'Gijzelvirus waarschijnlijk onderdeel van spionage-operatie'
Het Oekraïense boekhoudprogramma M.E.doc dat een van de verspreiders was van de wereldwijde ransomware-aanval vorige week, werd gebruikt om te spioneren. Dat stellen onderzoekers van het Slowaakse beveiligingsbedrijf ESET na onderzoek van de malware.
"Er zit al ten minste drie maanden een achterdeur in de software", zegt Dave Maasland, directeur van de Nederlandse tak van het bedrijf. "Wij concluderen dat de aanvallers hiermee alles kunnen doen bij de bedrijven waar het systeem is geïnstalleerd."
ME.doc heeft nog geen update uitgebracht, waardoor de achterdeur dus nog aanwezig is. Het bedrijf achter het programma, Intellect Service, ontkent tegenover persbureau Reuters dat in hun software een virus zit. Ook zeggen ze dat hun programma niet verantwoordelijk was voor de aanval.
Het gijzelvirus, dat Notpetya en Petya wordt genoemd, leidde vooral in Oekraïne tot grote problemen. Ook in Nederland hadden bedrijven er last van. Containerterminals van APM in de Rotterdamse haven, onderdeel van Maersk, waren dagenlang buiten gebruik. Een woordvoerder van APM kon niet zeggen of binnen het bedrijf het boekhoudprogramma wordt gebruikt.
Ook bij bezorger TNT Express waren er problemen. Het is nog onduidelijk of er in Nederland bedrijven gebruikmaken van de software. Bedrijven buiten Oekraïne die werden getroffen, hadden afdelingen of zakenpartners in Oekraïne en werden op die manier geïnfecteerd.
De achterdeur zat sinds april van dit jaar 'meegeleverd' in het boekhoudprogramma. In die periode zijn er drie software-updates geweest. Maasland zegt dat dat betekent dat de aanvallers de broncode van de software in handen hebben gehad. "Dit betekent dat of de makers van het programma zijn gehackt of dat op een andere manier de code is gelekt."
Doelwitten zorgvuldig gekozen
Daarnaast denkt Maasland dat het doel niet was om geld te verdienen aan het gijzelvirus en ook niet om het systeem te wipen, waardoor alle bestanden worden verwijderd. "Het doel was in onze ogen spionage." Verder konden de aanvallers aan de hand van klantnummers van ME.Doc individuele bedrijven uitkiezen. ESET concludeert op basis daarvan dat de doelwitten waarschijnlijk zorgvuldig zijn gekozen.
"Het vermoeden dat dit echt een zeer geavanceerde aanval is geweest groeit hiermee wel", concludeert Maasland. Maar dit betekent niet dat er nu meer bewijs is dat er een land achter zit. Oekraïne wees de afgelopen dagen naar Rusland. "Maar daar zijn geen aanwijzingen voor gevonden", zegt Maasland.
ESET concludeerde eerder al dat de aanval van vorige week waarschijnlijk niet op zichzelf staat. Het bedrijf vermoedt dat er een hackersgroep achter zit, die 'TeleBots' wordt genoemd en al eerder sabotage-aanvallen in Oekraïne uitvoerde. De aanvalsmethode komt overeen.