'NSA-hackers' infecteren duizenden computers met malware

Een groep elite-hackers, hoogstwaarschijnlijk van de Amerikaanse inlichtingendienst NSA, heeft sinds 2001 tienduizenden computers geïnfecteerd in tientallen landen wereldwijd. Het bijzonder goed verstopte virus is pas vorig jaar gevonden en heeft al die tijd zijn spionagewerk gedaan.

Het hoofdkwartier van de NSA op Fort Meade in Maryland. Beeld epa

De meest getroffen landen zijn Rusland, Iran, Afghanistan en Pakistan, blijkt uit een maandag gepubliceerd rapport van cybersecuritybedrijf Kaspersky, dat eerder die dag ook al een grote digitale bankroof bekendmaakte. Ook in België, Duitsland en het Verenigd Koninkrijk zijn computers besmet. De doelwitten waren divers: van diplomaten tot wetenschappers, van het leger tot telecombedrijven, van elektriciteitscentrales tot ziekenhuizen.

De malware van het hackerscommando, dat de Equation Group is gedoopt wegens hun voorliefde voor stevige wiskundige trucs, is volgens Kaspersky de meest geavanceerde die ooit is aangetroffen. Het beruchte Stuxnet, een virus dat het Iraanse nucleaire programma platlegde, is deels afgeleid van deze moedermalware.

NSA niet genoemd als dader

Hoewel Kaspersky de NSA niet noemt als dader, wijst alles in die richting. Cyberspecialisten hebben al gewezen op overeenkomsten met de Snowden-documenten, waarin alle interceptiemethoden worden genoemd die Kaspersky nu heeft aangetroffen. Zo installeerden de hackers hun malware in de zogeheten firmware van de computers van de slachtoffers, het onuitwisbare digitale fundament van elke computer. Zelfs met het vernieuwen van het besturingssysteem is zo'n virus niet weg.

Een heel duidelijke aanwijzing is dat zowel in Snowden-documenten als in de malware-monsters die Kaspersky heeft gevonden de term 'grok' voorkomt, als aanduiding voor een keylogger. Dat is software die de toetsaanslagen bijhoudt.

Beeld anp

Lees ook: Hoe hackers ons in het hart raken

Iemand zet op afstand je pacemaker op tilt. Is dat een horrorscenario uit de sciencefiction of een reële mogelijkheid?

Regin

De malware heeft een eigen virtueel bestandssysteem, waardoor het virus niet te zien is in de normale mappen met bestanden op de computer. De NSA-spionagesoftware Regin, dat onder meer bij Belgacom is aangetroffen, gebruikt die truc eveneens. Ook maakte de Equation Group gebruik van 'wormen' die zich op usb-sticks nestelen en zo ook computers kunnen besmetten die niet met het internet verbonden zijn. Stuxnet werkte ook op die manier.

Een van de manieren om computers te besmetten was de onderschepping (in de post) van opgestuurde cd-roms met bijvoorbeeld de presentaties van een wetenschappelijke conferentie. Na die te hebben geïnfecteerd werden ze weer doorgestuurd naar de eindbestemming.

De getroffen landen volgens Kaspersky. Beeld Kaspersky Lab

Meesterstuk

Het Duitse weekblad Der Spiegel onthulde afgelopen jaar al dat de NSA hiermee bezig was. Nu heeft Kaspersky dus echt bewijs gevonden. De onderzoekers beschouwen deze truc als meesterstuk van de hackers: hoe dichter bij het harde gebeente van een computer, hoe moeilijker een virus te vinden is.

Toch zijn er ook nog enkele vraagtekens over de NSA als dader. Kaspersky signaleert zelf dat er grote verschillen zijn met Regin en dat beide virussen soms op dezelfde computers zijn aangetroffen. Als ze allebei van de NSA zijn dan hebben de Amerikanen dus dubbel werk gedaan.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 de Persgroep Nederland B.V. - alle rechten voorbehouden