Komt het Sony-virus uit Iran?

De aanval op Sony vertoont grote overeenkomsten met een digitale aanval op de nationale Saoedische oliemaatschappij, twee jaar geleden, die wordt toegeschreven aan Iran. Loopt daarvandaan een lijntje naar Noord-Korea?

Het hoofdkantoor van Sony in Culver City, California.Beeld epa

Waar hebben we dit eerder gezien, dacht Kurt Baumgartner van computerbeveiligingbedrijf Kaspersky Labs toen hij zich boog over de beschikbare informatie over de Sony-hack. Juist. In Saoedi-Arabië. Daar namen twee jaar geleden, in augustus 2012, hackers via een lek in het Windows-besturingssysteem bezit van de systemen van Saudi Aramco, het grootste oliebedrijf ter wereld. Dertigduizend computers werden gewist. De systemen lagen een week plat. Via een backup kon de data ternauwernood worden teruggehaald. Een groep die zich de 'Cutting Sword of Justice' noemde stelde zich verantwoordelijk voor het virus, dat 'Shamoon' werd gedoopt.

Wraak

Ook bij Sony zijn duizenden harde schijven gewist - dit keer nadat de data eerst was gekopieerd en weggesluisd. Nu heet de groep Guardians of Peace. Nu is het virus Destover gedoopt. Maar volgens Baumgartner en Nederlandse experts die onderzoek hebben gedaan bij Saudi Aramco maakten de twee groepen van vergelijkbare technieken gebruik. Een tweetrapsraket, waarbij na binnenkomst dezelfde software (EldoS RawDisk) is gebruikt om de beveiliging te omzeilen en de harde schijven te wissen. De aanval op Saudi Aramco zou kunnen zijn uitgevoerd door radicale islamisten binnen het oliebedrijf zelf (de hackers lieten plaatjes van brandende Amerikaanse vlaggen achter op de computers). De meeste vingers wijzen echter naar Iran, dat op deze manier revanche zou hebben willen nemen op alle handlangers van de Verenigde Staten, dat met hun Stuxnet-virus het Iraanse nucleaire programma had gesaboteerd.

Iran tekende een maand later een cybersamenwerkingsovereenkomst met Noord-Korea. Is de malware daar zo terechtgekomen?

Het scherm van een gehackte computer van Sony.Beeld -

Trend

Veel is nog onduidelijk over de aanval op Sony. De enige concrete informatie komt van de FBI, dat twee weken geleden waarschuwde voor een 'vernietigend virus' dat in de VS in omloop is, met Koreaanse teksten erin. Volgens Kevin Mandia van het computerbeveiligingsbedrijf Mandiant, dat de Sony-hack onderzoekt, is dit hetzelfde virus als dat Sony heeft getroffen.

Uit deze waarschuwing blijkt tevens dat Sony niet het enige doelwit is. De aanval lijkt onderdeel van een bredere trend, waarbij het de hackers niet te doen is om bedrijfsgeheimen (industriële spionage) of persoonsgegevens van klanten, maar puur om sabotage. Ook Iran laat zich daarbij niet onbetuigd: het wiste in februari de harde schijven van het Sands casino in Las Vegas, omdat eigenaar Sheldon Adelson had gezegd dat Amerika een atoombom op Iran moest gooien.

De film waar het de hackers om te doen is; the Interview.Beeld reuters
Beeld afp
Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden