Belgisch leger investeert in cyber security: wat zal het Cyber Command doen?
Op woensdag 19 oktober neemt het Belgische leger het Cyber Command officieel in gebruik. Daarmee krijgt Defensie er een vijfde component bij, naast de land-, lucht-, marine- en medische component. Knack en Le Soir kregen als eerste een kijkje achter de schermen.
Een paar uur voor het Russische leger op 24 februari Oekraïne aanviel, ging plots een satelliet van het Amerikaanse bedrijf Viasat offline. Dat had niet alleen onmiddellijk gevolgen voor de communicatie en internettoegang in Oekraïne. Ook in de EU liet de impact zich voelen. Tal van modems vielen uit en in Duitsland waren duizenden windmolens een tijdlang onbestuurbaar. De cyberaanval, die wordt toegeschreven aan Russische hackers, illustreert de digitale kwetsbaarheid van onze samenleving. De dreiging is alomtegenwoordig.
Het Centrum voor Cybersecurity Belgium kreeg vorig jaar liefst 4,5 miljoen e-mails binnen met meldingen van verdachte links en mogelijke malware. En niet alleen burgers en bedrijven worden aangevallen, ook de overheid is een doelwit. De voorbije jaren zijn onder meer de federale overheidsdiensten Binnenlandse Zaken en Buitenlandse Zaken gehackt. In augustus nog startte het federaal parket een onderzoek naar een mogelijke cyberaanval op de servers van de Kanselarij van de eerste minister – die onder meer door de politie worden gebruikt. Zelfs Defensie kreeg eind vorig jaar af te rekenen met een ernstig cyberincident. (zie kaderstuk)
Het Cyber Command, een nieuwe structuur bij Defensie, is het antwoord op die dreigingen. Het moet onze militaire netwerken en wapensystemen beschermen tegen cyberaanvallen. Het wint inlichtingen in, levert technische expertise in juridische dossiers, stelt malware-specialisten ter beschikking en helpt mee de vitale structuren van België te beschermen.
Scherpschutter
Het Koningin Elisabethkwartier in Evere, een zonnige herfstdag in oktober. ‘Shall we play a game?’ staat te lezen op een kleurrijke deursticker die de bezoekers verwelkomt in het nieuwe Cyber Command. Alvorens het gebouw te betreden, moeten we onze gsm in bewaring geven.
Generaal-majoor Michel Van Strythem – bril, grijs baardje, minzame blik – wacht ons op bij de deur. In maart vorig jaar is Van Strythem door minister van Defensie Ludivine Dedonder (PS) aangesteld om het Cyber Command uit te tekenen. De man was eerder al verantwoordelijk voor de drones van Defensie en gaf beleidsadvies aan de Chief of Defense. Nu wordt hij de eerste Cyber Commander van België.
Het Cyber Command zal niet alleen defensief en preventief werken. Ook inlichtingenmissies en zelfs offensieve cyberoperaties tijdens nationale crisissituaties behoren tot de mogelijke opdrachten. Dat laatste is nieuw. ‘Vergelijk het met een scherpschutter’, zegt Van Strythem. ‘99 procent van de tijd zit je verborgen om een legitiem doelwit te volgen, slechts 1 procent van de tijd zul je schieten. Met zo min mogelijk collaterale schade. Vertaald naar de cyberwereld: zodra je binnen raakt in een netwerk, camoufleer je je en wacht je. Tot je op een gegeven moment in actie komt en een onderdeel van het netwerk tijdelijk neutraliseert. Als je tegenstrever het netwerk gebruikt om tanks te vervoeren van punt A naar punt B, bijvoorbeeld.’
Hacken in één minuut
Tegen de muur van een vergaderzaal op de benedenverdieping van het Cyber Command hangt een grote poster met een hacker in een hoody. De jaloezieën zijn omlaag. Tijd voor actie. Niels* (schuilnaam) zit voor een tafel met enkele laptops en demonstreert hoe makkelijk het is om van een afstand in iemands computer binnen te raken. De dertiger – zwart piekjeshaar, skinny jeans en NASA-trui – stapte na een doctoraat over van de academische wereld naar de militaire inlichtingendienst.
‘Ik zal proberen een laptop binnen te dringen op basis van Bleedingtooth, een bekende exploit (zwakke plek, nvdr) in Bluetooth’, zegt Niels. ‘Door een paar kwetsbaarheden te combineren, is het de bedoeling dat ik de volledige controle over die laptop krijg, zonder hem aan te raken.’
