Russische hackers leggen Nederlandse provinciewebsites plat

De ddos-aanval die de websites van provincies Noord-Brabant, Groningen, Noord-Holland en Overijssel maandag goeddeels onbereikbaar maakte, zou een vergelding zijn voor nieuwe steunbeloften aan Oekraïne. ‘Terwijl Nederland vliegtuigen overdraagt aan Oekraïne, sturen wij onze ddos-groeten’, schreef de hackersgroep op Telegram op het moment dat de aanval in volle gang was.

Investico verschafte zich toegang tot die Telegramgroep waarin dagelijks cyberaanvallen op westerse websites worden opgeëist. Het hackerscollectief, voluit ‘NoName057(16)’, begon toen Rusland Oekraïne binnenviel in 2022. Naar eigen zeggen werd het opgericht om aanvallen uit te voeren op ‘Oekraïense propagandamedia’. Inmiddels verlegt het zijn acties ook naar Navolanden, waaronder Nederland. Dat doet de groep met zogenoemde ddos-aanvallen: gecoördineerde acties waarbij honderden computers tegelijkertijd een website bestoken met verzoeken, zodat deze overbelast raakt en voor gewone gebruikers onbereikbaar wordt.

“Om half acht in de ochtend merkten we dat de website eruit lag”, vertelt woordvoerder Bob Bakker van de provincie Noord-Holland over de aanval. “Dit duurde tot ongeveer vijf uur ’s middags. Onze interne systemen werkten wel, maar inwoners konden bijvoorbeeld geen subsidie aanvragen.” Groningen laat weten dat ddos-aanvallen bijna dagelijks voorkomen, maar dat deze meestal afgeslagen wordt door zijn zogenoemde ‘ddos-wasstraat’. Dit keer kwam er echter zóveel ongewenst bezoek naar de provinciewebsite toe, dat die maatregelen niet afdoende waren. Datzelfde geldt voor Noord-Brabant, dat nu extra stappen overweegt om herhaling te voorkomen.

Overigens is een ddos-aanval iets anders dan een hack: de aanvallers komen de systemen niet binnen en richten daar dus ook geen schade aan.

63 cyberaanvallen

NoName claimde afgelopen jaar 63 cyberaanvallen op essentiële dienstverleners in Nederland, blijkt uit een analyse door Investico en De Groene Amsterdammer, mede voor Trouw, van alle Telegram-berichten van NoName. Eerder belaagde het bijvoorbeeld de Belastingdienst, het vliegveld Maastricht-Aachen, ov-chipkaart en verschillende Nederlandse havens. De groep reageert steeds expliciet op ‘anti-Russische acties’ van het Westen. Toen Nederland afgelopen zomer bekendmaakte Leopard-1-tanks voor Oekraïne aan te schaffen, werden de websites van de Rotterdamse en Amsterdamse haven aangevallen. Tijdens een bezoek van de Oekraïense president Volodymyr Zelensky aan Nederland, tijdens dodenherdenking, werd de website van de Staten-Generaal platgelegd. Ook elders in Europa ontkwamen banken, overheidsinstanties en andere vitale organisaties niet aan ddos-aanvallen van de hackgroep.

De impact van ddos-aanvallen kan heel groot zijn, met uren- tot dagenlange storingen als gevolg, terwijl de aanvallen zelf heel eenvoudig uit te voeren zijn. “Daar heb je geen trollenleger of steun van Poetin voor nodig”, zegt cybersecurity-expert Bert Hubert. Hij noemt de hackerswereld een soort ‘spiegelpaleis’, vol fluïditeit en valse opeisingen – waarin nauwelijks te verifiëren is wie er precies achter zo’n aanval schuilgaat. “Die aanvallen vinden plaats via duizenden, zo niet miljoenen apparaten: computers, printers, deurbellen, die vaak gehackt zijn.”

Ddos-aanvallen hebben ingrijpende gevolgen voor organisaties, die vaak geen andere keuze hebben dan dure commerciële diensten in te schakelen die gespecialiseerd zijn in het opvangen van deze ongewenste verkeersstromen. Vanwege de kosten van vaak duizenden euro’s per maand zijn organisaties terughoudend om preventieve maatregelen te nemen, totdat ze daadwerkelijk doelwit worden.

‘Kinderlijk eenvoudig om te pareren’

Met maatregelen is het volgens VVD-Europarlementariër Bart Groothuis, voorheen hoofd cybersecurity bij Defensie, ‘kinderlijk eenvoudig’ om het merendeel van de ddos-aanvallen te pareren. Hij is kritisch op de kwetsbaarheden van sommige overheidswebsites. “Anno 2024 moet je dit echt goed ingericht hebben.”

Groothuis werkte afgelopen jaren als rapporteur mee aan een nieuwe Europese richtlijn (NIS2), die erop moet toezien dat bedrijven in kritieke sectoren als energie en gezondheidszorg, evenals overheidsinstellingen, hun beveiliging op orde hebben. Organisaties die daar niet voldoende in slagen, kunnen daar vanaf oktober voor beboet worden. Hoe dat er precies uit gaat zien is nog niet duidelijk: momenteel debatteert Den Haag over hoe die richtlijn omgezet wordt in nationale wetgeving.

Lees ook:

‘Ook Nederland is kwetsbaar voor een cyberoorlog’

Een oorlog die je niet kunt zien en die over alle grenzen heen gaat, maar waar zelden over wordt gepraat. In de documentaire Niemand die het ziet zien we hoe het eraan toegaat aan de digitale frontlinie.