Een jongen loopt langs een Iraanse vlag in de hoofdstad Teheran ANP/EPA

Drie Nederlandse universiteiten en een hbo-instelling waren de afgelopen maanden doelwit van Iraanse overheidshackers, blijkt uit eigen onderzoek van consultancybedrijf PwC. Ook universiteiten in de rest van Europa, Australië en de Verenigde Staten kregen met aanvallen te maken.

De Iraanse aanvallers hadden een opvallend motief: ze wilden academische kennis zoals boeken en lesmateriaal stelen, stelt PwC, dat ook actief is op het gebied van cybersecurity. Hoe succesvol de recente hackpogingen waren, is niet bekend.

"Op deze manier wil de Iraanse overheid studenten in dat land voorzien van kennis", zegt Gerwin Naber, hoofd digitaal onderzoek bij PwC. "Die is door sancties niet altijd even goed beschikbaar."

Twee jaar geleden klaagde de Amerikaanse overheid al negen Iraniërs aan voor het hacken van universiteiten, waaronder ook Nederlandse. Maar dat heeft de aanvallers allerminst afgeschrikt, blijkt uit onderzoek van het bedrijf.

Effectief

"Aan de infrastructuur die ze gebruiken, zien we dat dezelfde groep aanvallers nog actief is", zegt Naber. "Ze waren in ieder geval in november nog bezig."

Dat de aanvallen twee jaar na de Amerikaanse aanklacht nog doorgaan, zegt iets over de effectiviteit, denkt Naber. "Blijkbaar levert het Iran voldoende op."

De aanvallers werden door het Amerikaanse ministerie van Justitie eerder al gelinkt aan de Iraanse Revolutionaire Garde. Dat elite-onderdeel van het Iraanse leger zou de aanvallers hebben aangestuurd.

Lesmateriaal

De aanvallers verkopen de buitgemaakte boeken, bundels en ander lesmateriaal op Iraanse sites. Dat gebeurt tegen lage prijzen: voor soms minder dan een euro tot een paar euro krijg je als Iraanse student materiaal dat in Nederland voor tientallen euro's wordt verkocht.

"Een van de grote obstakels voor Iraanse studenten is toegang tot lesmateriaal", is te lezen op een van de websites. "Deze site met zes miljoen boeken komt grotendeels tegemoet aan de behoeften van onderzoekers." De boeken zijn afkomstig van honderden universiteiten wereldwijd.

Op de Iraanse sites worden ook Nederlandse boeken verkocht NOS

Ook maken de aanvallers inloggegevens van studenten buit, om die op een ander Iraans forum te plaatsen. De Iraanse studenten kunnen daarmee inloggen op digitale bibliotheken die anders voor hen gesloten zouden blijven.

Ook accounts van Nederlandse universiteiten worden daar uitgewisseld, hoewel Engelstalige onderwijsinstellingen een stuk populairder zijn. In totaal worden inloggegevens voor 5000 onderwijsinstellingen aangeboden, waaronder ook middelbare scholen.

Gevoeliger materiaal

Het is de vraag of het bij lesmateriaal is gebleven, stelt Naber. "Het is moeilijk vast te stellen wat er precies is gestolen", zegt hij. "Lesmateriaal is misschien nog relatief onschuldig, maar in potentie kan er ook gevoeliger materiaal zijn gestolen."

Bewijs daarvan is er niet. In zijn meest recente jaarverslag, uit 2018, waarschuwde inlichtingendienst AIVD dat Iran een "offensief cyberprogramma" tegen Nederland heeft. Ook wetenschappelijk onderzoek is daarbij niet veilig.

Op een Iraans forum worden gebruikersnamen en wachtwoorden van studenten aangeboden NOS

"De AIVD waarschuwt al langere tijd voor belangstelling van een buitenlandse overheid in Nederlandse hoogwaardige kennis en het risico op digitale aanvallen om die te bemachtigen", laat een woordvoerder van de AIVD weten. De voorbereiding van onderwijsinstellingen op deze aanvallen lijkt wat hem betreft "niet voldoende".

Of de recente inbraakpogingen even succesvol zijn als de eerdere inbraken, is onbekend. Bronnen bekend met de materie bevestigen tegenover de NOS dat er twee jaar geleden succesvol is ingebroken bij Nederlandse onderwijsinstellingen. Maar of de recente pogingen ook succesvol waren, is onbekend. De onderwijsinstellingen die zijn aangevallen, zeggen zelf geen verdacht verkeer te hebben waargenomen.

Blackboard

De aanvallers stuurden phishing-boodschappen naar studenten, blijkt uit het PwC-onderzoek. Ze deden zich daarbij voor als een legitieme website die aan de onderwijsinstelling was gelieerd, zoals Blackboard. Die digitale leeromgeving is populair bij universiteiten.

In de phishing-mails werd studenten bijvoorbeeld gewaarschuwd dat ze zogenaamd te lang een boek hadden geleend in de universiteitsbibliotheek. Die mails zien er vaak goed gelijkend uit en bevatten kloppend taalgebruik, maar leiden in de praktijk naar een malafide website, waar de login-gegevens worden afgevangen.

Wat voor gevoelige kennis valt er te halen bij Nederlandse universiteiten? En zijn de maatregelen echt nodig? NOS op 3 maakte daar eerder deze video over:

STER reclame