Nederland is een belangrijke schakel in een grote cyberoperatie waarmee Iran tegenstanders in Europa en de rest van de wereld bespioneert. Dat blijkt uit nieuw onderzoek van cybersecuritybedrijf Bitdefender in samenwerking met Argos. ‘Het gaat om mensenlevens’.

De spionagecampagne tegen Iraanse activisten bleek eind vorig jaar uit onderzoek door Argos en cyberveiligheidsexpert Rickey Gevers. Inmiddels is door nieuw onderzoek meer duidelijk over de omvang en de structuur van de operatie. Alles wijst erop dat een belangrijke command and control-server - waarmee geavanceerde spionagesoftware wordt aangestuurd - in Nederland staat en dat sprake is van een groot aantal slachtoffers over de hele wereld.  

Gevers was namens antivirusbedrijf Bitdefender ook betrokken bij het nieuwe onderzoek. ‘Het lijkt een belangrijk voorportaal te zijn van een hele grote internationale spionage-operatie’, aldus Gevers. We zien op welke mensen dit is gericht. We zien hoe het is opgezet en dat dit al drie jaar lang draait. We zien zodra wij ingrijpen dat de personen achter de knoppen direct wakker worden en maatregelen nemen. Binnen minuten. Dus we weten dat dit voor hen ook een hele belangrijke operatie is.’

De digitale spionage speelt tegen de achtergrond van Iran’s wereldwijde jacht op tegenstanders en stelselmatige pogingen om verregaand informatie over deze mensen en groepen te verzamelen. In Nederland gaat het bijvoorbeeld om ASMLA, de Arab Struggle Movement for the Liberation of Ahwaz. Medeoprichter Ahmad Mola Nissi werd in 2017 in Den Haag geliquideerd en de beweging was in Nederland doelwit van Iraanse spionnen. Een aantal van de huidige leiders van de Arabisch-Iraanse onafhankelijkheidsbeweging wordt in Nederland en Denemarken verdacht van betrokkenheid bij terrorisme in Iran.

Donder en bliksem

Cybersecuritybedrijf Bitdefender heeft donderdag een rapport gepubliceerd over de Iraanse cyberspionage. Andere antivirusbedrijven kunnen zich hiermee wapenen tegen de spyware, die zich richt op Windows-computers. In de rapportage staat dat de aanvallen door een hackersgroep uit Iran in twee fasen verlopen. Eerst proberen de aanvallers een computer te laten infecteren met spyware genaamd Foudre (bliksem) die een achterdeurtje installeert. Pas als een besmet doelwit belangrijk lijkt, wordt zonder dat de gebruiker dit merkt een tweede spyware-bestand gedownload: Tonnerre (donder) met nog meer mogelijkheden. Eenmaal geïnstalleerd kan deze malware ongemerkt documenten verzamelen en wegsluizen, screenshots nemen en zelfs geluidsopnames maken met de microfoon van het geïnfecteerde apparaat.

Het onderzoek van Bitdefender begon na publicaties van Argos in december. Toen al bleek dat er een command and control-server in Nederland stond voor de Foudre-spyware. Deze server is offline gehaald na contact tussen Argos en verhuurder Monstermeg. Het Amerikaanse hostingbedrijf heeft meegewerkt aan het onderzoek en Argos toegang gegeven tot de informatie op de server. Hierdoor werd de Tonnerre-spyware ontdekt en kon Bitdefender deze analyseren. 

Slachtoffers

Uit onderzoek naar het internetverkeer door cyberveiligheidsexpert Rickey Gevers blijkt verder dat de command and control-server voor Tonnerre zeer waarschijnlijk eveneens in Nederland staat, al is de exacte locatie onduidelijk. Deze server is volgens Gevers van een bedrijf dat op Cyprus is geregistreerd met een Roemeense eigenaar. Huurders betalen in bitcoins, zodat zij anoniem kunnen blijven. Er zijn een paar infecties met de spyware in Nederland, maar de meeste besmettingen zijn geconstateerd in de VS, India, Zweden en opvallend genoeg Iran zelf. Hieronder zijn ook bedrijven of medewerkers van bedrijven. In totaal zijn er in korte tijd zo’n 120 connecties geteld. Een aanwijzing dat er veel slachtoffers zijn.

