Hybride oorlogsvoering uitgelegd en in kaart gebracht

Rusland bestrijdt Europa met cyberaanvallen, sabotageacties, spionage en desinformatie. Dit soort incidenten heeft een naam: hybride oorlogsvoering. Het is een verzamelterm voor alle acties die een tegenstander kunnen verzwakken of verdelen. Waar en wanneer hebben de hybride aanvallen plaatsgevonden die sinds 2024 aan het licht kwamen?

Tientallen incidenten

We hebben voor Europa tientallen incidenten verzameld die de laatste 15 maanden aan het licht kwamen. Een aantal vond in ons land plaats.

Een aangestoken winkelbrand in Polen, valse nieuwsartikels over Duitse politici of cyberaanvallen op onze havens. De incidenten hebben een ding gemeen: het vermoeden dat Rusland erbij betrokken is.

Het gaat om hybride oorlogsvoering, acties om een maatschappij te destabiliseren waarbij ook niet-militaire middelen worden ingezet.

Wij focussen ons op 3 veelvoorkomende vormen van incidenten: beschadiging, beïnvloedingscampagnes en cyberaanvallen. Het gaat voor alle duidelijkheid om een conservatieve schatting: incidenten met te veel twijfel rond bewijslast hebben we niet opgenomen.

3 types aanvallen

We zien 3 types hybride aanvallen: cyberaanvallen, pogingen tot beschadiging en beïnvloedingscampagnes.

Beschadiging

Onder "beschadiging" verstaan we alle acties die tot doel hebben om fysieke schade aan te richten of die effectief schade hebben aangericht. Zowel sabotage, vandalisme, maar ook spionage met het oog op mogelijke sabotage, vallen hieronder.

Beïnvloeding

Onder "beïnvloeding" plaatsen we alle acties die tot doel hebben om de publieke opinie te beïnvloeden of om verdeeldheid te zaaien. Het kan gaan over desinformatiecampagnes, maar ook over beïnvloeding bij verkiezingen.

Cyberaanvallen

Onder "cyberaanvallen" verstaan we acties zoals aanvallen op computernetwerken, hackings of andere digitale aanvallen.

Beschadigingen

In Duitsland verijdelen de veiligheidsdiensten net op tijd de moord op een wapenfabrikant. Op verschillende plekken worden branden gesticht. Inlichtingendiensten vatten ook daders die aan het spioneren zijn boven industrieel terrein. We zien meer dan 30 pogingen waarbij doelwitten fysiek geviseerd worden.

Duitsland

In verschillende Duitse steden spuiten meerdere daders in aanloop van de verkiezingen bouwschuim in de uitlaten van meer dan 270 auto's. Stickers van de groene partij moeten doen vermoeden dat die partij achter de aanslag zit. Maar het zou Rusland zijn die de daders heeft aangestuurd, en daarmee bewust haat wil aanwakkeren en de samenleving wil verdelen.

bouwschuim in uitlaat

In de media wordt er eerst vanuit gegaan dat klimaatactivisten achter de beschadigingen zaten. Achteraf bleek dat niet het geval te zijn.

Warschau, Polen

Polen verdenkt Rusland ervan verantwoordelijk te zijn voor de brand die in 2024 een Pools winkelcentrum vernielt. Volgens de Poolse autoriteiten is een van de hypotheses dat de brand aangestoken is in opdracht van Russische diensten.

De brand verwoest in mei 2024 een van de grootste winkelcentra van Warschau.

Düsseldorf, Duitsland

Rusland beraamt ook een moordcomplot op de baas van de Duitse wapenproducent Rheinmetall. Dat bevestigt een NAVO-kopstuk in januari 2025. Amerikaanse inlichtingendiensten hebben eerder in 2024 ontdekt dat de Russische regering plannen had om de directeur te vermoorden van de machtige Duitse wapenfabrikant die artilleriegranaten en militaire voertuigen voor Oekraïne produceert.

NAVO-topman James Appathurai bevestigt in het Europees Parlement dat er plannen waren om de directeur van Rheinmetall te vermoorden.

Beïnvloeding

Onderzoekers ontdekken grote desinformatienetwerken met valse nieuwsberichten. Op andere plekken krijgen scholen bommeldingen of wordt getracht om verkiezingen te beïnvloeden. Een twintigtal hybride aanvallen probeert in brede zin de publieke opinie te beïnvloeden, om bijvoorbeeld de steun aan Oekraïne te doen afbrokkelen.

Parijs, Frankrijk

Zo vinden de Fransen kort voor de start van de Olympische Spelen in Parijs 5 doodskisten aan de Eiffeltoren met het opschrift “Franse soldaten in Oekraïne”. De Franse inlichtingendiensten verdenken Rusland van de actie.

doodskisten aan de eiffeltoren

Kort voor de Olympische Spelen krijgen bezoekers van de Eiffeltoren ook 5 vreemde doodskisten te zien.

