In de afgelopen jaren heeft Iran zijn cybercapaciteiten aanzienlijk uitgebreid en gebruikt het deze agressief tegen westerse staten. Deze maatregelen omvatten een verscheidenheid aan aanvallen, variërend van gegevensdiefstal tot vernietigende cyberaanvallen. De cyberstrategie van Iran weerspiegelt de algehele asymmetrische oorlogsvoering van het land en laat zien hoe Teheran zijn beperkte middelen gebruikt om een aanzienlijke impact te hebben.

Achtergrond en basisprincipes van Iraanse cybercapaciteiten

Iraanse hackactiviteiten zijn verstrekkend en hebben invloed op veel verschillende gebieden. De motivatie achter deze activiteiten kan worden gezien in geopolitieke en veiligheidspolitieke doelstellingen. Iraanse hackers, vaak namens of met steun van de staat, hebben als doel gevoelige informatie te verzamelen, de vijand te destabiliseren en geopolitieke voordelen te behalen.

Iran begon zijn reis naar cyberoorlogvoering als reactie op schadelijke aanvallen tegen zichzelf. Een belangrijke gebeurtenis was de Stuxnet-aanval in 2010, waarbij malware de centrifuges in de nucleaire installatie van Natanz saboteerde en het nucleaire programma van Iran aanzienlijk vertraagde. Andere aanvallen zoals de Flame-malware en de cyberrepressie tegen de Groene Beweging in 2009 deden Teheran beseffen dat het eigen cybercapaciteiten nodig had.

De Iraanse cyberstrategie is zeer gestructureerd en gebaseerd op een gelaagde aanpak, waarbij een combinatie van overheidsorganisaties en particuliere aannemers wordt gebruikt om offensieve cyberoperaties uit te voeren. Deze structuur zorgt voor flexibiliteit en efficiëntie, terwijl de overheidscontrole en ideologische afstemming gewaarborgd blijven!

Motivatie

Iran heeft een lange geschiedenis van spanningen met westerse landen, met name de VS en Israël. Deze spanningen uiten zich vaak in cyberaanvallen met als doel de invloed van het Westen te ondermijnen en de geopolitieke positie van Iran te versterken. Een voorbeeld is de poging om de onderhandelingen over het Iraanse nucleaire programma te beïnvloeden via cyberaanvallen op Amerikaanse en Europese doelen. Deze aanvallen worden niet alleen gebruikt om informatie te verzamelen, maar ook om politieke tegenstanders te intimideren en te destabiliseren.

Iraanse spelers in een oogopslag

De belangrijkste actoren achter Iraanse cyberaanvallen hebben vaak banden met de Islamitische Revolutionaire Garde (IRGC) en het Iraanse ministerie van Inlichtingen en Veiligheid (MOIS). Deze organisaties maken gebruik van een netwerk van particuliere bedrijven en academische instellingen om hun cyberactiviteiten uit te voeren. Deze “cybermanagers” werken volgens de eisen en doelstellingen die zijn opgesteld door de Iraanse veiligheidsdiensten en besteden deze uit aan verschillende aannemers.

Een prominent voorbeeld is de groep “Charming Kitten”, die gespecialiseerd is in cyberspionage. Deze groep en andere soortgelijke actoren maken vaak gebruik van phishing en andere social engineering-technieken om toegang te krijgen tot gevoelige informatie. Daarnaast zijn er ook gerichte aanvallen uitgevoerd tegen Iraanse dissidenten en oppositiegroepen in het buitenland.

Who is Who

Islamitische Revolutionaire Garde (IRGC)

De IRG is de belangrijkste veiligheidsorganisatie van Iran en speelt een centrale rol in de cyberoperaties van het land. De IRGC heeft een eigen cyberafdeling, die verantwoordelijk is voor zowel defensieve als offensieve operaties. Het beheert ook het “Khaybar Centre for Information Technology”, een faciliteit die verantwoordelijk is voor het uitvoeren van internationale cyberaanvallen.

Ministerie van Inlichtingen en Veiligheid (MOIS)

Het MOIS is ook sterk betrokken bij cyberoperaties en werkt nauw samen met verschillende particuliere en academische instellingen om zijn doelen te bereiken. Deze instellingen fungeren vaak als dekmantelorganisaties die het MOIS in staat stellen zijn activiteiten te verhullen.

