De rol van het darkweb in de Russische cyberoorlogsvoering

Het darkweb als speelveld voor hybride cyberoorlogsvoering

Het darkweb speelt een sleutelrol in de hybride cyberoorlogsvoering van Rusland, waar het als platform dient voor zowel statelijke groepen als perifere hackerscollectieven. Sinds de Russische invasie van Oekraïne in 2022 is de omvang van de cyberaanvallen die vanuit Rusland worden gecoördineerd aanzienlijk toegenomen. Het darkweb fungeert als een soort digitale achterkamer, waar hackersgroepen zoals Qilin en Killnet opereren, soms met impliciete steun van de Russische staat. Deze groepen maken gebruik van het anonimiteitsnetwerk van het darkweb om ransomware, DDoS-aanvallen en andere schadelijke malware te verspreiden, zonder direct met de staat in verband te worden gebracht. Dit maakt het voor de Russische regering mogelijk om digitale aanvallen uit te voeren zonder dat de verantwoordelijkheid direct aan hen wordt toegeschreven.

Perifere groepen en hun gebruik van het darkweb

Groepen zoals Qilin en Killnet opereren veelal vanuit het darkweb en maken gebruik van deze anonieme netwerken om hun digitale aanvallen uit te voeren. Qilin, een ransomwaregroep die in 2024 wereldwijd bekend werd, heeft via het darkweb gevoelige gegevens van hun slachtoffers gepubliceerd, waaronder 613 gigabyte aan gestolen informatie van het Londense ziekenhuis Synnovis. Deze gegevens werden via een onion-encrypted portal gedeeld, wat de typisch duistere manier van werken van deze groepen benadrukt. Door het gebruik van het darkweb kunnen dergelijke groepen moeilijker te traceren zijn, wat hen een enorm voordeel geeft in hun aanvallen op kritieke infrastructuren, zowel binnen als buiten Rusland.

Killnet, een andere prominente groep die DDoS-aanvallen uitvoert, gebruikt het darkweb als platform om hun diensten aan te bieden. Killnet is in staat om grote hoeveelheden verkeer naar doelwitten te sturen, wat resulteert in verstoringen van de digitale infrastructuur van bedrijven en overheden. Door gebruik te maken van het darkweb kan Killnet een soort “cybermercenaris” netwerk opbouwen, waarbij ze betalende klanten de mogelijkheid bieden om DDoS-aanvallen uit te voeren zonder dat ze juridisch verantwoordelijk worden gehouden voor de schade.

De symbiose tussen statelijke actoren en perifere groepen op het darkweb

Wat opvalt in de recente evolutie van de Russische cyberoorlogsvoering is de nauwere samenwerking tussen statelijke actoren en perifere groepen, vooral op het darkweb. Dit is niet alleen een kwestie van gedeelde technieken en middelen, maar ook van gezamenlijke doelstellingen. Het darkweb biedt een ideale omgeving voor de Russische staat om informele samenwerking te faciliteren met groepen die mogelijk niet direct gelinkt zijn aan de overheid, maar wel een ideologische of strategische overlap vertonen. Dit wordt duidelijk in de samenwerking tussen groepen zoals Qilin en staatsondersteunde cybereenheden zoals de FSB of GRU.

Groepen zoals XAKNET, die aanvallen uitvoeren op overheids- en bedrijfssystemen, worden vaak aangetroffen op het darkweb, waar ze hun gestolen gegevens publiceren en het materiaal delen met grotere, meer georganiseerde actoren. Deze symbiose tussen georganiseerde cybercriminelen en staatsondersteunde actoren maakt het moeilijk om de lijn tussen onafhankelijke cyberdreigingen en staatgerichte cyberoperaties te trekken.

Malware en tools: Het darkweb als incubator voor digitale wapens

Een ander belangrijk kenmerk van de Russische cyberoorlogsvoering is het gebruik van het darkweb om geavanceerde malware en aanvalstools te ontwikkelen en te verspreiden. Qilin, bijvoorbeeld, heeft zijn eigen ransomware ontwikkeld, genaamd Agenda, die aanvallers in staat stelt serverspecifieke processen te stoppen en veilige opstartinstellingen te omzeilen. Deze malware wordt vervolgens verspreid via darkweb-marktplaatsen, waardoor het voor andere cybercriminelen mogelijk wordt om deze geavanceerde tools te gebruiken in hun eigen aanvallen.

