Hoe gevaarlijk is het Iraanse cyberleger?

Dimitri Tokmetzis
Correspondent Surveillance & Technologie

Sinds de moordaanslag op generaal Qassem Soleimani wordt gewaarschuwd voor cyberaanvallen van Iran. Hoe serieus is die dreiging?

Vrijwel direct nadat een Amerikaanse drone de Iraanse generaal Qassem Soleimani om het leven had gebracht, werd gewaarschuwd voor vergeldingsacties van Iran. Vannacht heeft het Iraanse leger twee Amerikaanse bases in Irak met ruim twintig raketten onder vuur genomen. Er zouden daarbij geen doden

De Amerikaanse overheid houdt niet alleen rekening met militaire vergelding, maar wijst ook op het gevaar van cyberaanvallen. Het Amerikaanse ministerie van Binnenlandse Veiligheid bijvoorbeeld sinds maandag bedrijven en organisaties dat ze rekening moeten houden met Iraanse pogingen tot online spionage en sabotage.

Tussen 2007 en 2012 was Iran zélf meermaals slachtoffer van cyberaanvallen op haar atoomprogramma en olie-industrie. De bekendste aanval kwam van de Verenigde Staten en Israël, die met het zogenoemde Stuxnet-virus centrifuges voor de verrijking van uranium wisten Ook de Nederlandse AIVD speelde een rol door het virus in de opwerkingsfabriek in Natanz binnen te Na Stuxnet werden nog enkele virussen op Iraanse computers losgelaten die gevoelige informatie ontvreemdden en alle data op talloze computers wisten, waarmee die

Sindsdien heeft Iran flink geïnvesteerd in offensieve hackcapaciteiten en die ook toegepast. Iran is steeds meer een digitale macht om rekening mee te houden.

De vraag is daarom: welke cyberdreiging gaat er inmiddels uit van Iran?

Eerst: waar komt de kennis over de Iraanse cybercapaciteiten überhaupt vandaan?

Online spionage en sabotage gebeurt zo veel mogelijk in het geheim, dus hoe weten we wat hackers, hackgroepen en overheden precies doen? Wie gebruikt welke malware? Wie kun je verantwoordelijk houden voor welke aanvallen?

Uiteraard houden inlichtingendiensten elkaar in de gaten. De Amerikaanse NSA zal vermoedelijk een aardig beeld hebben van wat de Iraanse overheid op cybergebied uitspookt. Via de weten we bijvoorbeeld dat de NSA aan het begin van de jaren tien heeft ingebroken bij een Iraanse hackgroep die verbonden was aan de overheid. De NSA kon over de schouders van de hackers meekijken naar wat ze

Maar dit soort kennis is doorgaans niet openbaar. Het zou daarom kunnen dat Iran over formidabele hackcapaciteiten beschikt waar we nog niet van weten.

De meeste informatie komt uit de private sector en wordt gepubliceerd door cybersecuritybedrijven die malware analyseren. Iedere cyberaanval laat digitale sporen na. Analytici van die bedrijven kijken naar hoe onderschepte malware precies werkt, naar unieke sporen in de softwarecode, naar de technische infrastructuur die wordt gebruikt om de malware te verspreiden. Staan servers vanwaaruit een besmetting plaatsvindt bijvoorbeeld

Uiteindelijk zijn staatshackers vaak ook gewoon ambtenaren

Ook andere sporen kunnen duidelijkheid geven over wie bepaalde malware heeft gemaakt en verspreid. Als bijvoorbeeld Iraanse dissidenten in het buitenland worden gehackt, ligt het voor de hand om de daders in Iran te zoeken. De afgelopen jaren kon in een aantal gevallen een reeks aanvallen naar Iran worden herleid omdat ze nooit op donderdag en vrijdag plaatsvonden (het weekend in Iran). Op Iraanse feestdagen kwamen de aanvallen stil te liggen en verder werden ze netjes op kantooruren in Iraanse tijd uitgevoerd. Uiteindelijk zijn staatshackers vaak ook gewoon

In al die sporen worden dus patronen gevonden waarmee langzaam inzicht wordt verkregen in verschillende groepen hackers. Als die groepen in dienst van een staat werken, worden ze ook wel aangeduid met de term APT. Dat staat voor Advanced Persistent Threat, een groep die langdurig toegang heeft tot computernetwerken. Iedere groep krijgt een nummer van de onderzoekers. De Iraanse hackgroepen zijn bijvoorbeeld Vaak hebben deze groepen ook nog andere namen, wat soms nogal

Welke groepen zijn er dan in Iran actief?

