/dc-useruploads-images/54ebe274b1414dd58211f9615b03eb0b.png)
Vrijwel direct nadat een Amerikaanse drone de Iraanse generaal Qassem Soleimani om het leven had gebracht, werd gewaarschuwd voor vergeldingsacties van Iran. Vannacht heeft het Iraanse leger twee Amerikaanse bases in Irak met ruim twintig raketten onder vuur genomen. Er zouden daarbij geen doden zijn gevallen.
De Amerikaanse overheid houdt niet alleen rekening met militaire vergelding, maar wijst ook op het gevaar van cyberaanvallen. Het Amerikaanse ministerie van Binnenlandse Veiligheid waarschuwt bijvoorbeeld sinds maandag bedrijven en organisaties dat ze rekening moeten houden met Iraanse pogingen tot online spionage en sabotage.
Tussen 2007 en 2012 was Iran zélf meermaals slachtoffer van cyberaanvallen op haar atoomprogramma en olie-industrie. De bekendste aanval kwam van de Verenigde Staten en Israël, die met het zogenoemde Stuxnet-virus centrifuges voor de verrijking van uranium wisten te saboteren. Ook de Nederlandse AIVD speelde een rol door het virus in de opwerkingsfabriek in Natanz binnen te laten smokkelen. Na Stuxnet werden nog enkele virussen op Iraanse computers losgelaten die gevoelige informatie ontvreemdden en alle data op talloze computers wisten, waarmee die onbruikbaar werden.
Sindsdien heeft Iran flink geïnvesteerd in offensieve hackcapaciteiten en die ook toegepast. Iran is steeds meer een digitale macht om rekening mee te houden.
De vraag is daarom: welke cyberdreiging gaat er inmiddels uit van Iran?
Eerst: waar komt de kennis over de Iraanse cybercapaciteiten überhaupt vandaan?
Online spionage en sabotage gebeurt zo veel mogelijk in het geheim, dus hoe weten we wat hackers, hackgroepen en overheden precies doen? Wie gebruikt welke malware? Wie kun je verantwoordelijk houden voor welke aanvallen?
Uiteraard houden inlichtingendiensten elkaar in de gaten. De Amerikaanse NSA zal vermoedelijk een aardig beeld hebben van wat de Iraanse overheid op cybergebied uitspookt. Via de Snowden-onthullingen weten we bijvoorbeeld dat de NSA aan het begin van de jaren tien heeft ingebroken bij een Iraanse hackgroep die verbonden was aan de overheid. De NSA kon over de schouders van de hackers meekijken naar wat ze allemaal deden.
Maar dit soort kennis is doorgaans niet openbaar. Het zou daarom kunnen dat Iran over formidabele hackcapaciteiten beschikt waar we nog niet van weten.
De meeste informatie komt uit de private sector en wordt gepubliceerd door cybersecuritybedrijven die malware analyseren. Iedere cyberaanval laat digitale sporen na. Analytici van die bedrijven kijken naar hoe onderschepte malware precies werkt, naar unieke sporen in de softwarecode, naar de technische infrastructuur die wordt gebruikt om de malware te verspreiden. Staan servers vanwaaruit een besmetting plaatsvindt bijvoorbeeld in Teheran?
Uiteindelijk zijn staatshackers vaak ook gewoon ambtenaren
Ook andere sporen kunnen duidelijkheid geven over wie bepaalde malware heeft gemaakt en verspreid. Als bijvoorbeeld Iraanse dissidenten in het buitenland worden gehackt, ligt het voor de hand om de daders in Iran te zoeken. De afgelopen jaren kon in een aantal gevallen een reeks aanvallen naar Iran worden herleid omdat ze nooit op donderdag en vrijdag plaatsvonden (het weekend in Iran). Op Iraanse feestdagen kwamen de aanvallen stil te liggen en verder werden ze netjes op kantooruren in Iraanse tijd uitgevoerd. Uiteindelijk zijn staatshackers vaak ook gewoon ambtenaren, die braaf in- en uitklokken.
In al die sporen worden dus patronen gevonden waarmee langzaam inzicht wordt verkregen in verschillende groepen hackers. Als die groepen in dienst van een staat werken, worden ze ook wel aangeduid met de term APT. Dat staat voor Advanced Persistent Threat, een groep die langdurig toegang heeft tot computernetwerken. Iedere groep krijgt een nummer van de onderzoekers. De Iraanse hackgroepen zijn bijvoorbeeld APT 33, 34, 35 en 39. Vaak hebben deze groepen ook nog andere namen, wat soms nogal verwarrend wordt.
Welke groepen zijn er dan in Iran actief?
