Amerikanen en Britten achter computervirus Regin

Een geavanceerd computervirus dat afgelopen weekeinde aan het licht kwam is het werk van Amerikaanse en Britse veiligheidsdiensten. Dat stelt de website The Intercept op basis van onderzoek en documenten van de Amerikaanse klokkenluider Edward Snowden.

Michael Rogers, directeur van de NSA. Beeld getty

Het Regin-virus blijkt ook te zijn gebruikt voor het 'afluisteren' van het Belgische telecombedrijf Belgacom, dat vorig jaar september toegaf het doelwit te zijn geweest van een aanval waarbij onbekenden onopgemerkt miljoenen e-mails hebben onderschept.

De aanval op Belgacom werd vorig jaar toegeschreven aan GCHQ, de afluistertak van de Britse inlichtingendiensten. Dat gebeurde op basis van geheime documenten die zijn geopenbaard door Snowden, de voormalige medewerker van de Amerikaanse veiligheidsdienst NSA die politiek asiel heeft gekregen in Rusland. Belgacom zou een gewild doelwit zijn geweest, omdat het bedrijf én een deel van de verbindingen verzorgt van de Europese Commissie én via een dochter veel verkeer afhandelt uit Afrika, Azië en het Midden-Oosten.

Belgacom zegt nog steeds niet te weten wie er achter de aanval op zijn systemen zit. 'Dat laten we over aan justitie', aldus een zegsman. In een interview met de website MO zei het hoofd beveiliging en informatiebeheer Fabrice Clément vorige maand dat ingehuurde experts het een 'extreem gesofisticeerd' virus noemden, 'een nieuwe generatie malware die voorheen nog nooit was vastgesteld'. Volgens Clément kon het virus zich zo goed verbergen, dat onmogelijk is vast te stellen hoe lang het actief is geweest.

Exact dezelfde typeringen geven beveiligingsbedrijven als Symantec en Kaspersky aan het virus dat Regin is gedoopt. Ze noemen het aannemelijk dat er een westerse inlichtingendienst achter het virus zit, omdat de ontwikkeling van het virus in zijn huidige vorm jaren in beslag heeft genomen en gezien de landen waarin Regin het meest actief is, te weten Rusland en Saoedi-Arabië.

De Belgacom-toren in Brussel. Beeld getty

Ronald Prins van het Nederlandse beveiligingsbedrijf Fox-It, dat door Belgacom werd ingehuurd om besmette computersystemen op te sporen, zegt in The Intercept dat GCHQ en zijn Amerikaanse tegenhanger NSA achter het virus zitten. 'Op basis van eerder gepubliceerde documenten van Snowden en kennis van de malware concludeer ik dat Regin is ingezet door de Britten en de Amerikanen.' Mikko Hypponen, hoofdonderzoeker bij de Finse virusbestrijder, zegt dat het kwaadaardige programma niet afkomstig is van de 'gebruikelijke verdachten'. Daarmee doelt hij op Rusland en China, die regelmatig worden beschuldigd van cyberspionage.

Virusdeskundigen zeggen dat ze al elf jaar lang glimpen hebben opgevangen van Regin, maar pas nu de opzet grotendeels in kaart hebben kunnen brengen.

Regin doet alle moeite om zich te onttrekken aan de gebruikelijke verdedigingsmechanismen. Het vermomt zich als legitieme software en stelt zichzelf samen uit losse onderdelen, zodat moeilijk is te achterhalen wat het doel is van het virus. Het dringt op computers binnen dankzij weeffouten in bonafide programma's zoals het chatprogramma van Yahoo en nagemaakte versies van websites zoals de carrièresite LinkedIn.

Tegenover The Wall Street Journal wilde een Britse veiligheidsfunctionaris niet ingaan op de mogelijke betrokkenheid van GCHQ, maar zei dat het 'notoir ingewikkeld is om de herkomst van malware' te achterhalen. De NSA weigerde commentaar.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 de Persgroep Nederland B.V. - alle rechten voorbehouden