Iraanse hackers zijn steeds beter in staat om cyberaanvallen te plegen

Afgelopen nacht nam Iran wraak voor de moord op generaal Qassem Soleimani, door raketten af te vuren op twee Amerikaanse luchtmachtbases in Irak. Soleimani was het hoofd van de al-Quds-eenheid, een divisie van de Iraanse Revolutionaire Garde (IRGC). Hij heeft een revolutie teweeggebracht in de Iraanse oorlogsvoering: hij stond aan de basis van de oorlogen bij volmacht die Iran in het Midden-Oosten uitvocht – wat betekent dat je in oorlog bent, maar een ander land het vuile werk laat opknappen.

Waar de recente ontwikkelingen precies gaan eindigen weet niemand, maar we weten wel dat Iran tot van alles in staat is. Ze kunnen waarschijnlijk (nog meer) bombardementen uitvoeren en troepen mobiliseren in de hele regio, en hun hackers zijn ook steeds beter in staat om computersystemen te infiltreren.

Tien jaar geleden werd het nucleaire programma van Iran gesaboteerd door de VS en Israël, met de schadelijke worm Stuxnet. Veel mensen geloven dat dit voor Iran een grote wake-upcall was om zijn cybercapaciteiten te verstevigen. Sindsdien is het land met eigen middelen uitgegroeid tot cybermacht die grote schade aan kan richten.

Zoals eigenlijk ieder land met bekwame hackers, gebruikt Iran dit voor uiteenlopende dingen: van het hacken van infrastructuren en intellectueel eigendom tot spionage.

Robert Lee, oud-analist van NSA en oprichter van beveiligingsbedrijf Dragos, zegt dat Iran weliswaar niet de sterkste cybermacht ter wereld is, maar we het land ook zeker niet moeten onderschatten. “De cybercapaciteiten van Iran zijn de afgelopen jaren stabiel gegroeid,” vertelt hij tegen Motherboard. “Ze zijn vooralsnog niet de allersterkste, maar het lijkt er wel op dat er een agressief en verstorend motief achter zit.”

Een van de eerste grote cyberaanvallen vond plaats toen Iraanse hackers in 2012 meer dan 30.000 computers van de Saoedische staatsoliemaatschappij Saudi Aramco lam legden, wat inmiddels het waardevolste bedrijf ter wereld is. Daardoor kon Saudi Aramco zijn ruwe olie niet exporteren, wat het destijds tot een van de duurste hacks ooit maakte.

Bij deze aanval werd de malware ‘Shamoon’ gebruikt, waarmee gegevens kunnen worden gewist. Het was gericht op computers waarop de administratie werd bijgehouden, en niet zozeer op de beheersystemen voor de olieproductie; voor dat laatste had de aanval nog groter en gerichter moeten zijn. Uit een recent artikel van Wired blijkt echter dat Iraanse hackers hun pijlen wel steeds meer richten op vitale infrastructuur en de systemen waarmee olieraffinaderijen en elektriciteitscentrales worden beheerd.

Van 2011 tot 2013 pleegden vermoedelijk Iraanse hackers DDoS-aanvallen op Amerikaanse banken, die daardoor een miljoenenverlies leden. Ook hackten ze dam in de Amerikaanse staat New York. Het gevolg was dat er in 2016 een aantal IRGC-agenten werden aangeklaagd die vanuit Iran opereerden.

In de zomer van 2018 werd er een petrochemische centrale in Saoedi-Arabië gehackt, wat bijna leidde tot explosies. In eerste instantie dacht men dat ze waren uitgevoerd door Iran, die zijn regionale vijand wilde aanvallen, maar later werd de actie toegeschreven aan Rusland, met mogelijke Iraanse betrokkenheid. En afgelopen oktober werden Russische overheidshackers ervan beschuldigd dat ze Iraanse hackgroepen hadden gekaapt om hun eigen identiteit verborgen te houden.

Aangezien het sowieso al lastig is om te bepalen wie verantwoordelijk is voor hack-operaties, en er in de VS veel angst heerst voor Russische hackers (deels gefundeerd, deels niet), zou het zorgelijk zijn als Rusland echt gebruikmaakt van Iraanse hackers, aldus Priscilla Moriuchi. Zij is directeur strategische bedreigingsontwikkeling bij het beveiligingsbedrijf Recorded Future.

“De recent waargenomen Russische groepen die namens de staat de Iraanse infrastructuur kapen en gebruiken voor cyber-operaties, zullen bij slachtoffers waarschijnlijk tot onzekerheid en misschien ook verwarring leiden,” laat ze weten in een verklaring. “Wat minder duidelijk is, is of de operaties die gebruikmaken van de Iraanse infrastructuur daadwerkelijk worden aangestuurd vanuit de Iraanse regering.”

Lee denkt dat bedrijven binnen de vitale infrastructuur waakzaam moeten zijn, gelet op de escalerende situatie.

“Bedrijven moeten proactief kijken naar de manieren waarop deze groepen eerder te werk zijn gegaan en goed voorbereid zijn, zonder te alarmerend te zijn,” zegt hij. “Niemand weet wat er nu gaat gebeuren, en het is belangrijk dat we weten wat ons te wachten staat, maar ons niet gek laten maken. Als dit soort bedrijven nog geen actie hebben ondernomen is het belangrijk dat ze een plan opzetten en bedenken hoe ze zich gaan inspannen.”

Wat spionage betreft, zouden Iraanse hackers intellectueel eigendom en gegevens van universiteiten in de VS en van Amerikaanse bondgenoten hebben gestolen, wat ertoe leidde dat het Amerikaanse ministerie van Justitie in 2018 negen Iraanse hackers aanklaagde die banden hadden met de Revolutionaire Garde. Kort daarna trok Donald Trump zich terug uit de nucleaire deal met Iran, wat weer het gevolg had dat Iraanse hackers er stevig op los begonnen te hacken: van Amerikanen die bij kernbedrijven werken tot politici die bij de onderhandelingen tussen de twee landen betrokken zouden zijn.

Stephanie Carvin, universitair docent Internationale betrekkingen aan de Carleton-universiteit en voormalig analist van de Canadese geheime dienst, zegt dat Iran “alarmerend ambitieus” is op het gebied van cybercapaciteiten.

“We hebben gezien dat Iran in vitale infrastructuur geïnfiltreerd is in westerse landen, waaronder banken, dammen en universiteiten,” zegt ze. “Bij een vergeldingsactie zijn dit allemaal potentiële doelwitten.”

Dit artikel verscheen oorspronkelijk bij VICE US.