Zijn vingers tokkelen op het toetsenbord. In minder dan een minuut is hij binnen. ‘Deze exploit is al in 2020 publiek gemaakt, maar hij blijft nuttig voor ons. Niet al onze doelwitten hebben de laatste updates geïnstalleerd.’
Zodra Niels de laptop is binnengedrongen, gaat hij op zoek naar de file ‘/etc/shadow’. ‘In die file zitten de wachtwoorden van het computersysteem opgeslagen’, lacht hij. ‘Typisch iets wat hackers opzoeken.’
Zoals in films
In een aanpalend blok heeft de militaire inlichtingendienst ADIV een hotelkamer nagebouwd, inclusief vuile was, plastic bloemen, geurstokjes en Ikea-dekbed. Twee jonge medewerkers van het Digital Forensics Team tonen hoe ze een clandestiene operatie uitvoeren. Voor deze simulatie moeten ze de gsm kopiëren van een extreemrechtse verdachte die enkele uren zijn hotelkamer heeft verlaten.
Chris* en Tony* stappen achteloos met hun rolkoffer de kamer in. Ze dragen onopvallende kleren, zonder felle kleuren. Ze zetten hun pet en mondmasker op en trekken handschoenen aan. Géén sporen nalaten is de opdracht. Ze moeten muisstil te werk gaan, de buren mogen niets horen.
Terwijl Chris de gsm en usb-sticks van het doelwit zoekt, haalt Tony uit de rolkoffer een toestel dat wat lijkt op een uit de kluiten gewassen tablet. ‘Met dit forensische beeldapparaat kunnen we bewijsmateriaal veiligstellen. We kunnen in principe een kopie maken van om het even welke datadrager. Ook van een laptop die uitgeschakeld is.’
De USB-stick en het gsm-toestel van de verdachte zijn in welgeteld zes minuten gekopieerd. Chris en Tony leggen al het materiaal terug op de oorspronkelijke plaats en maken zich weg.
‘Bij dit soort opdrachten voel je de adrenaline door je lijf gieren’, zegt Chris. ‘Wij mogen dingen doen die je nergens anders kunt doen. Het is niet alleen leuk, je maakt ook echt een verschil. Natuurlijk moet je wel leren zwijgen. Mijn familie en naaste omgeving weten alleen dat ik bij Defensie werk en iets doe met computersecurity. Maar ze hebben géén idee dat ik nu en dan stiekem kamers binnendring om informatie te bemachtigen. Zoals in films.’
Drie dimensies
De nieuwe cybercapaciteit van Defensie komt niet uit de lucht vallen. Tien jaar geleden lanceerde België zijn eerste nationale cyberstrategie en zette de militaire inlichtingendienst het Cyber Security Operations Centre op, om de computernetwerken van Defensie te monitoren.
Bij haar aantreden in 2020 kondigde defensieminister Dedonder de ontwikkeling van een heuse cybercomponent aan tegen 2025. Met de inhuldiging van het Cyber Command gaat die vijfde component nu ook echt van start.
En hoewel het Cyber Command een nieuwe structuur is, is er geen apart wettelijk kader voor in het leven geroepen. De werking van het Command is gestoeld op de wet op de inlichtingendiensten én de wetgeving over onze gewapende strijdkrachten. ‘We zijn een onderdeel van de militaire inlichtingendienst ADIV’, verduidelijkt Van Strythem. ‘We worden gecontroleerd door het Comité I en de commissie Landsverde- diging.’ Maar het Cyber Command is nog niet de nieuwe cybercomponent. Het zal de ‘rollen en verantwoordelijkheden’ vervullen van een ‘steuncomponent op het vlak van cyber’. En het wordt actief in de drie dimensies van cyber-space: de fysieke (denk aan servers, hardware, glasvezelkabels, satellieten, 5G-netwerken), de software (virussen, malware) én de virtuele (sociale media).
Pegasus-spyware
Léa*, amper 22 jaar, werkt inmiddels twee jaar als analiste van het defensienetwerk. ‘Onze job is nagaan wat er op dat netwerk gebeurt en abnormale zaken spotten.’ Ze zit sinds haar achttiende in het leger en kwam via de opleiding Communication and Information Systems bij de ADIV terecht.
