BELGA/WARNAND

"Overgeschakeld op pen, papier, WhatsApp en Gmail": een reconstructie van de cyberaanval op vliegtuigbouwer Asco

Vandaag is het exact 8 maanden geleden dat Asco, de vliegtuigbouwer uit Zaventem, slachtoffer werd van een cyberaanval. De aanval heeft het bedrijf wekenlang platgelegd. Het heeft Asco ook miljoenen gekost. “Het zal nog zeker tot het einde van dit jaar duren eer we even efficiënt kunnen werken als voordien”, zegt woordvoerster en HR-verantwoordelijke Vicky Welvaert in een gesprek met VRT NWS. Wij maakten een reconstructie van de cyberaanval en spraken met een specialist.

Vrijdag 7 juni 2019. Verschillende medewerkers van Asco merken dat er iets mis is met hun computer. Ze denken dat hun toestel besmet is met een virus. Ze roepen de IT-verantwoordelijke erbij. “Het was vrij snel duidelijk dat het niet zomaar een virus was. We hadden te maken met een cyberaanval, een hacking met frauduleuze doeleinden”, zegt Vicky Welvaert, HR-verantwoordelijke en woordvoerster van het bedrijf. De aanval was ook meteen voelbaar. Volgens Welvaert lagen heel wat systemen plat, niet alleen de computers bij de administratie. “Maar ook heel wat van onze computergestuurde machines in al onze vestigingen." 

Ryuk-aanval

Asco is niet zomaar een bedrijf. Het is een producent van vliegtuigonderdelen en heeft met Airbus en Lockheed Martin klanten die zowel burgervliegtuigen als militaire toestellen bouwen. Het bedrijf is ook van strategisch belang en zit momenteel midden in overnamegesprekken. 

Zodra het duidelijk was dat de schade aanzienlijk zou zijn, besliste het management in overleg met de IT-dienst om grote delen van het bedrijf stil te leggen. Ze konden ook niet anders, want veel machines konden niet worden opgestart: ze waren versleuteld. Asco had dus wel degelijk te maken met een ransomware-aanval, een cyberaanval waarbij hackers de toegang tot machines en computers blokkeren.

Om alsnog toegang te krijgen, moet een bedrijf betalen. Welvaert kan niet bevestigen of er effectief losgeld is gevraagd. “Ook al was dat het geval, zowel de IT-specialisten als de politie hadden ons afgeraden om in te gaan op de vraag van de hackers. Dat was trouwens niet onze eerste zorg. Wij wilden ons bedrijf zo snel mogelijk herstarten", legt Welvaert uit. 

Hackers gaan heel slim te werk. Ze gebruiken “social engineering” om te begrijpen hoe een organisatie werkt, en wie met elkaar contact heeft

Stel dat je toch betaalt, dan ben je er volgens Welvaert niet zeker van dat je de sleutel krijgt om de machines snel weer aan de praat te krijgen. Stijn Rommens is het daarmee eens. Hij is cybersecurity-expert en heeft ervaring met ransomware-aanvallen. Hij heeft in het verleden verschillende bedrijven geadviseerd om cyberaanvallen te helpen voorkomen. Toch vindt hij dat het nodig is om op zoek te gaan naar de daders achter de cyberaanval, al is dat niet altijd vanzelfsprekend. “Als je te maken hebt met een gerichte aanval, wil je weten wie dat gedaan heeft. En waarom”, zegt Rommens. “Want als ze je viseren, is de kans groot dat ze nadien terugkomen.”

Wat de specialisten bij Asco wel achterhaald hebben, is het type ransomware. Het ging om de “Ryuk-malware”. Ryuk is een virus dat door Russische hackers is ontwikkeld. “Het werd speciaal gemaakt om bedrijven aan te vallen, maar dat wil niet zeggen dat de cyberaanval op Asco uit Rusland komt. Want het virus kan je kopen op het “dark web” (een verborgen plek op het internet waar hackers actief zijn, red.)”, benadrukt Rommens. 

Het was voor het management van Asco belangrijk om zoveel mogelijk onderdelen van het bedrijf te vrijwaren voor nog meer schade. “Dat was ook een reden om ons bedrijf stil te leggen. Ook al heb je een antivirus voor een bepaald onderdeel van het bedrijf, dan zal dat onderdeel toch besmet geraken zodra je dat aan het netwerk hangt”, zegt Welvaert. 

Hackers gebruiken “social engineering”

Wat ook duidelijk was, was de manier waarop het virus in het bedrijf binnen was geraakt. “Dat was vermoedelijk via een phishing-mail (een mail met een link die een virus opent zodra je erop klikt, red.)”, zegt Welvaert. Maar in dit geval was het niet zomaar een phishing-mail die iedereen soms krijgt. Hebben de hackers het e-mailadres van een medewerker van Asco gekopieerd? Dat weten we niet, maar volgens Rommens kan dat. 