Khaybar Centrum voor Informatietechnologie

Deze faciliteit werd opgericht in 2011 en heeft een sleutelrol gespeeld bij het uitvoeren van cyberaanvallen tegen doelen in de VS, Saudi-Arabië en Turkije. Het centrum is een belangrijk onderdeel van de cyberinfrastructuur van de IRGC en dient als uitvalsbasis voor veel offensieve operaties.

Gedetailleerd overzicht van Iraanse hackergroepen en de staatsorganen erachter

Iran heeft een complex netwerk van hackersgroepen ontwikkeld die worden ondersteund en gecoördineerd door verschillende staatsorganisaties. Deze groepen voeren cyberoperaties uit, variërend van spionage en het exfiltreren van gegevens tot vernietigende aanvallen. De belangrijkste staatsactoren achter deze hackersgroepen zijn de Islamitische Revolutionaire Garde (IRGC) en het ministerie van Inlichtingen en Veiligheid (MOIS). Door gebruik te maken van een mix van staatscontrole en gedecentraliseerde aannemers kan Iran zijn cybercapaciteiten voortdurend verbeteren en flexibel reageren op nieuwe bedreigingen.

Belangrijke Iraanse hackergroepen

Charming Kitten (APT35):
Deze groep staat bekend om zijn uitgebreide phishingcampagnes en gerichte cyberaanvallen tegen politieke, militaire en commerciële doelen. Charming Kitten gebruikt social engineering-technieken om toegang te krijgen tot gevoelige informatie en is gespecialiseerd in het bespioneren van dissidenten en westerse doelwitten.
Elfin (APT33):
De Elfin-groep staat bekend om zijn aanvallen op kritieke infrastructuur, met name in de energie- en luchtvaartsector. De groep gebruikt geavanceerde technieken zoals spear phishing en DNS-kaping om netwerken te compromitteren en gegevens te stelen. Elfin richt zich voornamelijk op Saoedi-Arabië, de VS en andere westerse landen.
MuddyWater (APT34):
MuddyWater voert uitgebreide spionageoperaties uit, vaak gericht op telecombedrijven, overheidsinstellingen en energiebedrijven. De groep staat bekend om zijn capaciteiten op het gebied van data-exfiltratie en het gebruik van op maat gemaakte malware.
OilRig (APT34):
OilRig is een andere grote hackersgroep die gespecialiseerd is in phishing en malwaredistributie. Hun aanvallen zijn vaak gericht op IT- en financiële dienstverleners en overheidsorganisaties in Israël en andere landen.
Ashiyane Digital Security Team:
Deze groep is een van de oudste en bekendste hackersgroepen in Iran. De groep staat bekend om zijn defacements en DDoS-aanvallen op verschillende websites en werkt vaak in opdracht van de IRGC.

Staatsorganisaties achter de hackersgroepen

Islamic Revolutionary Guard Corps (IRGC):
De IRGC is de belangrijkste speler achter veel Iraanse cyberoperaties. Het leidt de Electronic Warfare and Cyber Defense Organisation, die verantwoordelijk is voor offensieve cyberoperaties. De IRG rekruteert en coördineert een groot aantal hackersgroepen en voorziet hen van middelen en technische ondersteuning. Het IRGC gebruikt ook tussenpersonen om bestellingen te plaatsen bij verschillende hackersgroepen en hun sporen uit te wissen.
Ministerie van Inlichtingen en Veiligheid (MOIS):
Het MOIS is een andere belangrijke staatsorganisatie die cyberoperaties beheert en coördineert. Het maakt gebruik van Iraanse privébedrijven en academische instellingen om cyberaanvallen uit te voeren. Door deze gedecentraliseerde structuur kan het MOIS flexibel en efficiënt reageren op verschillende bedreigingen.
Basij-milities:
De Basij, een paramilitaire organisatie onder controle van de IRGC, heeft naar eigen zeggen meer dan 1000 cyberbataljons in het hele land. Deze eenheden voeren cyberaanvallen uit en werken vaak samen met andere hackersgroepen. De Basij coördineert zijn activiteiten via de Basij Cyber Council.

