Voor Iraanse spionage werd een server gebruikt die vanuit Nederland aangestuurd is. Dat blijkt uit onderzoek van cybersecuritybedrijf Bitdefender in samenwerking met het NPO radioprogramma Argos (HUMAN/VPRO).

Rik Delhaas van Argos vertelde op de radio dat de server werd gebruikt door het Iraanse regime voor het bespioneren van politieke tegenstanders. Nederland lijkt daarmee een belangrijke schakel in de spionagepraktijken van Iran.

In december kwam Argos al met het nieuws dat er een belangrijke ‘command and control-server’ ergens in Nederland zou staan. De server stuurt geavanceerde spionagesoftware aan dat zich vooral richt op windows computers.

Argos nam contact op met de verhuurder van de server: het Amerikaanse hostingbedrijf Monstermeg. Naar aanleiding van dit contact is de samenwerking met de partij achter de server door Monstermeg meteen opgezegd.

Door donder en bliksem kunnen documenten weggesluisd worden

Over de Iraanse cyberspionage heeft Bitdefender donderdag een rapport gepubliceerd. Daarin staat onder andere te lezen dat de aanvallen door een hackersgroep uit Iran bestaat uit twee delen:

  • Het eerste deel bestaat uit het infecteren van een computer met spyware met de naam Foudre (bliksem). Deze spyware zorgt voor een achterdeurtje.
  • Zodra het doelwit belangrijk wordt gevonden wordt door de computer een tweede spyware-bestand gedownload, zonder dat de gebruiker hier erg in heeft. Dit tweede deel heet Tonnerre (donder).

Als zowel Foudre als Tonnerre op de computer zijn geïnstalleerd kunnen er documenten weggesluisd worden en kunnen er zelfs screenshots gemaakt worden.Diefstal van documenten via malware

Bovendien is mogelijk geluidsopnamen te maken met de microfoon van het apparaat door de geïnstalleerde malware.

Spyware maakte vermoedelijk veel slachtoffers

Verhuurder Monstermeg werkte mee aan het onderzoek van Argos en gaf het radioprogramma toegang tot de informatie op de server. Uit de analyse van Argos bleek dat er sprake was van Tonnerre-spyware. Deze spyware heeft naar alle waarschijnlijkheid een hoop slachtoffers gemaakt.

Argos kwam de server op het spoor na een tip van een in Nederland woonachtige Iraanse man. Via de chat app Telegram kreeg de man een bestandje doorgestuurd van een Iraanse dissident. Het bestand werd door de ontvanger niet geopend, maar werd wel onderzocht door Bitdefender.

De Foudre spyware werd in 2016 al eerder onderzocht. De spyware heeft zowel overheidsinstanties als particulieren als doelwit.

Na het onderzoek in 2016 vloog Foudre een tijdje onder de radar, maar de Spyware is afgelopen jaar dus opnieuw boven komen drijven.

Geef een reactie

0 Reacties
Inline Feedbacks
View all comments