“Hackers gaan heel slim te werk. Ze gebruiken “social engineering” om te begrijpen hoe een organisatie werkt, en wie met elkaar contact heeft.” Stel je hebt net een vergadering gehad met een collega, hackers kunnen dat gezien hebben en sturen je een mail die van jouw collega lijkt te komen, met het onderwerp: “naar aanleiding van onze vergadering van daarnet”. De kans is reëel dat je de mail opent en op de link in de mail klikt. 

Bij Asco zaten ze vermoedelijk al een tijdje in het netwerk vooraleer ze het systeem platlegden.

Voor Rommens is dit duidelijk: de hackers hadden Asco in hun vizier.  Welvaert bevestigt ons ook dat het een gerichte aanval was, maar zij kan niet zeggen waarom de hackers Asco hebben gekozen. Was dat omdat het bedrijf strategisch belangrijke vliegtuigonderdelen maakt? Welvaert vindt van niet.

Volgens Rommens nemen hackers bij een gerichte cyberaanval hun tijd om in een bedrijf binnen te geraken. Bij Asco zaten ze vermoedelijk al een tijdje in het netwerk vooraleer ze het systeem platlegden. “Dat doen ze in verschillende stappen. Wij noemen dat de “cyber kill chain”. Ze maken gebruik van een lek of kwetsbaarheid om in het systeem binnen te geraken. Dan maken ze de “command and control”-connectie. Ze nemen als het ware de controle over van jouw computer en gaan dan op verkenning.” 

Eenmaal in het systeem kunnen ze alles doen. Konden de hackers ook plannen van vliegtuigen stelen? Welvaert is categoriek. “We hebben geen aanwijzingen dat er gegevens gestolen zijn.”

Communiceren met WhatsApp

Wel was duidelijk dat alle vestigingen van Asco in België, Amerika, Canada en Duitsland getroffen waren. 1.500 werknemers waren wekenlang technisch werkloos. “We hebben meteen na de aanval een crisiscel opgericht en we moesten teruggrijpen naar pen en papier. We hebben verschillende WhatsApp-groepen opgezet om met elkaar te communiceren en we hebben Gmail gebruikt om met elkaar te mailen”, legt Welvaert uit.

“We hebben binnen het bedrijf verschillende callcenters opgezet om al onze klanten en medewerkers te bellen. En we hebben PWC (een internationaal bedrijf dat gespecialiseerd is in cyberveiligheid, red.) onder de arm genomen omdat al onze vestigingen geïmpacteerd waren.”

Asco kreeg bezoek van de Europese vliegtuigbouwer Airbus en andere klanten. Zij kwamen hun leveringen van dichtbij opvolgen. In de weken na de cyberaanval zaten ze permanent in Zaventem en Asco deelde zoveel mogelijk informatie met hen. 

Maar waarom werd Asco dan aangevallen? Daarop kan Welvaert geen antwoord geven. Er werd een forensisch onderzoek verricht, maar dat leverde weinig op. 

Nu, acht maanden na de cyberaanval, draaien de productie­systemen van Asco nog niet zoals voordien. De aanval heeft het bedrijf miljoenen gekost. Sommige machines staan nog afgezonderd van het netwerk en binnen het bedrijf zijn nog een honderdtal interimkrachten actief om de achterstand weg te werken. “Het zal nog zeker tot het einde van dit jaar duren eer we even efficiënt kunnen werken als voordien”, zegt Welvaert. 

Alle aandacht gaat nu naar veiligheid. Aan de medewerkers wordt gevraagd om een nieuw wachtwoord te kiezen: eentje van 14 karakters in plaats van 8. “Veiligheid blijft onze eerste prioriteit, maar het moet werkbaar blijven. We zijn een productiebedrijf en geen bank”, klinkt het.

Veiligheid blijft onze eerste prioriteit, maar het moet werkbaar blijven. We zijn een productiebedrijf en geen bank

De woordvoerster onthoudt vooral de “drive” van de medewerkers die hun bedrijf zo snel mogelijk weer aan de praat wilden krijgen. Welvaert, zelf burgerlijk ingenieur van opleiding, zegt dat de medewerkers samen de passie voor vliegtuigen delen, en dat was volgens haar duidelijk te merken aan hun inzet. Asco wordt nu ook door bedrijven die ook slachtoffer zijn geweest van cyberaanvallen, gecontacteerd met de vraag hoe ze weer kunnen opstarten.  

Op dit moment zitten de onderhandelingen voor de overname door de Amerikaanse sectorgenoot Spirit Aerospace in een laatste fase. Volgens Welvaert gaat die overname, die serieuze vertraging heeft opgelopen, nog altijd door. 

Meest gelezen