Structuren

De oprichting van de hackerhiërarchie in Iran toont een geavanceerde en effectieve structuur die het land in staat stelt om cyberoperaties flexibel en efficiënt uit te voeren. Door de combinatie van staatscontrole, particuliere deelname en academische ondersteuning kan Iran zijn cybercapaciteiten voortdurend ontwikkelen en zijn geopolitieke doelen nastreven. De uitdagingen hier zijn het vinden van de juiste balans tussen ideologische loyaliteit en technische uitmuntendheid en het behouden van controle over de diverse actoren.

In tegenstelling tot veel landen die hun cyberoperaties rechtstreeks uitvoeren via de inlichtingendiensten van de staat, maakt Iran gebruik van een netwerk van contractanten. Deze bestaan uit Iraanse privébedrijven en academische instellingen. Deze gedecentraliseerde structuur maakt het moeilijk om de aanvallers precies te identificeren en op te sporen:

Topniveau – Politiek en ideologisch leiderschap Aan de top van de hiërarchie staat het politieke en ideologische leiderschap van het land, waaronder de Opperste Leider en de hoogste militaire en veiligheidsautoriteiten. Dit niveau bepaalt de strategische doelen en prioriteiten voor cyberoperaties.
Middenniveau – Ideologisch afgestemde managers Een groep ideologisch betrouwbare managers vertaalt de strategische doelen in specifieke cybertaken. Deze managers zijn verantwoordelijk voor het toekennen van contracten aan verschillende particuliere aannemers en academische instellingen. Ze fungeren als tussenpersonen tussen het topniveau en de operationele eenheden.
Operationeel niveau – Particuliere aannemers en universiteiten Op operationeel niveau zijn er talloze particuliere bedrijven en academische instellingen die de daadwerkelijke cyberoperaties uitvoeren. Deze aannemers concurreren vaak met elkaar om overheidscontracten in de wacht te slepen. De beste teams worden geselecteerd, betaald en blijven in bedrijf, terwijl minder succesvolle teams worden geëlimineerd.

Het beste cybertalent wordt vaak gerekruteerd via gesloten vertrouwensgemeenschappen en beveiligingsforums. Deze gemeenschappen dienen als basis voor de werving en uitwisseling van kennis tussen hackers. Een voorbeeld is het Ashiyane Forum, dat een centrale rol speelt in het netwerken en trainen van hackers die later worden gerekruteerd voor door de staat gesponsorde projecten.

Een belangrijk kenmerk van de Iraanse cyberstrategie is de spanning tussen ideologische betrouwbaarheid en technische capaciteiten. Terwijl de overheid ideologische loyaliteit hoog in het vaandel heeft staan, zijn de technisch meest bedreven hackers vaak minder ideologisch gemotiveerd. Dit leidt tot een constante afweging tussen het waarborgen van loyaliteit en het benutten van de beste vaardigheden die beschikbaar zijn.

Inzet en doelwitten van Iraanse cyberaanvallen

Iran gebruikt cyberaanvallen voornamelijk voor spionage, gegevensdiefstal en de verspreiding van propaganda. Hoewel de meeste aanvallen technisch niet bijzonder geavanceerd zijn, zijn ze vaak succesvol door hun enorme volume en hardnekkigheid. Een van de bekendste aanvallen is Shamoon, een gegevensverwijderingssoftware die in 2012, 2016 en 2018 aanzienlijke schade aan IT-systemen veroorzaakte.

Bijzonder zorgwekkend is het vermogen van Iran om gerichte phishing-aanvallen uit te voeren om toegang te krijgen tot gevoelige informatie. Deze technieken zijn met succes gebruikt tegen overheidsinstellingen, telecombedrijven en zelfs universiteiten wereldwijd. De Iraanse hackactiviteiten zijn divers en omvatten een breed scala aan doelwitten die kunnen worden onderverdeeld in drie hoofdcategorieën: Iraanse binnenlandse doelwitten, doelwitten in het Midden-Oosten en andere internationale doelwitten.

Staatshackers in een oogopslag

Tot de belangrijkste internationale actoren behoren staatsactoren uit Rusland, China en Iran. Deze landen gebruiken verschillende tactieken om hun geopolitieke belangen te bevorderen en de stabiliteit van de Europese democratieën te ondermijnen.