Wanneer het incident response team verdachte zaken opmerkt, kan het die doorspelen aan de Malware Cel bij het Cyber Command. Een van hun malwarespecialisten is Erik*, 53, die eerder aan de slag was bij een grote multinational en een doctoraat schreef over cyberveiligheid en kunstmatige intelligentie.
‘Ons team analyseert verdachte software, gaat de werking na en zoekt uit hoe de malware verwijderd kan worden’, zegt Erik. ‘We proberen ook de daders te ontmaskeren. Héél moeilijk. Er kunnen immers valse aanwijzingen zijn aangebracht. Sowieso zullen we nieuwe malware steeds vergelijken met bekende malware. We focussen ons dan uiteraard niet op phishingmails of malware die iedereen binnenkrijgt, maar kijken vooral naar doelgerichte malware die data van de Belgische overheid buit wil maken.’
Volgens Erik kun je zijn werk vergelijken met wat het Security Lab van Amnesty International deed toen het infectiesporen van de Israëlische spyware Pegasus aantrof op de gsm’s van journalisten en mensenrechtenactivisten. Ook de ADIV maakte al gebruik van de analysetool van de mensenrechten-organisatie. ‘Knap gedaan’, zegt Erik. ‘Ik was onder de indruk van het werk van Amnesty.’
Red Team Operator
In 2016 kondigde Defensie aan tegen 2030 zo’n 200 specialisten in te willen schakelen voor cyberdefensie en offensieve cyberactiviteiten. Hoeveel werknemers telt het Cyber Command vandaag? ‘Ik kan en mag daar niets over zeggen’, reageert generaal-majoor Van Strythem. ‘Wel kan ik iets kwijt over ons streefdoel op termijn. Als je weet dat Frankrijk vandaag 3500 cyberspecialisten in huis heeft en evolueert naar 5000 in 2025, dan heb je in België zo’n 800-900 cyberexperts nodig.’
Midden oktober publiceerde selectiebureau Selor 10 vacatures (m/v/x) voor cyberexperts bij ADIV, met klinkende namen als vulnerability assessor (analist van kwetsbaarheden) of Red Team Operator (de hacker die cybermissies uitvoert en systemen binnendringt). Het juiste personeel vinden is anno 2022 misschien wel dé grootste uitdaging voor Defensie. Zeker in een krappe arbeidsmarkt waarin cyberprofielen door zowat iedereen gewild zijn, van banken over politie tot onderzoeksinstellingen en kritieke infrastructuur. Tegenover de hogere salarissen in de privésector stelt Defensie ‘spannend werk met maatschappelijke impact’, een gezonde balans tussen werk/privé, en permanente bijscholingsmogelijkheden.
Maar zelfs als Defensie de juiste profielen weet te strikken, kan het Cyber Command de strijd niet in zijn eentje aan. ‘Het cyberdomein is zo exponentieel aan het groeien en verandert zo snel dat het een illusie is dat je dit alleen kunt beheersen’, zegt Van Strythem. ‘Partnerschappen is het sleutelwoord. Met het Cyber Command zullen we partnerschappen aangaan met de industrie, het middenveld en de academische wereld.’
Zo zal het Belgische bedrijf Inno.com het Cyber Command bijstaan bij de transfer van cyber-knowhow van Lockheed Martin naar België. Lockheed Martin is de fabrikant van onze nieuwe generatie F35-straaljagers, ‘een computersysteem met vleugels’ aldus de ADIV. Andere belangrijke Belgische cyberbedrijven zijn onder meer RHEA Group, Naval Group, Nviso, Orange Cyberdefense Belgium, Proximus, Spotit, Toreon, IBM Belgium, Approach en Atos.
‘Samenwerking met het middenveld is nodig om cyberexperts op te leiden’, zegt de generaal-majoor. Concreet heeft Defensie plannen om mensen zonder diploma te vormen in cyberveiligheid, in samenwerking met de vzw MolenGeek in Molenbeek (die als missie heeft de technologiesector toegankelijk te maken voor iedereen). Wat de academische wereld betreft, is de Koninklijke Militaire School in hartje Brussel de eerste aanspreekpartner voor het Cyber Command.
Cryptografische sleutels
Sommige onderzoeksprojecten aan de Koninklijke Militaire School zijn zo geheim dat de docenten over een veiligheidsmachtiging moeten beschikken. Dat geldt ook voor majoor Thibault Debatty van het Cyber Defense Lab aan de KMS en Julien Petit van de vakgroep cryptographie. Beide afdelingen onderhouden goede banden met de militaire inlichtingendienst.
