Op 4 oktober bleek dat de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) een aanval van Russische overheidshackers had afgeslagen. Maar welke mogelijke staatshackers zijn er in Nederland nog meer actief?
Antivirusbedrijf Kaspersky – dat Russisch is en vaak moet uitleggen dat de onderneming echt onafhankelijk is – deed onderzoek naar zogeheten advanced persistent threats. Dat zijn geavanceerde hackersgroepen en hackaanvallen.
Veel van deze aanvallen richten zich op overheidsinstellingen, waarbij ook vooral wordt gezocht naar geheime informatie.
Hierdoor bestaat het vermoeden dat ze namens een overheid opereren en proberen andere landen te bespioneren. De volgende groepen worden volgens Kaspersky verdacht van mogelijke overheidshacks.
Fancy Bear
De hackersgroep Fancy Bear, ook wel bekend onder de namen Pawn Storm en Sofacy, wordt verdacht van de recente aanval op de Organisatie voor het Verbod op Chemische Wapens (OPCW) in Den Haag. Op 4 oktober bleek dat de MIVD deze aanval heeft verijdeld.
Fancy Bear is eerder al meerdere malen beschuldigd van hackpogingen op politieke doelwitten in Nederland. Zo zouden de hackers zich in 2015 hebben gericht op het MH17-onderzoeksteam. Daarnaast werden pogingen gedaan om Nederlandse ministeries te infecteren, aldus bronnen van de Volkskrant.
De hackers zouden in opdracht van de Russische overheid opereren, aldus veel experts. Rusland ontkent bij de hacks betrokken te zijn geweest.
BlackOasis
BlackOasis maakt vooral slachtoffers in het Midden-Oosten, waar voornamelijk politieke doelwitten worden aangevallen. Volgens Kaspersky vallen de hackers sinds kort echter ook andere landen aan, waaronder Nederland.
De hackers gebruiken de spionagemalware FinFisher. Deze malware wordt officieel alleen verkocht aan overheden en politiediensten. Hiermee wordt malware via phishingmails naar slachtoffers verstuurd, die vervolgens worden afgeluisterd.
Het is niet bekend namens welk land BlackOasis opereert, maar vermoedelijk bevindt de groep zich ergens in het Midden-Oosten. Aanvallen zijn uitgevoerd op onder meer Rusland, Irak, Afghanistan, Nigerië, Iran en Libië.
Hades
De hackers van de groep Hades zijn volgens Kaspersky ook actief in Nederland. Ze richten zich met name op financiële instellingen en laboratoria voor de preventie van chemische dreigingen, zowel binnen als buiten Nederland.
Hades is vooral bekend van een malware-aanval op de Olympische Winterspelen van 2018 in Zuid-Korea. Onderzoekers van het antivirusbedrijf dachten lange tijd dat de hackers behoorden tot de Lazarus-groep, een hackersgroep die voor de Noord-Koreaanse staat werkt.
Inmiddels blijkt echter dat ze veel nepbewijs in hun softwarecode hadden achtergelaten om die indruk te wekken. Het is nog de vraag voor wie ze dan wel werken.
Buhtrap
De hackers van Buhtrap werden in 2017 voor het eerst in Nederland gespot. Ze vallen vooral financiële instellingen aan, in een poging zo veel mogelijk geld te stelen.
Overheidshackers zijn meestal op zoek naar informatie in plaats van geld, maar er zijn toch vermoedens dat Buhtrap namens een regering opereert. De gebruikte aanvalstechnieken komen volgens Kaspersky namelijk overeen met de technieken die veel aan overheden gelinkte hackersgroepen gebruiken.
Het is onbekend namens wie Buhtrap zou werken. De hackers vielen eerder vooral doelwitten in Rusland en Oekraïne aan.
The Lamberts
The Lamberts hebben met name instanties in Iran aangevallen, maar ook veel doelwitten in Nederland bestookt. Kaspersky vermoedt dat de hackers zich sinds kort mogelijk meer op ons land richten.
De door deze groep gebruikte malware werd afgelopen jaar uitgebreid besproken in documenten die door WikiLeaks zijn gepubliceerd. Deze aanvalssoftware zou vooral in 2013 en 2014 zijn gebruikt.
Er zijn maar weinig details bekend. Zo weten we niet wat voor doelwitten de hackers voornamelijk aanvallen en namens welke overheid ze opereren.