Iran heeft een rijke Er zijn dus de staatshackers, zoals vermoedelijk de hierboven genoemde APT-groepen. Opvallend is dat die niet onder het gezag van de president en dus de maar vaak onder de

Ook zijn er politiek gemotiveerde hackgroepen die zich naar buiten toe als onafhankelijk presenteren, maar in de praktijk vaak nauw samenwerken met het regime. Soms houden deze groepen er ook criminele activiteiten op na, maar die worden gedoogd zolang de hackers ook klusjes voor de

Tijdens de Groene Revolutie in 2009, waarin honderdduizenden mensen in Iran de straat opgingen om hervormingen te eisen, liet het Iranian Cyber Army van zich horen door websites en socialemediaprofielen van dissidenten te hacken. Maar er zijn ook andere groepen, zoals de Islamic Cyber Resistance Group, de Iran Black Hats, de Sun Army en het Mortal Kombat Underground Security Team. Voor deze groepen ligt de focus op Iran. Zij helpen de oppositie te onderdrukken.

Er zijn ook groepen die zich in het buitenland laten gelden, zoals de Izz ad-Din al-Qassam Cyber Fighters, die in 2012 uitvoerden op Amerikaanse financiële instellingen, wat tot tientallen miljoenen aan schade leidde.

Welke dreiging gaat uit van deze groepen?

Om erachter te komen welke dreiging deze groepen vormen, moeten we kijken naar twee soorten activiteiten die ze tot nu toe ondernomen hebben.

De eerste is spionage.

Een van de meest spectaculaire hacks die Iran heeft uitgevoerd is die van DigiNotar Dit Nederlandse bedrijf gaf beveiligingscertificaten uit voor websites. Iran bleek vijfhonderd van die certificaten te hebben nagemaakt. Daardoor konden de hackers browsers laten geloven dat ze contact maakten met bijvoorbeeld een website van Google, zoals Gmail, terwijl het in werkelijkheid een website van de Iraanse geheime dienst was.

Door de DigiNotar-hack waren in één klap heel veel websites niet meer te vertrouwen

Dit was een relatief kleine hack, maar had zeer grote gevolgen, omdat in één klap heel veel websites niet meer vertrouwd konden worden, vooral van de Nederlandse overheid, die gebruikmaakte van de diensten van DigiNotar. Diensten als DigiD zouden niet meer bruikbaar zijn, omdat ze door de hack niet meer werden vertrouwd. Op het nippertje werd een oplossing gevonden, maar de potentiële schade en ontregeling waren

De informatie die Iraanse hackers stelen, kan nog gevaarlijker zijn. Vijf jaar geleden, eind 2014, publiceerde het Amerikaanse cybersecuritybedrijf Cylance een over wat het Operation Cleaver noemde. Sinds 2012 zou een groep Iraanse hackers systematisch bedrijven binnendringen die software en apparatuur leverden voor infrastructuur en industrie, en er met gevoelige gegevens vandoor gaan.

Het gaat hier om zogenoemde Industrial Control Systems (ICS) of Supervisory Control and Data Acquisition (SCADA). Deze systemen worden gebruikt bij infrastructurele projecten (dammen bijvoorbeeld), nutsvoorzieningen (elektriciteitscentrales) en industrie (oliepijpleidingen en dergelijke).

Na de ontdekking van deze spionagecampagne zijn de Iraniërs blijkbaar gewoon doorgegaan met het stelen van dit soort informatie. Afgelopen november nog onderzoekers van Microsoft dat APT 33, een hackersgroep in dienst van de Iraanse staat, informatie aan het stelen was bij aanbieders van deze Industrial Control Systems.