Naast de belangrijkste actoren die hieronder worden genoemd, zijn er ook andere landen en niet-statelijke actoren die verkiezingen in Europa proberen te beïnvloeden. Dit zijn bijvoorbeeld groepen die namens regeringen of uit eigenbelang handelen om bepaalde politieke agenda’s te bevorderen. Deze actoren gebruiken verschillende methoden, waaronder cyberaanvallen, desinformatie, economische druk en diplomatieke manoeuvres om hun doelen te bereiken. De Europese Unie en haar lidstaten staan voor de uitdaging om deze bedreigingen te herkennen en tegen te gaan om de integriteit van hun democratische processen te beschermen.

Rusland

Rusland staat bekend om zijn uitgebreide desinformatiecampagnes en cyberaanvallen die erop gericht zijn het vertrouwen in democratische processen te verzwakken. De bekendste voorbeelden zijn het beïnvloeden van de Amerikaanse verkiezingen van 2016 en pogingen om de Brexit-stemming te beïnvloeden. Russische actoren maken vaak gebruik van sociale mediaplatforms om valse informatie te verspreiden en sociale verdeeldheid te vergroten.

Russische hackers en hun activiteiten

China

China vertrouwt in toenemende mate op cyberaanvallen en desinformatiecampagnes om zijn invloed in Europa uit te breiden. Chinese hackersgroepen staan bekend om het uitvoeren van industriële spionage en het stelen van gevoelige informatie die vervolgens kan worden gebruikt om politieke beslissingen te beïnvloeden. China probeert ook de publieke opinie in Europa te manipuleren door pro-Chinese verhalen te verspreiden in de media.

Hackeractiviteiten en spionage vanuit China

Iran

Iraanse actoren gebruiken ook desinformatiecampagnes en cyberaanvallen om hun geopolitieke doelen na te streven. Deze campagnes zijn vaak gericht op het destabiliseren van het beleid van de VS en zijn bondgenoten in Europa. Iraanse hackergroepen gebruiken vergelijkbare technieken als hun Russische en Chinese tegenhangers.

Irans cybercapaciteiten en hackers

Noord-Korea

Noord-Korea is een andere internationale speler die probeert verkiezingen en politieke processen wereldwijd, waaronder in Europa, te beïnvloeden via cyberactiviteiten. Hoewel Noord-Korea minder in de schijnwerpers staat dan Rusland, China en Iran, zijn er nog steeds aanzienlijke activiteiten afkomstig van Noord-Koreaanse actoren. Noord-Korea gebruikt ook desinformatie om zijn geopolitieke doelen te bereiken en politieke onrust te zaaien. Hoewel er minder gedocumenteerde gevallen zijn van directe verkiezingsinmenging door Noord-Korea, maakt het regime niettemin gebruik van cyberoperaties om politieke druk uit te oefenen en zijn belangen te beschermen, bijvoorbeeld door compromitterende informatie over politieke kandidaten te publiceren of propaganda te verspreiden.

Cybercriminaliteit in Noord-Korea en de bedreiging voor de cryptocurrency-industrie

Binnenlandse bestemmingen in Iran

Binnen Iran zijn de meeste cyberaanvallen gericht op dissidenten, oppositiegroepen en specifieke etnische minderheden. Deze doelwitten worden voornamelijk gekozen voor surveillance, chantage of om gecompromitteerde accounts te gebruiken voor verdere aanvallen. Het doel van deze surveillance is om controle te houden over deze groepen en informatie te verzamelen over hun structuur en leden. Soms gebruiken Iraanse veiligheidsdiensten deze surveillance om leden van dissidente groepen te arresteren. Daarnaast vallen patriottische Iraanse hackers de websites van deze groepen aan en plaatsen daar pro-Iraanse regeringsboodschappen. Deze cyberoperaties zijn slechts een onderdeel van de bredere surveillance van de oppositie door het Iraanse veiligheidsapparaat, dat ook andere vormen van communicatie in de gaten houdt.