Turla
Turla wordt verdacht van een aantal prominente hackaanvallen op militaire doelwitten. Zo zouden de hackers in 2008 zijn binnengedrongen bij de Amerikaanse krijgsmacht, waar hun malware op meerdere computers terechtkwam. Een Zwitsers bedrijf dat militaire technologie maakt werd in 2008 aangevallen. Turla zit ook achter aanvallen op meerdere ministeries en overheidsorganisaties.
De hackers vallen meerdere landen aan, waaronder ook Nederland. Omdat de hackers voornamelijk Russisch spreken, wordt gedacht dat de Russische staat achter deze groep zit.
Gatak
Sinds 2015 proberen de hackers van Gatak om uitvindingen van bedrijven en overheden te stelen. Daarbij hebben ze geprobeerd landen over de hele wereld aan te vallen, waaronder ook Nederland.
Dat betekent niet dat Nederland een actief doelwit van de Gatak-hackers is. De hackers vallen websites aan die vaak door hun doelwitten worden gebruikt, zodat ze hier malware op kunnen installeren om via een omweg in te breken. Ze weten meestal niet vanuit welke landen de geïnfecteerde sites worden bezocht, waardoor de hackers afhankelijk zijn van wat hun doelwitten doen.
Het is ook lastig om te bepalen namens welk land Gatak opereert.
Putter Panda
De hackersgroep Putter Panda viel in 2015 de Nederlandse chipmaker ASML aan. Bij de hack werd volgens het bedrijf één bestand gestolen. Verder is er niks over de aanval bekendgemaakt.
ASML is het grootste chipbedrijf in Nederland en ook een grote speler op de internationale markt. De aanval lijkt daarom door een geavanceerd hackersteam te zijn uitgevoerd, waardoor de kans aanzienlijk is dat hij aan een overheid is gelieerd. Het is niet bekend voor wie Putter Panda zou werken.
Animal Farm
De hackers van Animal Farm zijn sinds 2009 actief. Ze hebben hun aanvallen vooral gericht op Franstalige landen, maar maakten ook enkele uitstapjes naar Nederland.
Animal Farm valt volgens Kaspersky vooral overheidsinstanties, militaire bedrijven, activisten en journalisten aan. Omdat hun aanvalsmethodes vrij geavanceerd zijn, is de kans aanwezig dat ze namens een overheid opereren.
‘Zelfde methodes die inlichtingendiensten openbaar maken’
Andere beveiligingsbedrijven bevestigen dat er buitenlandse hackersgroepen in Nederland actief zijn. Frank Groenewegen, expert op het vlak van cybersecurity bij Fox-IT, is bekend met verschillende namen die Kaspersky ook noemt. Hij zegt erbij dat de groepen bij verschillende bedrijven onder verschillende namen bekendstaan. “Dat maakt het soms lastig om te bepalen over wie we het nou eigenlijk hebben”, vertelt hij aan NU.nl. “De één noemt het zus, de ander zo.”
Groenewegen zegt dat de groeperingen “zeer waarschijnlijk” afkomstig zijn uit met name Rusland, China en Iran. “De inlichtingendiensten maken vaak informatie openbaar over methodes en middelen die hackersgroepen gebruiken. Zij wijzen dan specifiek naar die landen. Wij zien die methodes dan vaak zo terug bij hacks die wij onderzoeken.”
Het is nooit helemaal zeker te zeggen of een groep uit een specifiek land komt, zegt Groenewegen. “Je kunt erover speculeren, bijvoorbeeld als de hackers tussen 3.00 en 8.00 uur Nederlandse tijd actief zijn. Dat duidt er waarschijnlijk op dat de hackers uit Azië komen. Aan de andere kant, als een land als de VS wil doen overkomen alsof zij Chinese hackers zijn, dan is dat makkelijk te doen.”
De hackersgroepen zijn nooit naar één specifiek doel op zoek, zegt Groenewegen. “Soms gaat het om bedrijfsspionage, soms zoeken ze naar overheidsdata. Het verschilt per instantie of bedrijf wat er wordt gezocht en gevonden. We hebben zelfs hackers uit Noord-Korea gezien die hacken om op zoek te gaan naar cryptomunten.”
https://www.nu.nl/internet/5507879/staatshackers-actief-in-nederland.html