De vrees was en is dat Iran deze kennis kan misbruiken om sabotage te plegen, net zoals Stuxnet dat een paar jaar eerder deed bij de uraniumcentrifuges in Iran. Die vrees is niet onterecht, want sinds Stuxnet heeft met name Rusland al een paar keer met succes dit soort aanvallen uitgevoerd, vooral op Oekraïense Dit soort aanvallen kunnen erg gevaarlijk en ontwrichtend zijn.

En Iran heeft al laten zien dat het niet terugschrikt voor sabotage.

Wat doet Iran aan sabotage?

Iran heeft uitgebreide ervaring met een andere vorm van sabotage, namelijk het massaal wissen en onklaar maken van computers. In 2012 voerde het een aanval uit met het Shamoon-virus, een zogenoemde wiper, op een oliemaatschappij in Hierbij werd driekwart van de computers van het bedrijfsnetwerk besmet en geheel gewist. Al die computers moesten vervangen worden. Die systemen die direct betrokken waren bij de oliewinning en -verwerking werden niet aangetast.

Sindsdien voert Iran nog steeds aanvallen uit met nieuwe versies van Shamoon, meestal op bedrijven die betrokken zijn bij de Saoedische oliewinning, zoals Afgelopen december nog waarschuwden onderzoekers van IBM dat Iran tegen energiebedrijven in het Midden-Oosten nieuwe malware (ZeroClear genoemd) inzette die ook computers wist.

Wat kan Iran nu gaan doen?

Voor de duidelijkheid: niets is zeker op dit moment. Het zou kunnen dat Iran cyberwapens heeft die nog niet publiekelijk bekend zijn. Op dit moment is het nog vrij rustig. Er zijn wat websites gehackt waarop Iraanse propaganda is geplaatst, maar dat stelt natuurlijk vanuit militair oogpunt niets voor.

Iran heeft nog niet laten zien dat het daadwerkelijk grote schade kan toebrengen aan industriële systemen

Iran heeft nog niet laten zien dat het daadwerkelijk grote schade kan toebrengen aan industriële systemen, of fysieke schade aan bijvoorbeeld energiecentrales kan veroorzaken, zoals Rusland dat wel heeft gedaan. Wel is het aannemelijk dat Iran over veel gevoelige informatie over die industriële systemen beschikt.

Waarschijnlijk is het op dit moment niet in het belang van Iran om een grootschalige aanval uit te voeren. Iran opereert op het gebied van cyberoorlogvoering nog niet op het niveau van landen als de Verenigde Staten, Rusland, China, Israël en het Verenigd Koninkrijk.

Een aanval zal vrijwel zeker een forse tegenreactie uitlokken van de Verenigde Staten. Die hebben meermaals laten zien grote schade te kunnen toebrengen aan Iraanse doelwitten, met Stuxnet en enkele Maar ook vorig jaar juni nog, toen er grote spanningen waren in de maakte de NSA naar verluidt het luchtafweergeschut van Iran onklaar met

Wel is Iran in staat om met relatief kleine hacks veel schade toe te brengen, zoals met de wipers Shamoon en ZeroClear. Misschien kunnen we wat DDoS-aanvallen zien. Of wordt er ergens gevoelige data gestolen.

Eerder overlast dan oorlogsvoering

Maar soms hoef je als land niet over enorme capaciteiten te beschikken om een paar flinke tikken uit te delen. Denk aan DigiNotar: een relatief simpele hack, die potentieel enorm veel schade had. Maar uiteindelijk valt dat meer in de categorie overlast dan oorlogvoering.

In Nederland hoeven we ons waarschijnlijk weinig zorgen te maken. Wij zijn niet echt een partij in dit conflict. Daarnaast richten de meeste aanvallen van Iran zich tot nu toe op andere landen in het Midden-Oosten (in het bijzonder Saoedi-Arabië) en, in mindere mate, op de Verenigde Staten.

Van Iran hebben we op dit moment, vermoed ik, op cybergebied niet heel veel te vrezen.

Meer lezen?