Bestemmingen in het Midden-Oosten

In het Midden-Oosten richten Iraanse APT’s (Advanced Persistent Threats) en patriottische hackers zich regelmatig op faciliteiten en overheidsinstellingen in buurlanden, met name Saoedi-Arabië. Deze aanvallen worden gebruikt om informatie te verzamelen over de civiele en militaire activiteiten van rivalen. Gezien de regionale spanningen en de betrokkenheid van beide landen bij proxyoorlogen, zoals in Jemen en Syrië, is het monitoren van Saudi-Arabië bijzonder belangrijk voor Iran. Omdat de cyberbeveiligingsapparaten in deze landen minder ontwikkeld zijn dan in de VS, zijn veel Iraanse cyberaanvallen gericht op Saudi-Arabië. Deze aanvallen treffen strategisch relevante doelwitten zoals luchtvaart-, energie- (voornamelijk olie en gas), telecommunicatie- en technologiebedrijven en ministeries van Defensie en Buitenlandse Zaken.

Andere bestemmingen

Naast doelwitten in het Midden-Oosten en binnen Iran zijn Iraanse cyberaanvallen ook gericht tegen internationale doelwitten. Hieronder vallen ngo’s, academici, mediaorganisaties, luchtvaart- en technologiebedrijven en de Iraanse diaspora wereldwijd. In sommige gevallen worden gegevens gestolen om te worden gebruikt bij andere aanvallen, in andere gevallen dienen de aanvallen politieke doelen, zoals het verzamelen van compromitterende informatie of het identificeren van gegevens die de doelwitten over Iran kunnen hebben.

De strategische selectie van doelwitten laat zien dat Iran zijn invloed en toezicht zowel binnenlands als internationaal wil maximaliseren, waarbij cyberaanvallen een sleutelrol spelen.

Irans technische mogelijkheden en vooruitgang op het gebied van hacking

Iran heeft voortdurend gewerkt aan het verbeteren van zijn cybercapaciteiten. Ondanks technische beperkingen en internationale sancties heeft Iran innovatieve manieren gevonden om kwetsbaarheden in industriële besturingssystemen (ICS) te misbruiken. Een voorbeeld is de Elfin groep, die bekend staat om het gebruik van kwetsbaarheden in webservers om uitgebreide spionageoperaties uit te voeren.

De cybercapaciteiten van Iran zijn divers en omvatten een mix van basistechnieken en geavanceerde technieken. Het gebruik van sociale media en de uitbreiding van SIGINT-mogelijkheden laten zien dat Iran vastbesloten is om zijn cybercapaciteiten voortdurend te verbeteren en in te zetten tegen westerse staten. In het licht van deze bedreigingen is het van cruciaal belang dat westerse staten hun cyberdefensie voortdurend aanpassen en versterken om de integriteit van hun informatiesystemen en communicatienetwerken te beschermen.

Technische vaardigheden

De Iraanse hackersgroepen worden gekenmerkt door een verscheidenheid aan technische mogelijkheden waarmee ze uitgebreide cyberoperaties kunnen uitvoeren. De belangrijkste technieken zijn

Phishing en spear phishing: Deze technieken worden vaak gebruikt om gebruikersgegevens te stelen. Phishing-aanvallen zijn grootschalige, onspecifieke aanvallen, terwijl spear phishing gericht is op specifieke personen of organisaties.
Denial of Service (DOS)-aanvallen: Sommige Iraanse groepen, zoals de Elfin-groep, staan bekend om hun DOS-aanvallen, die erop gericht zijn netwerken te overbelasten en diensten ontoegankelijk te maken.
Exfiltratie van gegevens: Zodra hackers toegang hebben gekregen tot een netwerk, kunnen ze ongemerkt grote hoeveelheden gegevens stelen. Deze gegevens kunnen gevoelige informatie, intellectueel eigendom of communicatiegegevens bevatten.
Malware en het wissen van gegevens: Het gebruik van malware zoals “Shamoon” laat zien dat Iran ook in staat is om destructieve cyberaanvallen uit te voeren die gericht zijn op het wissen van gegevens.

Gebruik van sociale media

Iraanse hackersgroepen gebruiken sociale media op verschillende manieren om hun doelen te bereiken. De effectiviteit van deze tactieken wordt echter steeds beperkter nu sociale mediaplatforms hun beveiligingsmaatregelen verbeteren en sneller nepaccounts en kwaadaardige activiteiten herkennen en verwijderen:

Propaganda en desinformatie: Iraanse actoren gebruiken sociale mediaplatforms om propaganda te verspreiden en de publieke opinie te beïnvloeden. Dit gebeurt vaak door het creëren en verspreiden van valse accounts en identiteiten.
Spear phishing: Sociale media worden ook gebruikt om gerichte phishingaanvallen uit te voeren. Door identiteiten te vervalsen en het vertrouwen van doelpersonen te winnen, kunnen hackers gevoelige informatie bemachtigen.

