Spionagesoftware en cyberterreur zijn de jongste jaren een vast ingrediënt geworden op het geopolitieke schaakbord. Enkele jaren geleden keken we nog verrast op toen grote computerinbraken aan het licht kwamen bij bedrijven als Siemens of Belgacom, maar vandaag lijken die incidenten bijna wekelijkse kost. Het Slovaakse securitybedrijf ESET waarschuwde er deze week op een conferentie in Bratislava nog voor dat er duidelijke signalen zijn van nakende aanvallen op energie- en infrastructuurbedrijven. Het ziet verbanden met een hackersgroep die de voorbije jaren al black-outs veroorzaakte in Oekraïne.
Eind vorige maand kwam de Canadese onderzoeksafdeling van ESET met ander verontrustend nieuws op de proppen: voor de allereerste keer vonden de onderzoekers bewijzen dat er malware circuleert die een herinstallatie van het besturingssysteem én een vervanging van de harde schijf kan overleven. Ze doopten die malware LoJax, omdat de hackers misbruik maakten van een lek in een commerciële diefstalbeveiliging voor computers die de naam LoJack draagt.
LoJack werd zo ontworpen dat een volledig gewiste computer toch nog opgespoord kan worden. Dankzij kleine wijzigen in de softwarecode slaagden de hackers erin hun kwaadaardige software te nestelen in de ‘firmware’ van de geïnfecteerde toestellen, de voorgeïnstalleerde software die nog een laag dieper in het systeem zit dan de besturingssoftware. Op die manier kunnen ze een computer waarvan alle virussen al verwijderd werden, toch opnieuw besmetten.
Het Canadese team, onder leiding van Alexis Dorais-Joncas, kon aantonen dat LoJax het werk is van de beruchte hackersgroep Fancy Bear, ook bekend onder namen als Sednit of APT28. Het gaat om dezelfde groep die verantwoordelijk wordt geacht voor de inbraak in de mailservers van de Democratische Partij in de VS in 2016, en die volgens westerse inlichtingendiensten wordt aangestuurd door het Kremlin. ‘Over de identiteit van de hackers doen wij geen uitspraken’, zegt Dorais-Joncas in een gesprek met De Tijd. ‘Voor securitybedrijven is het sowieso technisch onmogelijk om daar met 100 procent zekerheid iets over te zeggen. Hackers kunnen ook bewust misleidende sporen achterlaten. Wat we wel weten, is dat Fancy Bear een groep is die geopolitieke doelwitten viseert en dus waarschijnlijk door een staat gefinancierd wordt.’