'Iraanse spyware draait in datacenter bij Haarlem'

Spyware die de Iraanse regering gebruikt om wereldwijd tegenstanders te bespioneren, zou draaien in een datacenter vlakbij Haarlem.

Dat melden radioprogramma Argos en beveiligingsbedrijf Bitdefender. De onderzoekers kwamen de server op het spoor door een tip van een Iraanse man die in Nederland woont. Die kreeg een bericht doorgestuurd van een Iraanse dissident, met daarin een ongeopend stuk malware. Argos schreef vorig jaar al over dat bericht.

De Iraanse spyware werkt in verschillende stappen. Eerst wordt een achterdeur geïnstalleerd in de computer van het doelwit. Is dat doelwit belangrijk genoeg, dan wordt via de achterdeur malware geïnstalleerd. Voor de eerste en tweede stap worden verschillende servers gebruikt. De eerste server bleek in december al in Nederland te staan. Die server is na overleg met de Amerikaanse eigenaar offline gehaald.

Ook tweede server in Nederland

Nu zou volgens cyberveiligheidsexpert Rickey Gevers ook de tweede server zeer waarschijnlijk in Nederland staan, in de omgeving van Haarlem. De server is van een bedrijf dat op Cyprus is geregistreerd met een Roemeense eigenaar. Betaling gebeurt met bitcoins, waardoor huurders anoniem blijven. Er zijn aanwijzingen dat er 'veel slachtoffers' zijn gemaakt via de server.

AIVD en MIVD

De Nationaal Coördinator Terrorismebestrijding en de inlichtingendiensten AIVD en MIVD waarschuwden in een rapport begin deze maand voor misbruik van servers in Nederland. Iran wordt genoemd als één van de landen die de Nederlandse ICT-infrastructuur voor spionage gebruiken.

"Nederland is aantrekkelijk voor cyberactoren vanwege de hoge kwaliteit van de infrastructuur en de relatieve eenvoud waarmee anoniem ICT-capaciteit kan worden gehuurd", meldt het rapport.