Buitenland

'TV5 niet gehackt door IS, maar door Russen'

17 juni 2015 11:09 Aangepast: 17 juni 2015 18:04
Beeld © AFP

De hack die ervoor zorgde dat de televisiezenders van het Franse TV5 op zwart gingen, is vermoedelijk niet uitgevoerd door IS, maar door een Russische hackersgroepering.

Dat blijkt uit onderzoek van het Franse L'Express en antivirusbedrijf Trend Micro. Na de hack op 15 april van dit jaar gingen de zenders op zwart en werden via de TV5-accounts op Facebook en Twitter allerlei jihadistische leuzen verspreid. De hack werd daarna vrij snel opgeëist door een groepering die zichzelf CyberCaliphate noemde.

ZIE OOK: IS-hackers leggen tv-zender TV5 Monde lam

L'Express onderzocht de hack en deelde de informatie met Trend Micro. Het computerbeveiligingsbedrijf komt tot de conclusie dat de hack waarschijnlijk door Russen is gepleegd. Daarvoor werden eerst accounts van werknemers besmet met een virus dat wordt gebruikt door een Russische groep hackers, Pawn Storm. Dankzij die aanval verzamelden de hackers veel gegevens over de gebruikers en het netwerk van TV5. Die gegevens werden vervolgens gebruikt voor een uitgebreidere kraak.

Trend Micro houdt een slag om de arm: hoewel journalisten zeker tot het doelwit behoren van Pawn Storm, hebben de hackers nooit eerder op zo'n grote schaal zichtbare aanvallen uitgevoerd. Het is ook mogelijk, zegt Trend Micro, dat ze na het eerste verkennende werk de informatie voor een hack gedeeld hebben met een andere hackersgroep.

Wie is Pawn Storm?

Over de groepering is niet veel bekend, behalve dat ze al lang bezig zijn en steeds dezelfde aanvalstechnieken gebruiken. Doelwitten van Pawn Storm zijn overheden, NAVO en de OVSE (de organisatie die onderzoek deed naar de MH17-crash). Ook verschillende mediaorganisaties en individuele journalisten zijn aangevallen door Pawn Storm.

De groepering gebruikt een aantal manier om doelwitten aan te vallen. Via gerichte spammailtjes met virussen worden specifieke personen verleid om op een link in een mail te klikken, waarna een virus geïnstalleerd wordt. De e-mails zijn specifiek voor de doelwitten geschreven en gaan over congressen of bijeenkomsten voor die persoon.

Ook wordt via gehackte websites internetverkeer omgeleid en bij specifieke bezoekers malware geïnstalleerd.

Daarnaast heeft de groepering al een aantal keer de webmail inlogsites van een aantal organisaties nagebouwd. Werknemers hebben dan niet in de gaten dat de site waar ze op inloggen niet de echte webmail portal is. Pawn Storm wil zo inloggegevens stelen om op de echte mailservers in te kunnen loggen.

Uit het onderzoek naar de TV5-hack is niet vast komen te staan dat Pawn Storm handelt in opdracht van de Russische regering, maar de doelwitten zijn tot nu toe altijd wel mensen of organisaties geweest die kritisch zijn op Moskou.

De aanvallen maken steeds gebruik van malware met de naam SEDNIT. Een virus die eenmaal geïnstalleerd informatie verzameld over het slachtoffer. Toetsaanslagen worden geregistreerd en inloggegevens onderschept. De aanvallen met SEDNIT zijn al sinds 2007 aan de gang, maar steeds op zeer kleine schaal.

Altijd weten wat er speelt?
Download de gratis RTL Nieuws-app en blijf op de hoogte.

Playstore Appstore