Iran heeft een rijke hackerscultuur. Er zijn dus de staatshackers, zoals vermoedelijk de hierboven genoemde APT-groepen. Opvallend is dat die niet onder het gezag van de president en dus de regering vallen, maar vaak onder de Iraanse Revolutionaire Garde.
Ook zijn er politiek gemotiveerde hackgroepen die zich naar buiten toe als onafhankelijk presenteren, maar in de praktijk vaak nauw samenwerken met het regime. Soms houden deze groepen er ook criminele activiteiten op na, maar die worden gedoogd zolang de hackers ook klusjes voor de overheid opknappen.
Tijdens de Groene Revolutie in 2009, waarin honderdduizenden mensen in Iran de straat opgingen om hervormingen te eisen, liet het Iranian Cyber Army van zich horen door websites en socialemediaprofielen van dissidenten te hacken. Maar er zijn ook andere groepen, zoals de Islamic Cyber Resistance Group, de Iran Black Hats, de Sun Army en het Mortal Kombat Underground Security Team. Voor deze groepen ligt de focus op Iran. Zij helpen de oppositie te onderdrukken.
Er zijn ook groepen die zich in het buitenland laten gelden, zoals de Izz ad-Din al-Qassam Cyber Fighters, die in 2012 DDoS-aanvallen uitvoerden op Amerikaanse financiële instellingen, wat tot tientallen miljoenen aan schade leidde.
Welke dreiging gaat uit van deze groepen?
Om erachter te komen welke dreiging deze groepen vormen, moeten we kijken naar twee soorten activiteiten die ze tot nu toe ondernomen hebben.
De eerste is spionage.
Een van de meest spectaculaire hacks die Iran heeft uitgevoerd is die van DigiNotar in 2011. Dit Nederlandse bedrijf gaf beveiligingscertificaten uit voor websites. Iran bleek vijfhonderd van die certificaten te hebben nagemaakt. Daardoor konden de hackers browsers laten geloven dat ze contact maakten met bijvoorbeeld een website van Google, zoals Gmail, terwijl het in werkelijkheid een website van de Iraanse geheime dienst was.
Door de DigiNotar-hack waren in één klap heel veel websites niet meer te vertrouwen
Dit was een relatief kleine hack, maar had zeer grote gevolgen, omdat in één klap heel veel websites niet meer vertrouwd konden worden, vooral van de Nederlandse overheid, die gebruikmaakte van de diensten van DigiNotar. Diensten als DigiD zouden niet meer bruikbaar zijn, omdat ze door de hack niet meer werden vertrouwd. Op het nippertje werd een oplossing gevonden, maar de potentiële schade en ontregeling waren enorm.
De informatie die Iraanse hackers stelen, kan nog gevaarlijker zijn. Vijf jaar geleden, eind 2014, publiceerde het Amerikaanse cybersecuritybedrijf Cylance een alarmerend rapport over wat het Operation Cleaver noemde. Sinds 2012 zou een groep Iraanse hackers systematisch bedrijven wereldwijd binnendringen die software en apparatuur leverden voor infrastructuur en industrie, en er met gevoelige gegevens vandoor gaan.
Het gaat hier om zogenoemde Industrial Control Systems (ICS) of Supervisory Control and Data Acquisition (SCADA). Deze systemen worden gebruikt bij infrastructurele projecten (dammen bijvoorbeeld), nutsvoorzieningen (elektriciteitscentrales) en industrie (oliepijpleidingen en dergelijke).
Na de ontdekking van deze spionagecampagne zijn de Iraniërs blijkbaar gewoon doorgegaan met het stelen van dit soort informatie. Afgelopen november nog waarschuwden onderzoekers van Microsoft dat APT 33, een hackersgroep in dienst van de Iraanse staat, informatie aan het stelen was bij aanbieders van deze Industrial Control Systems.
De vrees was en is dat Iran deze kennis kan misbruiken om sabotage te plegen, net zoals Stuxnet dat een paar jaar eerder deed bij de uraniumcentrifuges in Iran. Die vrees is niet onterecht, want sinds Stuxnet heeft met name Rusland al een paar keer met succes dit soort aanvallen uitgevoerd, vooral op Oekraïense energiecentrales. Dit soort aanvallen kunnen erg gevaarlijk en ontwrichtend zijn.
En Iran heeft al laten zien dat het niet terugschrikt voor sabotage.
Wat doet Iran aan sabotage?
