Zondag 18/08/2019

Supervirus bespioneert al jarenlang overheidssystemen

Beeld Kaspersky Lab

Computerbeveiliger Kaspersky heeft een computervirus ontdekt dat vermoedelijk al vijf jaar lang overheidscomputers in het Midden-Oosten bespioneert en saboteert. Het ongezien krachtige 'Flame'-programma is minstens 20 keer straffer dan eerder ontdekte programma's voor cyberoorlogsvoering.

Volgens Roel Schouwenberg van Kaspersky zijn er aanwijzingen dat de code afkomstig is van hetzelfde land of dezelfde landen die verantwoordelijk waren voor de beruchte virussen Stuxnet en Duqu. Stuxnet viel in 2010 het nucleaire programma van Iran aan, waardoor de installaties in de verrijkingsfaciliteit van Bushehr dienst weigerden enkele weken voor de centrale in gebruik zou worden genomen. Opvolger Duqu, genoemd naar een personage uit 'Star Wars', stal data.

Ongezien krachtig
De virussen waren zo krachtig dat ze vermoedelijk alleen afkomstig konden zijn van een land. "Dit werd niet geschreven door een of andere puistige tiener in zijn of haar slaapkamer", zegt professor Alan Woordward van het Departement Informatica van de Universiteit van Surrey over Flame. Ook volgens het internetbeveiligingsbedrijf Symantec is het nieuwe virus niet het werk van een individu, maar van een goed georganiseerde groepering met een aanzienlijk budget.

Code
De code van het virus is maar liefst 20 megabyte groot, ongeveer 100 keer groter dan de code van doorsnee kwaadaardige software. Kaspersky Lab zegt de code zelf niet helemaal te kunnen doorgronden. "We hadden zes maanden nodig om Stuxnet te analyseren," zegt oprichter Eugene Kaspersky. "Dit is 20 keer ingewikkelder."

 
Dit werd niet geschreven door een of andere puistige tiener in zijn of haar slaapkamer
Professor Alan Woordward

Arsenaal
Flame is uitgerust met een enorm wapenarsenaal. Het virus kan toetsaanslagen registreren, screenshots maken, video en audio opnemen, chats bewaren, bestanden doorsturen en vanop afstand computerinstellingen wijzigen. "Het is groot, ingewikkeld en het dient om data te stelen terwijl het lange tijd onzichtbaar blijft," zegt professor Woodward.

Vijf jaar onzichtbaar
Kaspersky vermoedt dat Flame vijf jaar geleden werd gelanceerd, en computers heeft besmet in Iran, Israël, Soedan, Syrië, Libanon, Saoedi-Arabië en Egypte. "Indien Flame al vijf jaar lang onzichtbaar is kunnen blijven, is de enige logische conclusie dat er nog andere operaties bezig zijn waar we geen weet van hebben," stelt Schouwenberg. Flame werd zelfs eerder toevallig ontdekt tijdens een onderzoek naar een andere besmetting.

 
Indien Flame al vijf jaar lang onzichtbaar is kunnen blijven, is de enige logische conclusie dat er nog andere operaties bezig zijn waar we geen weet van hebben
Roel Schouwenberg
Dit schema toont hoe het virus werkt. Beeld Kaspersky Lab

Iran
Iran meent dat het Westen en Israël een geheime cyberoorlog tegen het land orchestreren omwille van Irans atoomprogramma, en ook Iraanse wetenschappers zouden vermoorden. Het Iraanse Coördinatiecentrum voor de strijd tegen cyberaanvallen zegt dat organisaties begin mei software hebben gekregen om het virus te detecteren en te verwijderen. De instelling zegt echter niet wanneer en hoe het virus is gevonden, en ook niet welke schade het al kan hebben veroorzaakt in Iran. Ook het Iraanse centrum ziet een link met Stuxnet en Duqu, terwijl Crysys Lab, een afdeling van de Universiteit van Boedapest die computervirussen analyseert, vindt dat het bewijs voor die relatie niet sluitend is.

Israël
Volgens de Israëlische minister voor Strategische Zaken Moshe Yaalon is het gerechtvaardigd toevlucht te nemen tot computervirussen zoals Flame om de Iraanse atoomdreiging tegen te gaan. "Voor wie de Iraanse bedreiging als een betekenisvolle bedreiging ziet, is het gerechtvaardigd meerdere maatregelen te nemen waaronder ook deze om ze te stoppen", zei de bewindsman aan de militaire radio, daarmee speculaties voedend van Israëlische betrokkenheid in het computerprogramma. "Israël is gezegend als een land rijk aan geavanceerde technologie en deze middelen geven ons een hele serie mogelijkheden", vertelde Yaalon, die ook vicepremier is.

Verspreiding
Flame verspreidt zich niet automatisch, maar enkel indien een verborgen controlemechanisme dat toelaat. Ongeziene lagen software laten Flame toe computernetwerken ongemerkt binnen te dringen. Het bestand, dat Windowscomputers infecteert, heeft vijf encryptiealgoritmes en exotische dataopslagformaten. De makers achter het virus gebruiken snelle commandoservers om het virus te sturen, microfoons te veranderen in afluisterapparatuur, documenten door te sluizen en keyboardaanslagen te loggen. Eens een machine besmet is, kan het virus extra modules toevoegen om een machine specifieke afluisterprojecten te laten uitvoeren.

Alle landen in gevaar

Eugene Kaspersky zei vorige week op de technologiebeurs CeBit in Sydney nog dat cyberaanvallen zoveel schade kunnen aanrichten als conventionele aanvallen, en dat de technologie niets kan doen om ons te redden. De man benadrukt dat er wereldwijd gevaar is. "Het is belangrijk te begrijpen dat dergelijke cyberwapens gemakkelijk kunnen gebruikt worden tegen eender welk land", luidt het. "En in tegenstelling tot bij conventionele wapens, zijn de meer ontwikkelde landen in dit geval in feite de meest kwetsbare."

 
Het is belangrijk te begrijpen dat dergelijke cyberwapens gemakkelijk kunnen gebruikt worden tegen eender welk land
Eugene Kaspersky
Meer over

Wilt u belangrijke informatie delen met De Morgen?

Tip hier onze journalisten


Op alle verhalen van De Morgen rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar info@demorgen.be.
© 2019 MEDIALAAN nv - alle rechten voorbehouden