Massale cyberaanval op militaire bondgenoten NAVO
Russische hackers hebben toegang verkregen tot honderden emailaccounts van militaire en defensie-organisaties in Roemenië en Griekenland, waarbij gevoelige communicatie van NAVO-partners in gevaar is gebracht. De grootschalige operatie, die liep van september 2024 tot maart 2026, richtte zich op minstens 284 emailboxen, voornamelijk in Oekraïne maar ook in NAVO-landen en Servië. Onder de getroffen doelen bevinden zich 67 emailaccounts van de Roemeense luchtmacht, inclusief accounts op NAVO-luchtbases en ten minste één account van een hooggeplaatste militair. Daarnaast werden 27 emailaccounts van de Generale Staf van de Griekse nationale defensie gehackt.
Fout hackers leidt tot onthulling operatie
De operatie werd blootgelegd nadat de hackers “een enorme fout maakten” door een open server met aanvalslogbestanden achter te laten. Cyberbeveiligingsonderzoekers van Ctrl-Alt-Intel schrijven de aanval toe aan de bekende Russische hackergroep “Fancy Bear”, die wordt geassocieerd met de Russische militaire inlichtingendienst GRU. Andere analisten zijn het erover eens dat de hackers banden hebben met Moskou, maar twijfelen over de directe betrokkenheid van juist deze groep. De onthulling volgt op eerdere waarschuwingen van het Amerikaanse ministerie van Justitie en de FBI over de activiteiten van deze cybercriminelen.
Groter patroon van hybride oorlogsvoering
Deze cybercampagne past in een breder patroon van Russische hybride oorlogsvoering tegen EU- en NAVO-landen, waarbij cyberaanvallen worden gecombineerd met desinformatie en politieke druk. Het karakter van de aanvallen wijst op een systematische poging om toegang te krijgen tot interne communicatie van militaire en overheidsstructuren. Toegang tot email opent de weg naar gevoelige informatie, gegevens over defensieprocessen en kritieke infrastructuur.
De diefstal van dienstgegevens van de Roemeense luchtmacht, de Griekse generale staf en NAVO-bases creëert directe risico’s voor de verdedigingscapaciteiten van Europese landen. Informatielekken kunnen worden gebruikt om het vertrouwen tussen bondgenoten te ondermijnen, wat een sleutelelement is van de Russische hybride oorlog tegen de EU en NAVO. De activiteiten van hackergroepen die verbonden zijn met de Russische militaire inlichtingendienst demonstreren dat de cyberspace een volwaardig strijdtoneel is geworden.
Lessen voor Europese cyberveiligheid
De omvang en duur van de campagne wijzen op het systemische karakter van Russische cyberoperaties, die jaren duren en verschillende landen bestrijken. Dit duidt op langetermijnplanning en aanzienlijke middelen die voor dergelijke aanvallen worden ingezet. Europese landen moeten hun cyberverdediging op alle niveaus versterken, onder meer door de implementatie van multi-factor-authenticatie en regelmatige software-updates. Training van personeel om phishing-aanvallen te weerstaan speelt eveneens een cruciale rol.
Effectieve tegenmaatregelen tegen bedreigingen door het hacken van email door met Rusland verbonden hackers vereisen verdieping van internationale samenwerking. Uitwisseling van inlichtingen, gezamenlijke operaties om netwerken te neutraliseren en coördinatie van cyberveiligheidsmaatregelen binnen de EU en NAVO zijn van cruciaal belang om de Russische activiteit te beteugelen. De recente acties van de Verenigde Staten en internationale partners om eigenaren van routers op te roepen firmware bij te werken, wachtwoorden te wijzigen en verouderde apparaten te vervangen, tonen het belang van gecoördineerde respons in de cyberruimte.