Killnet, aan de andere kant, maakt gebruik van open-source DDoS-tools die op het darkweb worden gedeeld, zoals de CC-Attack script. Dit stelt zelfs hackers zonder diepgaande technische kennis in staat om grootschalige DDoS-aanvallen uit te voeren. Het darkweb biedt dus een platform voor het testen en verspreiden van nieuwe aanvalstechnieken, wat de constant evoluerende aard van cyberdreigingen verder versterkt.

De rol van propaganda en desinformatie op het darkweb

Het darkweb is niet alleen een platform voor cyberaanvallen, maar ook voor het verspreiden van propaganda en desinformatie. Na de dood van Yevgeny Prigozhin, de leider van de Wagner-groep, wordt gesuggereerd dat de bots en netwerken die onder zijn controle stonden zijn geautomatiseerd met behulp van kunstmatige intelligentie (AI). Deze AI-gestuurde netwerken kunnen nu sneller en efficiënter desinformatie verspreiden, niet alleen via traditionele sociale media, maar ook via versleutelde darkweb-forums en chatkanalen.

De kracht van AI in het darkweb ligt in de mogelijkheid om automatisch te reageren op gebeurtenissen en berichten te genereren die lijken op menselijke interactie, maar in werkelijkheid worden aangestuurd door algoritmes. Dit maakt de verspreiding van propaganda veel effectiever, vooral in een digitale omgeving zoals het darkweb, waar traditionele moderatie en toezicht vaak ontbreken. Het darkweb biedt dus niet alleen een platform voor cyberaanvallen, maar ook voor het versterken van de ideologische oorlogvoering die vaak gepaard gaat met digitale aanvallen.

De toekomst van Russische cyberdreigingen via het darkweb

De ontwikkelingen op het darkweb wijzen op een toekomst waarin de samenwerking tussen statelijke actoren en perifere groepen steeds complexer wordt. Het darkweb fungeert als een veelzijdig instrument, zowel voor cyberaanvallen als voor het verspreiden van propaganda en het testen van nieuwe malware. Dit betekent dat de dreiging van Russische cyberoperaties steeds moeilijker te voorspellen en te neutraliseren is.

De flexibele en dynamische aard van het darkweb stelt Russische groepen in staat om snel te schakelen en zich aan te passen aan veranderende geopolitieke omstandigheden. Dit verhoogt de effectiviteit van hun operaties, omdat de aanvalsmethoden constant worden verbeterd en geoptimaliseerd. Het darkweb biedt de perfecte omgeving voor het opbouwen van netwerken van cybercriminelen die moeilijk te traceren zijn en die een directe impact kunnen hebben op zowel bedrijven als overheden wereldwijd.

Het darkweb als cruciaal element in de Russische cyberoorlogsvoering

Het darkweb speelt een onmiskenbare rol in de manier waarop Rusland zijn cyberoorlog voert. Van ransomware-aanvallen tot DDoS-aanvallen en de verspreiding van desinformatie, het darkweb biedt een platform waar statelijke en perifere actoren nauw samenwerken. Door het gebruik van het darkweb kunnen deze groepen hun activiteiten anonimiseren, waardoor ze moeilijker te traceren zijn en hun aanvallen effectiever kunnen uitvoeren.

Wat duidelijk wordt, is dat de dreiging die uitgaat van het darkweb niet alleen afkomstig is van geïsoleerde hackers, maar van een steeds groter wordende symbiose tussen statelijke actoren en cybercriminelen. De toekomst van Russische cyberdreigingen ligt waarschijnlijk in de voortdurende evolutie van dit ecosysteem, waarbij het darkweb als basis dient voor innovatieve aanvalsmethoden en ideologische campagnes.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.

Door: Peter Lahousse