Die operatie was gericht tegen Oekraïne, waar onder meer de IT-systemen van banken en ziekenhuizen werden platgelegd. De Maersk-groep was een toevallig slachtoffer, maar werd frontaal geraakt, vooral doordat diens systemen onvoldoende waren gesegmenteerd. Volgens het concern lag de schade tussen de 250 en 300 miljoen dollar, maar insiders denken dat het bedrag veel hoger was.

NotPetya was volgens de Amerikanen slechts een van een reeks destructieve cyberaanvallen die een speciale eenheid van de GROe, bekend als Sandworm, sinds 2015 op civiele doelwitten heeft uitgevoerd. Justitie heeft dit op een speciaal daarvoor belegde persconferentie in Washington bekendgemaakt. Andere doelen waren onder meer de Franse presidentsverkiezingen in 2017, de Winterspelen in Zuid-Korea in 2018 en de Zomerspelen en Paralympics van komend jaar in Japan.

Kwaadaardig

Hoofd John Demers van de National Security Division, de hoogste nationale veiligheidsbaas van het ministerie, zei ‘dat geen land ter wereld zijn cybervermogens zo kwaadaardig en onverantwoordelijk als wapen heeft ingezet als Rusland en daarbij moedwillig ongekende nevenschade heeft veroorzaakt’. Volgens hem gebeurde dat ‘alleen maar om via wraakzucht kleine tactische voordeeltjes te behalen’.

De FBI heeft de zes Russische officieren, tussen de 27 en 35 jaar oud, op zijn ‘wanted’ lijst gezet en beschuldigt hen van onder meer een aanval op de VS, identiteitsfraude en computervredebreuk. Die vergrijpen zijn samen goed voor tientallen jaren gevangenisstraf. In de vijftig pagina’s tellende tenlastelegging doet de openbaar aanklager minutieus uit de doeken hoe de Russen te werk gingen.

Voodoo Bear

Binnen de Russische inlichtingendienst stond de eenheid bekend als Eenheid 74455, die onder andere onder de namen Black Energy Group, Iron Viking en Voodoo Bear opereerde. Volgens Demers heeft het onderzoek jaren in beslag genomen en is er nauw samengewerkt met IT-reuzen als Cisco, Facebook, Google en Twitter.

Volgens het Amerikaanse maandblad Wired, dat in 2018 een onthullende reconstructie van de NotPetya-operatie publiceerde, ging het om veruit de meest destructieve aanval uit de IT-geschiedenis. Een exact bedrag is niet bekend, maar volgens het Witte Huis ging het om zeker tien miljard dollar. Grootste individuele slachtoffer was het het Amerikaanse farmaceutisch bedrijf Merck, dat zelf een schadebedrag van 870 miljoen dollar meldde.

Geploeter

Bij Maersk lagen na de aanval op 27 juni 2017 vrijwel alle IT-systemen twee weken plat en het concern zag zich gedwongen vrijwel alle hard- en software te vervangen en opnieuw te installeren. Daarbij ging het om zo’n 4000 servers en 45.000 pc’s. Voormalig topman Jim Hagemann Snabe vertelde een half jaar later op het het World Economic Forum in Davos dat dat in tien dagen was gelukt, maar volgens Wired hebben Maersk-medewerkers nog maandenlang dag en nacht geploeterd om weer op volle sterkte te komen.

Het Amerikaanse blad zegt verder dat een groep IT-managers in 2016 al intern voor de gebrekkige segmentatie en voor verouderde software had gewaarschuwd. Zo zouden sommige servers nog gedraaid hebben op Windows 2000, dat al lang niet meer door Microsoft werd ondersteund. Ze schreven een plan om de beveiliging te verbeteren, maar dat werd volgens Wired nooit uitgevoerd.