Grote sportevenementen zijn geliefde doelwitten voor cyberaanvallers. Risico’s zijn er daarom genoeg voor de Olympische Winterspelen die volgende maand plaatsvinden in de Italiaanse steden Milaan en Cortina d’Ampezzo. Wat mogen we verwachten van de digitale strijd die achter de schermen van de sport plaatsvindt? Unit 42 van Palo Alto Networks biedt een overzicht.
Kritieke infrastructuur staat voortdurend onder druk, zowel in een enkel land als daarbuiten. Wereldwijde evenementen, van klimaattoppen tot sporttoernooien, bieden aanvallers een unieke kans om data van prominente personen te bemachtigen. De digitale security is tegenwoordig net zo goed een speerpunt voor het plaatselijk personeel als de fysieke beveiliging. Toch is het mogelijk om geloofwaardige phishing-mails, gespoofde Wi-Fi-locaties en DDoS-aanvallen in te zetten met extra effect. Unit 42 somt de naderende Winterspelen aan als een favoriet voor cybercriminelen en staatshackers. Het evenement biedt nameloijk een omgeving vol hoogwaardige doelwitten, bestaat uit kritieke infrastructuur en levert al gauw geopolitieke spanning op. Die les valt ook te leren op basis van het recente verleden.
Lees ook: Hoe België binnen 300 dagen digitaal lamgelegd wordt
Olympic Destroyer (2018)
Unit 42 blikt terug op eerdere Spelen waarbij cyberincidenten plaatsvonden. Denk aan pogingen tot sabotage voor de Zomerspelen in Tokio (oorspronkelijk 2020, uiteindelijk 2021). Parijs 2024 leverde volgens de Palo Alto Networks-experts een piek aan DDoS-aanvallen op. Het grootste incident tot nu toe rondom de Spelen vonden echter plaats bij PyeongChang, Zuid-Korea, in 2018.
De zogeheten Olympic Destroyer-campagne zou zijn uitgevoerd door de Russische militaire intelligentiedienst GRU. Van december 2017 tot februari 2018 vonden aanvalspogingen plaats met als algemeen doelwit de Olympische Winterspelen via talloze potentiële slachtoffers. Sporters, officials, Zuid-Koreaanse burgers, sponsoren; geen van deze groepen was gevrijwaard. Oorspronkelijk leek het bij deze reeks aanvallen te gaan om meerdere dreigingsactoren, ook al zou Olympic Destroyer centraal zijn gecoördineerd.
Het voornaamste doel was disruptie zonder financieel oogmerk of data-exfiltratie. Dat is opvallend, zeker omdat de Spelen zeker via ransomware of datadiefstal aan reputatieschade hadden kunnen leiden. De gevolgen waren desondanks desastreus voor de verantwoordelijken van de IOC, de Zuid-Koreaanse regering en andere betrokkenen. Tickets voor de openingsceremonie konden veelal niet worden uitgeprint, de Wi-Fi viel uit en voor een miljardenpubliek vielen ook publieke schermen uit. Uren na de opening van de Spelen liep alles weer naar behoren. Dit alles had een grote impact, maar dergelijke disrupties leiden regelmatig tot een veel trager herstel. Erger is dus zeker mogelijk, inclusief tijdens Milaan-Cortina.
Financieel gewin of geopolitiek gerommel
Rusland is nog steeds uitgesloten van de Olympische Spelen. Daarbovenop zijn geopolitieke spanningen, inclusief tussen bondgenoten, alleen maar toegenomen. Een disruptie in 2026 zou dus zeer aantrekkelijk zijn voor de Russische GRU-hackers. Unit 42 stipt aan dat dergelijke groepen mogelijk al jaren bezig zijn geweest met infiltraties; wellicht is het zaadje voor een succesvolle aanval al geplant.
Toch raadt Unit 42 ons aan om niet ransomware-groepen uit te sluiten. Zij zien juist wel de kans schoon om financieel te profiteren van een Olympische compromis. Indien een aanvaller erin slaagt om een IT-systeem te compromitteren dat mission-critical is voor een sportevenement, is de tijdsdruk voor de verdediger enorm. Mogelijk is een slachtoffer bereid een torenhoog bedrag te betalen om een kritiek systeem of kritieke data weer toegankelijk te maken. Unit 42 ziet veel kansen voor kwaadwillenden om zich te ‘camoufleren’ in de wildernis aan organisatorische infrastructuur. Honderden nationale sportbonden met elk een eigen infrastructuur moeten namelijk verbinden met centrale IT-systemen, dat de kans biedt voor het exploiteren van verschillende kwetsbaarheden.
Andere scams die Unit 42 voorziet, zijn neppe websites voor ticketverkoop of inschrijvingen, QR-codes die phishing blijken, fraudulente apps en andere tools.
Hacktivisme
Hackers zijn er in alle soorten en maten, en Unit 42 maakt een onderscheid tussen financieel gemotiveerde hackers en staatsactoren. Maar een derde groep is volgens de Palo Alto Networks-onderzoekers minstens net zo gevaarlijk voor de Spelen: hacktivisten. Met deelnemers uit bijna alle landen ter wereld zullen cyberaanvallers het gemunt hebben op specifieke sporters, teams of comité’s. Gevoelige documenten kunnen na een compromis op straat belanden; opnieuw suggereert Unit 42 dat het hier om disruptie van de gang van zaken gaat, niet een geldopbrengst uit oplichterij.
Bekende gevaren
Zo vers als een nieuwe editie van de Olympische Spelen is, zo oud zijn de tactieken die het kan platleggen. Phishing (via mail, QR-codes, videocalls, telefoontjes, et cetera), kwetsbaarheden, gecompromitteerde credentials en DDoS-aanvallen blijven de stabiele factoren bij cyberincidenten. Daar verandert de aard van het internationale evenement weinig aan. Deepfakes, overtuigende phishingberichten die persoonlijk zijn toegespitst, SEO-poisoning; de methodes worden wel steeds daadkrachtiger.
Unit 42 ziet de Spelen als een schoolvoorbeeld van een lastig te verdedigen evenement. Maar gewone organisaties zijn, indien niet goed genoeg beveiligd, al gauw aantrekkelijke doelwitten. Gelukkig zijn ze wel op relatief voorspelbare wijzen te verdedigen, met mogelijkheden tot proactief handelen en het opstellen van volwassen securitybeleid. Zo spreekt Unit 42 van AI-gedreven automation om responstijden te verlagen, SOC-teams die zo min mogelijk ruis ontvangen, en inzichten die de veiligheid van apps, cloud- en ontwikkelomgevingen continu peilen.