Rond de presentatie van het onderzoek naar de MH17-ramp hebben cyberspionnen verschillende malen geprobeerd binnen te dringen in de computersystemen van de Onderzoeksraad voor Veiligheid (OVV). Op 28 september en 14 oktober (de dag na de presentatie) hebben ze nep-servers opgezet. Zo hoopten ze gebruikersnamen, wachtwoorden en andere codes die de onderzoekers gebruiken te stelen. Het is onduidelijk of de aanval is geslaagd.

Cyberbeveiligingsbedrijf Trend Micro heeft de aanvalspoging 23 oktober jl. naar buiten gebracht. De OVV heeft nog geen reactie gegeven op de door het beveiligingsbedrijf gemelde cyberaanval.

De aanvallers zouden daarnaast ook ramponderzoekers bij “een belangrijke partner van de Onderzoeksraad” hebben belaagd, zonder de naam van deze partner te noemen. “We konden de betrokken partij in een zeer vroeg stadium waarschuwen, waardoor we waarschijnlijk hebben voorkomen dat de aanval is geslaagd“, stelt Trend Micro in hun verklaring.

  • September 28 – a fake server was mimicking the SFTP (Safe File Transfer Protocol) server of the Dutch Safety Board;
  • September 29 – a fake Outlook Web Access (OWA) server was set up to target an important Dutch Safety Board partner in the MH17 investigation. Trend Micro was able to alert the affected party at an early stage, which most likely prevented the attack from succeeding;
  • October 14 – shortly after the fake server was set up on September 28, a fake VPN server of the same organization was set –up—leading to the assumption that these were used to execute phishing attacks in order to collect credentials from the personnel of the Safety Board which could give Pawn Storm unauthorized access to the SFTP and VPN servers.

Trend Micro heeft een wereldwijd beveiligingsnetwerk waar ze bijvoorbeeld cyberspionage en cybercrime in de gaten houden. Daarop zagen ze verdachte activiteiten, gericht op het MH17-onderzoek over neerhalen van het toestel van Malaysia Airlines boven Oost-Oekraïne in de zomer van 2014. Het bedrijf heeft vervolgens de Nederlandse autoriteiten gewaarschuwd. Volgens Trend Micro behoren de daders tot Pawn Storm. Dat is een schimmige groep die aanvallen uitvoeren en desinformatie verspreiden vanaf 2007 op tegenstanders van de Russische autoriteiten. Trend Micro brengt Pawn Storm direct in verband met eerdere cyberaanvallen op onder meer het Witte Huis, de NAVO, Russische dissidenten, Syrische oppositieleden en Arabische landen.

bron: Trend Micro/ANP/ODB