Tijdens EDSD 2023 presenteerde Robert Lipovsky een diepgaande analyse van Russische cyberaanvallen op Oekraïne. Zijn verhaal laat zien hoe digitale oorlogsvoering evolueert, welke lessen we daaruit kunnen trekken en waarom preventie, detectie en internationale samenwerking cruciaal zijn.
📌 Belangrijkste inzichten in 1 minuut:
-
Russische APT-groepen blijven Oekraïne gericht aanvallen met wipers en spionagesoftware.
-
Wipers zijn eenvoudiger geworden, maar nog altijd gevaarlijk — focus op vroege detectie is essentieel.
-
Spearphishing en het misbruiken van legitieme tools blijven populaire aanvalstechnieken.
-
Cyberweerbaarheid vraagt continue inzet, ook buiten conflictgebieden.
Wipers als strategisch cyberwapen
Lipovsky’s presentatie toont hoe Sandworm, een Russische APT-groep gelinkt aan de GRU, sinds de invasie meer dan twintig unieke wipers heeft ingezet. Deze wipers zijn ontworpen om zoveel mogelijk digitale schade aan te richten, vaak vermomd als ransomware. Een opvallende verschuiving is het gebruik van legitieme software — zoals WinRAR of Microsoft’s SDelete — voor destructieve doeleinden.
Spionage door volume: Gamaredon
Gamaredon, gelinkt aan de FSB, kiest voor een brute-force aanpak: dagelijks nieuwe varianten, weinig subtiliteit, maar veel activiteit. Via spearphishing met gecompromitteerde accounts verspreiden ze malware gericht op het stelen van data uit o.a. Signal, Telegram en militaire webplatforms. Het doelwit blijft Oekraïne, maar ook NAVO-landen worden vaker geraakt.
Sednit: oud, actief en effectief
Sednit (Fancy Bear), ook afkomstig uit de GRU-hoek, focust vooral op spearphishingcampagnes. In 2023 misbruikten ze kwetsbaarheden in Roundcube, WinRAR en Outlook om toegang te krijgen tot e-mails van overheidsorganisaties in onder andere Oekraïne, Polen en de Baltische staten. Hun werkwijze is klassiek maar effectief — en blijft een dreiging.
De kracht van vroege detectie
Een terugkerende boodschap: veel aanvallen hadden voorkomen kunnen worden met betere basismaatregelen. Patchmanagement, multifactorauthenticatie en training tegen phishing blijven essentieel. Daarnaast is monitoring van laterale beweging en domeinrechten cruciaal om wipers vroeg te stoppen.
Adaptief verdedigen met slimme tooling
Aanvallers maken steeds vaker gebruik van eenvoudige, algemeen beschikbare tools. Voor verdedigers betekent dit een verschuiving: van alleen perimeterbescherming naar actief dreigingsjagen binnen het netwerk. Lipovsky pleit voor inzet van XDR-oplossingen en hoogwaardige threat intelligence om nieuwe patronen vroegtijdig te herkennen en te blokkeren.