Iraanse spyware blijkt te draaien vanuit een datacenter in Haarlem. Dat ontdekte journalisten van onderzoeksprogramma Argos. De NCTV is intussen op de hoogte. Samen met cybersecuritybedrijf Bitdefender zochten ze de zaak uit.
Nederland blijkt een belangrijke schakel te zijn in een grote cyberoperatie waarmee Iran tegenstanders in Europa en de rest van de wereld bespioneert. Dat bleek eind vorig jaar al maar intussen is door nieuw onderzoek meer duidelijk over zowel omvang als structuur van die operatie.
Zo is nu bijna honderd procent zeker dat een zogenaamde command and control-server, waarmee je geavanceerde spionagesoftware kunt aansturen, in Nederland staat. Er zou sprake zijn van een groot aantal slachtoffers over de hele wereld.
Voorportaal
Beveiligingsbedrijf Gevers, die ook aan het onderzoek meewerkte. was namens antivirusbedrijf Bitdefender ook betrokken bij dit nieuwe onderzoek. De servers in Nederland lijken een belangrijk voorportaal te zijn van een hele grote internationale spionage-operatie. “We zien op welke mensen dit is gericht. We zien hoe het is opgezet en dat dit al drie jaar lang draait. We zien zodra wij ingrijpen dat de personen achter de knoppen direct wakker worden en maatregelen nemen. Binnen minuten. Dus we weten dat dit voor hen ook een hele belangrijke operatie is.”
De digitale spionage maakt deel uit van de wereldwijde jacht van het land op tegenstanders. Iran doet stelselmatige pogingen om allerlei informatie over mensen en groepen te verzamelen. In Nederland gaat dat bijvoorbeeld om ASMLA, de Arab Struggle Movement for the Liberation of Ahwaz.
De medeoprichter Ahmad Mola Nissi werd in 2017 in Den Haag geliquideerd. Verder was de beweging in Nederland doelwit van Iraanse spionnen. Een aantal van de huidige leiders van de Arabisch-Iraanse onafhankelijkheidsbeweging wordt in Nederland en Denemarken verdacht van betrokkenheid bij terrorisme in Iran.
Donder en bliksem
Cybersecuritybedrijf Bitdefender publiceerde donderdag een rapport over de Iraanse cyberspionage. Met als doel dat ook andere antivirusbedrijven hiermee kunnen wapenen tegen de spyware. Die richt zich vooral op Windows-computers.
In de rapportage staat dat de aanvallen door een hackersgroep uit Iran in twee fasen verlopen. Eerst proberen de aanvallers een computer te laten infecteren met spyware genaamd Foudre (bliksem) die een achterdeurtje installeert. Pas als een besmet doelwit belangrijk lijkt, wordt zonder dat de gebruiker dit merkt een tweede spyware-bestand gedownload: Tonnerre (donder) met nog meer mogelijkheden. Eenmaal geïnstalleerd kan deze malware ongemerkt documenten verzamelen en wegsluizen, screenshots nemen en zelfs geluidsopnames maken met de microfoon van het geïnfecteerde apparaat.
Het onderzoek van Bitdefender begon na publicaties van Argos in december 2020. Toen al bleek dat er een command and control-server in Nederland stond voor de Foudre-spyware. Deze server is offline gehaald na contact tussen Argos en verhuurder Monstermeg. Het Amerikaanse hostingbedrijf werkte mee aan het onderzoek en gaf Argos toegang tot de informatie op de server. Hierdoor werd de Tonnerre-spyware ontdekt en kon Bitdefender deze analyseren.
Slachtoffers
Uit onderzoek naar het internetverkeer door cyberveiligheidsexpert Rickey Gevers blijkt verder dat de command and control-server voor Tonnerre zeer waarschijnlijk ook in Nederland staat. Waar precies is nog niet duidelijk. Deze server is volgens Gevers van een bedrijf dat op Cyprus is geregistreerd met een Roemeense eigenaar. Huurders betalen in bitcoins, zodat zij anoniem kunnen blijven.
Er zijn een paar infecties met de spyware in Nederland, maar de meeste besmettingen vinden plaats in de VS, India, Zweden en Iran zelf. Hieronder zijn ook bedrijven of medewerkers van bedrijven. In totaal zijn er in korte tijd zo’n 120 connecties geteld. Een aanwijzing dat er veel slachtoffers zijn.
Misbruik infrastructuur
Dat de servers in Nederland staan komt overeen met het beeld in het onlangs verschenen Dreigingsbeeld statelijke actoren. In deze rapportage van de NCTV en de inlichtingendiensten AIVD en MIVD staat dat Iran een van de landen is die misbruik maken van Nederlandse ICT-infrastructuur voor onder meer cyberspionage. “Nederland is aantrekkelijk voor cyberactoren vanwege de hoge kwaliteit van de infrastructuur en de relatieve eenvoud waarmee anoniem ICT-capaciteit kan worden gehuurd.”
Reactie Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV)
De onderzoekers vroegen de NCTV om een reactie maar kregen die in elk geval niet inhoudelijk. “We kunnen geen mededelingen over zaken die de nationale veiligheid zouden kunnen raken,”zegt de NCTV in een schriftelijke reactie.
Lees ook:
- Nederlandse digitale veiligheidsbelangen kwetsbaar voor andere landen
- Veilige ontsluiting online diensten – Signicat helpt de digitale overheid
