EPA

Ambassades en consulaten van verschillende Europese landen zijn doelwit geweest van een aanval met een spionagevirus. Dat zegt beveiligingsbedrijf ESET, dat het virus Gazer noemt.

Het gaat volgens het beveiligingsbedrijf vooral om ambassades in Zuidoost-Europa en voormalige Sovjet-staten. De landen worden in het belang van het onderzoek niet specifiek genoemd, maar ESET zegt dat het bewijs heeft dat het virus zich richtte op ambassades en consulaten van die landen.

Of ook Nederlandse ambassades en consulaten zijn getroffen, is niet te achterhalen. Het Cyber Security Centrum van de overheid wil daar niets over zeggen. "Wij gaan nooit in op individuele gevallen."

Achterdeurtje

Gazer is een zogeheten backdoor, waarmee een aanvaller op afstand toegang kan krijgen tot een systeem. Zo kan bijvoorbeeld informatie worden verzameld, al zou een aanvaller ook schade kunnen aanrichten.

Waar het spionagevirus precies naar op zoek was, en hoe succesvol het was, is nog niet bekend. "Maar het virus is erop gericht om lang onder de radar te blijven en de aanvallers veel mogelijkheden te bieden", zegt Stefan Boortman van ESET. Volgens het beveiligingsbedrijf gaat het om geavanceerde malafide software, ook wel malware genoemd.

Wie achter de malware zat, is niet met zekerheid te zegen, maar het beveiligingsbedrijf verdenkt de hackinggroep Turla. Die groep is eerder aan Rusland gelinkt en wordt ervan verdacht buitenlandse overheden, legers en onderwijsinstellingen aan te vallen.

Waterdicht bewijs dat die hackersgroep er achter zit, is er overigens niet. Wel komt de werkwijze van de hackers overeen, evenals de doelwitten. Bovendien is een virus dat door Turla is ontwikkeld, gevonden op de meeste computers waarop ook het nieuwe spionagevirus was ontdekt.

Videogames

Opvallend is dat de broncode van het virus verwijzingen naar videogames bevat. Zo bevat de code de tekst only singleplayer is allowed, een verwijzing naar de spelmodus waarin een spel door één speler wordt bestuurd.

Door dat soort verwijzingen moet je je echter niet om de tuin laten leiden, zegt het Slowaakse beveiligingsbedrijf. "Ten prooi vallen aan computercriminelen is geen grap."

Phishing

De aanvallers kwamen binnen bij hun doelwitten door een phishing-mailtje te sturen, waarin mensen ertoe worden verleid om op een linkje te klikken. Vervolgens werd het virus geïnstalleerd.

De aanvallers achter het virus konden met geïnfecteerde computers communiceren via legitieme websites die ze hadden gekraakt en waarachter ze zich verschuilden. Die geïnfecteerde sites werden gebruikt om commando's van de aanvallers bij de geïnfecteerde computers te krijgen. Zo'n commando kan bijvoorbeeld het sturen van gevoelige informatie zijn.

Als de Turla-hackersgroep inderdaad achter het virus zit, is het niet de eerste keer dat de aanvallers een bijzondere manier vonden om te communiceren met geïnfecteerde computers Eerder gebruikten ze daarvoor reacties onder Instagram-foto's van Britney Spears.

STER reclame