‘Heel wat van onze studenten gaan later aan de slag bij de ADIV’, zegt Thibault Debatty. ‘We helpen dus met rekruteren. Daarnaast hebben we ook enkele onderzoeksprojecten lopen waarin de ADIV als potentiële klant geïnteresseerd is. Zo ontwikkelt ons lab een detectie- systeem voor “geavanceerde en persistente bedreigingen” (jargon voor de meest gesofistikeerde cyberaanvallen, vaak voorbereid door hackergroeperingen verbonden aan buitenlandse overheden, nvdr).’
De vakgroep cryptografie werkt al dertig jaar samen met de ADIV op basis van een protocolakkoord. ‘Zo hebben we voor de ADIV zelf een toestel ontwikkeld om cryptografische sleutels aan te maken’, zegt Julien Petit. ‘Je kunt zo’n toestel ook wel op de commerciële markt kopen, maar dat is altijd een risico.’
In het verleden werkten sommige Belgische overheidsdiensten met versleutelapparatuur van het Zwitserse bedrijf Crypto AG, maar dat bedrijf bleek een dekmantel te zijn voor Amerikaanse en Duitse inlichtingendiensten. Petit: ‘Dat toont hoe moeilijk het is om een cryptografisch product te vertrouwen of te certificeren.’
Petits vakgroep volgt uiteraard ook de laatste evoluties en trends op het vlak van cryptografie. ‘Een actuele uitdaging is de veelheid aan computerplatformen: vroeger stond cryptografie gewoon op een desktopcomputer maar tegenwoordig is het ook nodig in tal van kleine, lichte componenten, die uiteindelijk worden ingebouwd in kerncentrales, wapensystemen enzovoort. Cryptografie moet zich daaraan aanpassen. Want zonder cryptografie bestaat cyberveiligheid gewoon niet.’
* Fictieve namen
Defensie aangevallen: onze eerste battle in cyberspace
15 december 2021, een routine-inspectie. Een technicus van het Belgische leger ontdekt, in de logs van het IT-systeem van Defensie, ongepaste communicatie tussen twee servers. Hij contacteert meteen de Directie Cyber (ADIV). ‘We kopieerden de betrokken servers en analyseerden de data’, zegt kolonel Pierre Ciparisse, operationeel commandant van de Directie Cyber. Een dag later ontdekt zijn team dat ook een beheerdersaccount van het legernetwerk is gehackt. Alle alarmbellen gaan af: deze gebruiker heeft strategische toegang tot delen van het netwerk. Om 22 uur speelt de ADIV de verontrustende info door aan het Competentiecentrum Vliegend Materieel en Communicatie- en Informatiesystemen. De beheerder van de IT-netwerken van Defensie neemt binnen het uur een ongeziene beslissing: heel Defensie wordt van het internet losgekoppeld. 25.000 Belgische militairen verliezen hun internettoegang. ‘Een radicale keuze’, zegt Ciparisse. ‘Maar zo konden we verder onderzoek doen zonder bemoeienis van de tegenstander.’
De intrusie blijkt pas een week oud te zijn. Hackers hebben een kwetsbaarheid uitgebuit in Log4J, een veelgebruikt logboek-hulpprogramma, maar hadden geen tijd om data buit te maken. Het opschonen van de IT-systemen neemt nog maanden in beslag. Ook Microsoft wordt daarbij ingeschakeld. Pas in de zomer van 2022 worden de laatste systemen hersteld. Op 18 juli wijst het ministerie van Buitenlandse Zaken de cyberaanval toe aan de Chinese hackergroepen Unc 2814, Gallium en Softcell. Ciparisse: ‘We hebben sterke vermoedens dat ze voor de Chinese overheid werken maar kunnen dat niet bewijzen.’ België roept de Chinese overheid op om maatregelen te nemen. Het Chinese ministerie van Buitenlandse Zaken reageert dat China hackers niet aanmoedigt, ondersteunt of tolereert. De eenzijdige beschuldiging noemt Peking een ‘onverantwoordelijke praktijk’. Dat was een dubbele primeur, zegt Ciparisse. ‘Voor het eerst wees België een dader van een cyberaanval aan. En het was onze eerste echte battle in cyberspace.’