Redactie - 18 februari 2021

Onderzoek: Nederland speelt belangrijke rol in Iraanse spionagecampagne

Onderzoek: Nederland speelt belangrijke rol in Iraanse spionagecampagne image

Nederland is een belangrijke schakel in een omvangrijke cyberoperatie waarmee Iran tegenstanders in zowel Europa als de rest van de wereld bespioneerd. Spyware die hiervoor wordt gebruikt draait naar verluid in een datacenter in Haarlem.

Dit meldt het VPRO-programma Argos op basis van onderzoek in samenwerking met securitybedrijf Bitdefender. Vorig jaar bleek al uit onderzoek van Argos en securityonderzoeker Ricky Gevers dat Iran een spionagecampagne uitvoerde tegen Iraanse activisten. Nieuw onderzoek geeft meer inzicht in de omvang en structuur van deze operatie. Alles wijst er volgens de partijen op een command & control-server die de cyberspionnen gebruiken in Nederland staat. Wereldwijd zou spraken zijn van een groot aantal slachtoffers.

'Hele grote internationale spionage-operatie'

Gevers was namens Bitdefender betrokken bij het onderzoek. "Het lijkt een belangrijk voorportaal te zijn van een hele grote internationale spionage-operatie", aldus Gevers tegenover Argos. "We zien op welke mensen dit is gericht. We zien hoe het is opgezet en dat dit al drie jaar lang draait. We zien zodra wij ingrijpen dat de personen achter de knoppen direct wakker worden en maatregelen nemen. Binnen minuten. Dus we weten dat dit voor hen ook een hele belangrijke operatie is."

In een rapport gaat Bitdefender dieper in op de Iraanse cyberspionage. Hieruit blijkt onder meer dat de aanvallen zijn opgebouwd uit twee stappen. In de eerste stap wordt een systeem geïnfecteerd met spyware, waarmee een backdoor wordt gecreëerd. In stap twee wordt ongemerkt een tweede stukje spyware geïnstalleerd, dat meer mogelijkheden biedt. Denk hierbij aan het stelen van data, nemen van screenshots en produceren van geluidsopnames via de microfoon van geïnfecteerd systemen.

Wereldwijd besmettingen

Besmettingen zijn er wereldwijd. Denk hierbij aan Nederland, de VS, India en Zweden. Maar ook aan Iran zelf. In totaal zijn zo'n 120 connecties geïdentificeerd, wat volgens de onderzoekers doet vermoeden dat er veel slachtoffers zijn. De gebruikte command & control server is eigendom van een bedrijf dat op Cyprus is geregistreerd en eigendom is van een Roemeen. Huurders van deze servers rekenen met bitcoins af om anoniem te blijven.

Meer informatie is hier beschikbaar.

Outpost24 17/12/2024 t/m 31/12/2024 BN + BW