CIA, Mossad, providers doelwit hack

Grote sites doelwit Iraanse hackers»
Grote sites doelwit Iraanse hackers  

Door verslaggever Jeroen Wollaars met medewerking van Nieuwsuur-redacteur Roozbeh Kaboly

Onder de websites die na de hack bij het Nederlandse bedrijf Diginotar waarschijnlijk zijn afgeluisterd door Iraanse hackers, bevinden zich alle grote aanbieders van e-maildiensten en sociale netwerken. Ook geheime diensten en Iraanse oppositiesites staan op de lijst van vijftig domeinen die in het bezit is van de NOS. De lijst lijkt ook een boodschap van de hackers te bevatten.

Vorige week werd bekend dat in elk geval de e-maildienst GMail van Google was getroffen door de hack en mogelijk wekenlang is afgeluisterd. Naar nu blijkt zijn ook valse certificaten uitgegeven voor Yahoo, Hotmail, Microsoft Messenger, Twitter, Facebook en Skype.

Dissidenten

Vooral Yahoo en Gmail worden veel door Iraanse dissidenten gebruikt om via internet te communiceren. Op de lijst komt verder de site balatarin.com voor. Dat is een veelbezochte site en nieuwsbron voor Iraniërs in en buiten Iran. Daarop delen Iraniërs die tegen het regime zijn interessante websites met elkaar.

Geheime diensten

Opvallend is verder dat ook voor websites van een aantal internationale geheime diensten valse certificaten zijn gemaakt. Het gaat onder meer om de Israëlische Mossad, de Amerikaanse CIA en MI6 in het Verenigd Koninkrijk. Ook de Iraanse versie van de website van het ministerie van Buitenlandse Zaken van Israel staat op de lijst.

Iraanse internetbezoekers zouden via die vervalste certificaten kunnen worden omgeleid naar nepversies van die sites en gevoelige informatie zou zo bij de Iraanse overheid terecht kunnen komen. Al is de kans niet heel groot dat geheime diensten openbare websites voor gevoelige operaties gebruiken.

Aangepaste software

Daarnaast maakten de hackers certificaten aan voor de software-update-functie van Microsoft, wat er op wijst dat ze mogelijk ook aangepaste programmatuur verspreid hebben om afluisteren nog makkelijker te maken.

Boodschap van de hackers

Opvallend is verder dat het lijkt alsof de hackers een afzender hebben achtergelaten. Er staan drie domeinen op de lijst in het Perzisch, de Iraanse taal: JanamFadayeRahbar.com, RamzShekaneBozorg.com en SahebeDonyayeDigital.com

Janam Fadaye Rahbar verwijst naar een gevleugelde uitspraak van de Revolutionaire Garde van Iran die de Islamitische Staat moet beschermen. Het is gebruikelijk dat die term wordt achtergelaten wanneer zij websites hacken. Het betekent 'ik offer mezelf op voor de Grote Leider'. De term dook ook op bij een vergelijkbare hack bij het certificatenbedrijf Comodo eerder dit jaar.

Ramz Shekane Bozorg betekent 'De Grote Codekraker' en Sahebe Donyaye Digital betekent 'De Eigenaar van de Digitale Wereld'. De berichten wekken de indruk dat de Revolutionaire Garde van Iran achter de kraak zit, maar zeker is dat niet. De laatste twee termen worden niet gebruikt door de Iraanse overheid en doen wat minder professioneel aan.

Complete lijst

CN=*.10million.org
CN=*.JanamFadayeRahbar.com
CN=*.RamzShekaneBozorg.com
CN=*.SahebeDonyayeDigital.com
CN=*.android.com
CN=*.aol.com
CN=*.azadegi.com
CN=*.balatarin.com
CN=*.comodo.com
CN=*.digicert.com
CN=*.globalsign.com
CN=*.google.com
CN=*.microsoft.com
CN=*.mossad.gov.il
CN=*.mozilla.org
CN=*.skype.com
CN=*.startssl.com
CN=*.thawte.com
CN=*.torproject.org
CN=*.walla.co.il
CN=*.windowsupdate.com
CN=*.wordpress.com
CN=Comodo Root CA
CN=CyberTrust Root CA
CN=DigiCert Root CA
CN=Equifax Root CA
CN=GlobalSign Root CA
CN=Thawte Root CA
CN=VeriSign Root CA
CN=addons.mozilla.org
CN=azadegi.com
CN=friends.walla.co.il
CN=login.live.com
CN=login.yahoo.com
CN=my.screenname.aol.com
CN=secure.logmein.com
CN=twitter.com
CN=wordpress.com
CN=www.10million.org
CN=www.Equifax.com
CN=www.balatarin.com
CN=www.cia.gov
CN=www.cybertrust.com
CN=www.facebook.com
CN=www.globalsign.com
CN=www.google.com
CN=www.hamdami.com
CN=www.mossad.gov.il
CN=www.sis.gov.uk
CN=www.update.microsoft.com

Deel deze pagina

Video en Audio

Meer video en audio