Ontvoering

Het bestaan van de spionage-operatie bleek vorig jaar na de ontvoering van de Zweeds-Iraanse politiek activist Habib Chaab. Dit kopstuk van de door Iran als terreurbeweging bestempelde ASMLA werd in oktober vanuit Turkije ontvoerd naar Iran en zit daar inmiddels gevangen. Zaterdag is in Argos een reconstructie te beluisteren van de val die de Iraanse geheime dienst voor Chaab had opgezet, met een hoofdrol voor Sabreen S. Deze vrouw dook de afgelopen jaren her en der in Europa op om contact te zoeken met ASMLA-leden.

Met Chaabs telefoon zijn na diens verdwijning berichten en spyware-bestanden gestuurd naar ASMLA-leden en andere Iraanse activisten in Nederland en elders. Een vooraanstaand ASMLA-lid in Nederland, werkzaam bij de anti-Iraanse zender Ahwazna TV, was één van de ontvangers. Zijn telefoon kwam via Argos bij cyberveiligheidsexpert Gevers, die vervolgens deze spyware als eerste analyseerde. 

Misbruik infrastructuur

Dat de servers in Nederland staan komt overeen met het beeld in het onlangs verschenen Dreigingsbeeld statelijke actoren. In deze rapportage van de NCTV en de inlichtingendiensten AIVD en MIVD staat dat Iran een van de landen is die misbruik maken van Nederlandse ICT-infrastructuur voor onder meer cyberspionage. ‘Nederland is aantrekkelijk voor cyberactoren vanwege de hoge kwaliteit van de infrastructuur en de relatieve eenvoud waarmee anoniem ICT-capaciteit kan worden gehuurd.’ De diensten zien dit als een potentiële bedreiging voor de ‘Nederlandse territoriale integriteit’ en de ‘Nederlandse positionering in het buitenland’. 

Het roept de vraag op wie deze dreigingen - die in dit geval óók tegen inwoners van Nederland zijn gericht - in de gaten moet houden. ‘Dit gaat niet over iemand proberen 20 euro afhandig te maken via een of andere scam. Je bent gegevens aan het verzamelen die mensenlevens kunnen kosten’, zegt oud-Tweede Kamerlid Astrid Oosenbrug (PvdA). Oosenbrug is medeoprichter van het Dutch Institute for Vulnerability Disclosure. Deze stichting spoort kwetsbaarheden op in software en digitale systemen en maakt hier melding van. 

De oud-politica maakt zich zorgen over schimmige praktijken in Nederlandse datacentra. Zij noemt het een groot gevaar dat er heel veel online criminaliteit is, maar weinig opsporing. ‘Op het moment dat je het niet weet, kun je er niet tegen optreden. Op het moment dat je het wél weet zul je aan de slag moeten: erachter komen waar deze software draait en deze uit de lucht halen’, aldus Oosenbrug. ‘De vraag is: heb je genoeg mensen die aan het opsporen zijn op het moment dat het wordt gemeld?’

Diplomatiek

Volgens Oosenbrug is er in het geval van de Iraanse spionagepraktijken nog meer nodig. ‘Dit moet op veel hoger niveau uitgespeeld worden. Ook op ambassadeursniveau. Want dit gaat over mensenlevens.’

Reactie Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV)

‘We kunnen geen mededelingen over zaken die de nationale veiligheid zouden kunnen raken, zoals het mogelijk gebruik van servers in Nederland door een buitenlandse mogendheid. In Nederland heeft iedereen ook zelf een verantwoordelijkheid voor zijn veiligheid, inclusief zijn cyber security. Verder hebben aanbieders van openbare communicatienetwerken en -diensten - internet serviceproviders - een zorgplicht. Zij moeten technische en organisatorische maatregelen treffen voor veilig dataverkeer, waaronder bescherming tegen malware. Bij strafbare feiten kunnen politie en OM servers neerhalen; dit gebeurt ook. Omdat Nederland een belangrijke hub van internationaal dataverkeer is, is internationale samenwerking onvermijdelijk om te kunnen optreden tegen online onveiligheid. Naast internationale samenwerking is het soms nodig om statelijke actoren aan te spreken op hun gedrag, omdat zij Nederlandse digitale infrastructuur misbruiken. Nederland staat niet toe dat wie dan ook inbreuk pleegt op zijn digitale soevereiniteit.'