitsland adequaat op het toenemende aantal cyberaanvallen. Sinds het begin van dit jaar is Duitsland bezig om een nieuwe eenheid uit te bouwen die zich louter met cybersecurity bezighoudt. Deze eenheid moet tegen 2021 volledig operationeel zijn en zal 13.500 ‘cybersoldaten’ tellen.

Bovendien gaat Duitsland ook in de tegenaanval tegen fake news. Ook dat wordt gebruikt als strategie om een vredevolle democratische overgang te sturen. Volgens Rob Bertholee, hoofd van de Nederlandse geheime dienst, hebben de Russen ook geprobeerd om de Nederlandse kiezers te beïnvloeden met nieuws dat niet strookte met de realiteit. Daarom komt het Duitse parlement aanstaande vrijdag samen om te stemmen over de Netzwerkdurchsetzungsgesetz. Die wet eist dat sociale netwerken veel kordater optreden tegen nepnieuws. De wet is erg omstreden bij onze oosterburen aangezien de informatie-oorlog tussen Oost- en West-Duitsland tijdens de koude oorlog nog vers in het geheugen zit.

Wat met België?

Kunnen hackers ook in ons land het verkiezingsproces verstoren? “We sluiten dat zeker niet uit”, zegt directeur van het Centrum voor Cybersecurity België Miguel de Bruycker. We gaan politici op de hoogte brengen van een aantal basismaatregelen die ze moeten nemen om niet in een cybervalkuil te trappen. Bovendien gaan we duidelijk aangeven met wie ze contact moeten opnemen indien er zich een probleem voordoet.”

Uit een rapport dat het internetbeveiligingsbedrijf Rapid7 vorig jaar publiceerde, bleek België het slechtst beveiligde land op gebied van cybersecurity. “We hebben een aantal noodzakelijke maatregelen genomen die zwakheden in het systeem moeten tegengaan. Deze zomer komt er een nieuw rapport van Rapid7, en ik ben benieuwd waar we ditmaal zullen staan. Er zijn natuurlijk voortdurend aanvallen op overheidsdiensten, maar het is moeilijk te zeggen uit welke hoek ze komen. Momenteel zijn er echter nog geen grote infecties vastgesteld’, zegt de Bruycker.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content