Signaalinlichtingen (SIGINT)

Iran heeft beperkte SIGINT-capaciteiten in vergelijking met wereldspelers zoals de VS of China. Ondanks deze beperkingen heeft Iran stappen ondernomen om zijn capaciteiten op dit gebied uit te breiden:

Satellietbewaking: Iran ontwikkelt apparatuur voor satellietbewaking waarmee het communicatiegegevens van satellieten in gesynchroniseerde banen kan onderscheppen. Hieronder vallen satellieten van landen als Israël, Saudi-Arabië en de VS.
Onderzeese kabels: Iran heeft mogelijk toegang tot communicatiegegevens die worden verzonden via onderzeese kabels die door Iraans grondgebied lopen. Deze kabels vervoeren allerlei gegevens, waaronder internet- en telefoonverkeer.

Samenwerking met andere landen

Een ander aspect van de Iraanse cyberstrategie is mogelijke samenwerking met andere staten, zoals Rusland. Berichten suggereren dat Russische cyberactoren de Iraanse infrastructuur hebben gebruikt voor hun eigen aanvallen. Dit zou kunnen duiden op een diepere samenwerking waarbij technische expertise en doelwitinformatie wordt uitgewisseld.

Waarschuwing van het Bundesamt für Verfassungsschutz (BfV) over Iraanse cyberspionage

Het Bundesamt für Verfassungsschutz (BfV) heeft in zijn Cyber Brief nr. 01/2023 gewaarschuwd voor cyberspionageactiviteiten tegen critici van het Iraanse regime in Duitsland. Deze waarschuwing is met name gericht tegen Iraanse dissidenten, Iraniërs in ballingschap en organisaties die kritisch staan tegenover het Iraanse regime.

Achtergrond van de waarschuwing

In 2022 rapporteerden verschillende leveranciers van IT-beveiligingsdiensten over de activiteiten van de APT-groep Charming Kitten (ook bekend als APT42, Phosphorus, Cobalt Illusion, Yellow Garuda en Mint Sandstorm). Deze groep staat bekend om het bespioneren van Iraanse oppositiegroepen en Iraanse ballingen. Volgens de BfV hebben Charming Kitten en soortgelijke groepen concrete pogingen ondernomen om Iraanse personen en organisaties in Duitsland te bespioneren.

Aanpak van de aanvallers

Charming Kitten gebruikt geavanceerde social engineering-technieken om vertrouwelijke gegevens van zijn slachtoffers te verkrijgen. De aanvallers creëren online identiteiten op maat van de slachtoffers en leggen contact om vertrouwen te winnen. De aanvallen worden in verschillende stappen uitgevoerd:

Informatie verzamelen: Aanvallers onderzoeken de voorkeuren en interesses van hun doelwitten, vaak via publicaties op internet of sociale media.
Contacten leggen: De groep neemt persoonlijk contact op met het slachtoffer en manipuleert hen via social engineering om veiligheidskritisch gedrag uit te lokken.
Phishing: In een latere stap sturen de aanvallers uitnodigingen voor online videochats. De slachtoffers wordt gevraagd op een link te klikken en in te loggen op een valse inlogpagina. Hierdoor kunnen de aanvallers de toegangsgegevens stelen.
Toegang en gegevensdiefstal: Met de gestolen referenties kunnen de aanvallers toegang krijgen tot de online diensten van het slachtoffer en hun gegevens downloaden.

Beschermende maatregelen

De BfV beveelt verschillende maatregelen aan om je tegen dergelijke aanvallen te beschermen:

Scepsis bij het maken van contact: Wees sceptisch bij onverwacht contact, zelfs van mensen die je lijkt te kennen.
Identiteitscontrole: controleer de identiteit van contactpersonen via een tweede, gecontroleerd kanaal, bijvoorbeeld door een officieel bekend nummer te bellen.
Wees voorzichtig met e-mailadressen: Let op onregelmatigheden in e-mailadressen en wees achterdochtig als officiële brieven worden verstuurd via privé-e-maildiensten zoals Gmail of Outlook.
Klik niet op links: open geen links waar je niet zeker van bent en let vooral op door gebruikers gegenereerde inhoud.
Beveiligingsmaatregelen voor online diensten: gebruik alleen officiële inlogpagina’s, stel multi-factor authenticatie in en controleer regelmatig of onbekende apparaten toegang hebben tot je accounts.