Polen

Sinds 2021 hebben migranten uit het Midden-Oosten bijna 150.000 pogingen ondernomen om via onder andere Polen, Letland of Litouwen de EU binnen te komen. Volgens de Poolse autoriteiten heeft 90 procent een Russisch visum. Ze gaan ervan uit dat Rusland en Wit-Rusland achter deze migratiebewegingen zitten om de EU te destabiliseren.

Mensen proberen de EU-grens over te steken. De plotse toename in het aantal pogingen om de grens over te steken, doet een aantal landen vermoeden dat er sprake is van “georkestreerde migratie”.

Parijs, Frankrijk

In 2024 zaait een vermoedelijk Russische desinformatiecampagne onrust over een bedwantsenplaag in Parijs. De campagne stelt de plaag groter voor, en linkt die aan Oekraïense vluchtelingen.

doodskisten aan de eiffeltoren

Geruchten over mogelijke bedwantsen op het Parijse openbaar vervoer gaan plots een tijdje viraal. Maar er blijkt meer aan de hand.

Cyberaanvallen

Pro-Russische hackerscollectieven leggen in Europa verschillende websites lam en hacken satellieten. Ze vallen ook netwerken van belangrijke instellingen, zoals banken of spoorwegsystemen, digitaal aan. We vinden in totaal een tiental cyberaanvallen terug.

België

In eigen land voert een pro-Russisch hackerscollectief in 2024 cyberaanvallen uit op Belgische overheidswebsites, financiële instellingen, havens en nieuwsmedia. De aanleiding is de militaire steun aan Oekraïne.

In oktober 2024 heeft een pro-Russische hackersgroep meerdere dagen op een rij verschillende websites aangevallen.

Spanje

In juli 2024 arresteert de politie 3 Spaanse hackers die deelnamen aan cyberaanvallen tegen openbare instellingen in Spanje en andere NAVO-landen. De Spanjaarden hebben banden met een pro-Russische hackersgroep.

In beelden van de Spaanse politie is te zien hoe de autoriteiten 3 mensen aanhouden op verdenking van cyberaanvallen.

België

Op de zender BabyTV is eind maart 2024 kort Russische propaganda te zien. De verstoring zou veroorzaakt zijn door hackers die het eigenlijk op Oekraïense televisie gemunt hadden. Ook in andere landen, waaronder in België, worden zenders verstoord.

Baby’s in België - maar ook in Nederland en andere landen – krijgen eventjes Russische propaganda te zien.

Volledig overzicht

Met de knoppen hieronder kan je het volledig overzicht bekijken. Kies een land of type om alle aanvallen te zien.

Hoe verzamelden we deze gegevens?

In samenwerking met andere media heeft VRT NWS binnen het kader van het EBU Investigative Journalism Network gedurende 5 maanden meldingen van illegale operaties verzameld die verband houden met aan Rusland gelinkte actoren.

Zo verzamelden we tientallen incidenten die aan het licht kwamen sinds 2024 over heel Europa. Soms werden de incidenten pas bekend maanden nadat ze hadden plaatsgevonden.

Die incidenten worden beschouwd als “hybride dreigingen”, zoals beschreven door de NAVO - al is er geen eensluidende definitie.

Wat valt hieronder? Zowel aanvallen of plannen om sabotage uit te voeren op civiele, militaire of onderwaterinfrastructuur. Vandalisme, brandstichting en cyberaanvallen vallen er ook onder. Ook beïnvloedingsoperaties, waaronder beïnvloeding van verkiezingen, worden weerhouden.

“Traditionele” spionageoperaties door getrainde inlichtingenofficieren hebben we niet meegerekend.

Gegevens over de incidenten werden verkregen door een combinatie van OSINT-onderzoek van nieuws- en veiligheidsrapporten en (internationale) gesprekken met civiele en militaire inlichtingenbronnen.

Het totaal van "tientallen incidenten” is een conservatieve schatting. We gingen voorzichtig te werk om te vermijden incidenten op te nemen waarvan de link met hybride conflictvoering te vaag is.

We groepeerden de incidenten per type, maar uiteraard is er soms sprake van overlap tussen de categorieën.

Wanneer geen exacte locatie kon worden toegekend - een desinformatiecampagne is bijvoorbeeld moeilijk tot 1 plek terug te brengen - werd gekozen voor de hoofdstad van het meest getroffen land. Wanneer veel verschillende Europese landen getroffen werden, werd er soms voor gekozen Brussel aan te duiden.

Er zijn ook incidenten geweest die op het eerste zicht beschouwd werden als een voorbeeld van hybride dreiging, maar waarvan achteraf bleek dat dat niet het geval was. Die incidenten hebben we niet weerhouden.

Redactie: Ellen Debackere, Jasper Wouters, Tom Buytaert
Eindredactie: Luc van Bakel
Design & development: Alexander Dumarey