Computerbeveiliger: meer buitenlandse overheidshackers in Nederland

NOS
Geschreven door
Joost Schellevis
redacteur Tech

De Russische hackers die probeerden in te breken bij de OPCW in Den Haag zijn geen uitzondering. Dat meldt het beveiligingsbedrijf Kaspersky. Het heeft de afgelopen vier jaar verdacht verkeer vanuit Nederland naar negen verschillende geavanceerde hackersgroepen waargenomen.

Het bedrijf zocht naar aanleiding van de Russische OPCW-hackpoging in zijn archieven naar verdacht verkeer van en naar Nederlandse computers. "Nederland is relatief weinig in het nieuws als land dat wordt gehackt, dus wij dachten: we gaan het eens onderzoeken", zegt onderzoeker Jornt van der Wiel van Kaspersky.

Kaspersky, dat zelf uit Rusland komt en in het verleden het verwijt heeft gekregen dat het te dicht bij de Russische geheime diensten staat, noemt geen namen van landen die achter die hackersgroepen zouden zitten. Maar eerder zijn de hackgroepen gelieerd aan onder meer China, de Verenigde Staten en mogelijk Israël.

Het gaat duidelijk om overheden, want de hackers zijn niet op zoek naar geld maar naar informatie

Kaspersky-onderzoeker Jornt van der Wiel

"Het is voor ons heel lastig om te zeggen uit welk land een hackersgroep komt, ook omdat ze soms valse sporen achterlaten om te doen alsof het om een ander land gaat", zegt Van der Wiel. "Maar het is wel duidelijk dat het gaat om overheden, omdat ze niet zijn geïnteresseerd in financieel gewin, maar het verkrijgen van informatie."

Overigens trof Kaspersky ook verkeer aan van de Russische hackersgroep die ook achter de hackpoging bij de OPCW zou zitten. Die hackpoging, door de Russische militaire inlichtingendienst GROe, kwam vorige week aan het licht. Ook een andere Russische spionage-hackersgroep is volgens Kaspersky in Nederland waargenomen.

Moeilijk te bewijzen

Veel beveiligingsbedrijven zijn terughoudend met het toeschrijven van hackaanvallen aan een bepaald land, omdat het op internet eenvoudig is om sporen te wissen.

In veel gevallen is echter wel duidelijk welk land achter een bepaalde aanval zit. Zo is volgens Kaspersky de hackersgroep Turla in Nederland actief; die zou ook achter hackaanvallen op de Amerikaanse overheid zitten die worden toegeschreven aan Rusland.

Een andere hackersgroep die volgens Kaspersky actief is in Nederland, is gelieerd aan China. Het gaat daarbij om de hackers die in 2015 inbraken bij chipmachinefabrikant ASML.

Niet vies

Ook bondgenoten lijken niet vies van een beetje hacken. Kaspersky trof verkeer aan dat duidt op activiteit van een groep die eerder met de CIA in verband is gebracht. Van een andere in Nederland actieve groep, die normaal vooral in het Midden-Oosten actief is, wordt gespeculeerd dat Israël erachter zit.

Het gaat daarbij niet per se om aanvallen op Nederland: het kan ook gaan om doelwitten uit andere landen die zich in Nederland bevinden. Volgens Kaspersky richtten de aanvallers zich onder meer op diplomaten, maar ook op bedrijven.

Zo zouden ze een universitair medisch centrum hebben aangevallen, maar ook een bedrijf dat machines maakt voor de voedselindustrie. Ook een 'hightechbedrijf op het gebied van communicatie' zou doelwit zijn geweest.

Het soort doelwit verschilt per groep, zegt Kaspersky: zo zijn sommige groepen"op zoek naar intellectueel eigendom, terwijl andere groepen vooral interesse hebben voor informatie over wat er speelt in een land.

Hoe onderzocht Kaspersky dit?

Veel virussen communiceren met een server, bijvoorbeeld om informatie naartoe te sturen of nieuwe instructies van te krijgen. Soms vergeten aanvallers om de domeinnaam (zoals: 'bijvoorbeeld.nl'), te verlengen. Daardoor komt hij weer op de markt, waarna beveiligingsbedrijven hem kunnen registreren en het verkeer van het virus kunnen onderscheppen. Dat is een van de belangrijkste bronnen van informatie voor Kaspersky in dit onderzoek, naast informatie die klanten van de virusscanner van Kaspersky geautomatiseerd doorsturen naar het bedrijf.

Niet verbaasd

Frank Groenewegen van beveiligingsbedrijf Fox-IT is niet verbaasd over de resultaten van Kaspersky. "Ook wij hebben alle overheidshackers wel voorbij zien komen", zegt Groenewegen. "In Nederland zien we vooral aanvallen die afkomstig lijken te zijn van Iraanse, Chinese en Russische hackers."

Het is maar het topje van de ijsberg, denkt hij. "Heel vaak weten organisaties niet eens dat ze zijn gehackt."

De AIVD waarschuwt al langer voor spionage door buitenlandse overheden, die in veel gevallen via internet gebeurt. De dienst maakt zich onder meer zorgen om Rusland en China.

Verschil

Hoewel alle landen in de praktijk aan hacking doen, zijn er grote verschillen in de manier waarop. Zo heeft Rusland in het verleden vaak ingebroken om belastende informatie te achterhalen en die vervolgens te publiceren. China heeft zich onder meer schuldig gemaakt aan economische spionage, terwijl westerse landen vooral in het nieuws kwamen door vergaande hack- en spionage-operaties tegen terrorisme.

Kaspersky: aan de leiband van de Russische geheime dienst of niet?

Het Russische Kaspersky wordt geroemd om zijn kennis, maar is niet onomstreden. Zo zou het bedrijf wel erg dicht aanschuren tegen de Russische geheime dienst FSB. Ook zou informatie van de Amerikaanse geheime dienst zijn uitgelekt nadat een medewerker Kaspersky-software had gebruikt.

Het was een reden voor het kabinet om gebruik van Kaspersky-antivirussoftware door de Rijksoverheid uit te bannen. Volgens Kaspersky zelf werkt de dienst inderdaad samen met de FSB, maar doet het dat ook met de autoriteiten in andere landen.

In de NOS op 3 Tech Podcast praten NOS-techredacteur Joost Schellevis en beveiligingsexpert Jornt van der Wiel uitgebreid verder over deze zaak:

Luister 'm hier:

STER Reclame