Iran heeft uitgebreide ervaring met een andere vorm van sabotage, namelijk het massaal wissen en onklaar maken van computers. In 2012 voerde het een aanval uit met het Shamoon-virus, een zogenoemde wiper, op een oliemaatschappij in Saoedi-Arabië. Hierbij werd driekwart van de computers van het bedrijfsnetwerk besmet en geheel gewist. Al die computers moesten vervangen worden. Die systemen die direct betrokken waren bij de oliewinning en -verwerking werden niet aangetast.
Sindsdien voert Iran nog steeds aanvallen uit met nieuwe versies van Shamoon, meestal op bedrijven die betrokken zijn bij de Saoedische oliewinning, zoals toeleveranciers. Afgelopen december nog waarschuwden onderzoekers van IBM dat Iran tegen energiebedrijven in het Midden-Oosten nieuwe malware (ZeroClear genoemd) inzette die ook computers wist.
Wat kan Iran nu gaan doen?
Voor de duidelijkheid: niets is zeker op dit moment. Het zou kunnen dat Iran cyberwapens heeft die nog niet publiekelijk bekend zijn. Op dit moment is het nog vrij rustig. Er zijn wat websites gehackt waarop Iraanse propaganda is geplaatst, maar dat stelt natuurlijk vanuit militair oogpunt niets voor.
Iran heeft nog niet laten zien dat het daadwerkelijk grote schade kan toebrengen aan industriële systemen
Iran heeft nog niet laten zien dat het daadwerkelijk grote schade kan toebrengen aan industriële systemen, of fysieke schade aan bijvoorbeeld energiecentrales kan veroorzaken, zoals Rusland dat wel heeft gedaan. Wel is het aannemelijk dat Iran over veel gevoelige informatie over die industriële systemen beschikt.
Waarschijnlijk is het op dit moment niet in het belang van Iran om een grootschalige aanval uit te voeren. Iran opereert op het gebied van cyberoorlogvoering nog niet op het niveau van landen als de Verenigde Staten, Rusland, China, Israël en het Verenigd Koninkrijk.
Een aanval zal vrijwel zeker een forse tegenreactie uitlokken van de Verenigde Staten. Die hebben meermaals laten zien grote schade te kunnen toebrengen aan Iraanse doelwitten, met Stuxnet en enkele aanvalscampagnes daarna. Maar ook vorig jaar juni nog, toen er grote spanningen waren in de Straat van Hormuz, maakte de NSA naar verluidt het luchtafweergeschut van Iran onklaar met een hack.
Wel is Iran in staat om met relatief kleine hacks veel schade toe te brengen, zoals met de wipers Shamoon en ZeroClear. Misschien kunnen we wat DDoS-aanvallen zien. Of wordt er ergens gevoelige data gestolen.
Eerder overlast dan oorlogsvoering
Maar soms hoef je als land niet over enorme capaciteiten te beschikken om een paar flinke tikken uit te delen. Denk aan DigiNotar: een relatief simpele hack, die potentieel enorm veel schade had. Maar uiteindelijk valt dat meer in de categorie overlast dan oorlogvoering.
In Nederland hoeven we ons waarschijnlijk weinig zorgen te maken. Wij zijn niet echt een partij in dit conflict. Daarnaast richten de meeste aanvallen van Iran zich tot nu toe op andere landen in het Midden-Oosten (in het bijzonder Saoedi-Arabië) en, in mindere mate, op de Verenigde Staten.
Van Iran hebben we op dit moment, vermoed ik, op cybergebied niet heel veel te vrezen.
Meer lezen?
Leestip: Hoe Russische hackers wereldwijd ziekenhuizen, energiecentrales en ministeries kraken
De Amerikaanse journalist Andy Greenberg schreef een heerlijk boek over een zeer geavanceerde, brutale en onbezonnen Russische hackersgroep. Vermoedelijk werken zij voor de Russische militaire geheime dienst en vormen ze ook voor ons een bedreiging.
Dit verhaal heb je gratis gelezen, maar het maken van dit verhaal kost tijd en geld. Steun ons en maak meer verhalen mogelijk voorbij de waan van de dag.
Al vanaf het begin worden we gefinancierd door onze leden en zijn we volledig advertentievrij en onafhankelijk. We maken diepgravende, verbindende en optimistische verhalen die inzicht geven in hoe de wereld werkt. Zodat je niet alleen begrijpt wat er gebeurt, maar ook waarom het gebeurt.
Juist nu in tijden van toenemende onzekerheid en wantrouwen is er grote behoefte aan verhalen die voorbij de waan van de dag gaan. Verhalen die verdieping en verbinding brengen. Verhalen niet gericht op het sensationele, maar op het fundamentele. Dankzij onze leden kunnen wij verhalen blijven maken voor zoveel mogelijk mensen. Word ook lid!