Daarnaast raadt de BfV aan om vertrouwd te raken met algemene cyberveiligheidsadviezen en speciale beschermende maatregelen in acht te nemen voor zakenreizen, vooral wanneer u naar Iran reist. Deze waarschuwing benadrukt vooral de ernstige dreiging van door de staat gesteunde cyberaanvallen en de noodzaak om waakzaam en goed voorbereid te zijn om jezelf tegen dergelijke aanvallen te beschermen.

2023-01-bfv-cyber-brief Herunterladen

IRANISCHE ECONOMISCHE SPIONAGE

Industriële spionage door Iraanse hackers: activiteiten, successen en doelen

Iraanse hackinggroepen zijn de afgelopen jaren steeds meer betrokken geraakt bij economische spionageactiviteiten en richten zich op bedrijven en instellingen over de hele wereld om economisch en politiek voordeel te behalen. Deze activiteiten worden vaak ondersteund en gecoördineerd door staatsorganisaties zoals de Islamitische Revolutionaire Garde (IRGC) en het ministerie van Inlichtingen en Veiligheid (MOIS).

De economische spionageactiviteiten van Iran zijn een belangrijk onderdeel van de bredere cyberstrategie van het land. Door een combinatie van technische capaciteiten en steun van staatsorganisaties kan Iran aanzienlijke economische en politieke voordelen behalen.

Entschlüsselung der Spionage in Europa: Ein Überblick über die Jahre 2010–2021

Activiteiten en successen op het gebied van industriële spionage

Iraanse hackersgroepen zoals APT33 (Elfin), APT34 (OilRig) en anderen staan bekend om hun agressieve cyberaanvallen op de economische sectoren van andere landen. Deze groepen gebruiken verschillende technieken, waaronder phishing, spear phishing, malware-infecties en het uitbuiten van kwetsbare plekken in netwerken om toegang te krijgen tot gevoelige informatie.

Een opmerkelijk voorbeeld is de aanval op de Saudische oliemaatschappij Saudi Aramco in 2012, waarbij de Shamoon-malware werd gebruikt. Deze aanval vernietigde gegevens op ongeveer 30.000 computers en veroorzaakte aanzienlijke financiële verliezen. De aanval werd niet alleen gebruikt voor spionage, maar ook voor sabotage om economische schade te veroorzaken en politieke boodschappen over te brengen. Andere aanvallen waren gericht op westerse bedrijven en organisaties, waarbij Iraanse hackers met succes toegang kregen tot vertrouwelijke gegevens. Het ging onder meer om informatie over intellectueel eigendom, bedrijfsstrategieën en andere commercieel waardevolle gegevens. Dergelijke gegevens kunnen worden gebruikt om Irans eigen economische en technologische ontwikkeling te bevorderen, terwijl ze het concurrentievermogen van de beoogde bedrijven verzwakken.

Doelwitten van Iraanse industriële spionage

De doelstellingen van Iraanse industriële spionage zijn divers en omvatten zowel politieke als economische motieven:

Politieke doelstellingen: Iran gebruikt cyberaanvallen om geopolitieke rivalen te verzwakken en de eigen positie in de regio te versterken. Aanvallen op kritieke infrastructuur zoals energiebedrijven in Saoedi-Arabië en de VS dienen om de stabiliteit van deze landen te ondermijnen en een afschrikmiddel te creëren tegen mogelijke militaire of economische maatregelen.
Economische doelstellingen: Het verkrijgen van vertrouwelijke bedrijfs- en technologiegegevens stelt Iran in staat om zijn eigen economische ontwikkeling te bevorderen, vooral op gebieden waar het land beperkt wordt door internationale sancties. Door intellectueel eigendom en technologische innovaties te stelen, kan Iran zijn industriële basis versterken en de effecten van sancties gedeeltelijk compenseren.

Outlook

De cybercapaciteiten van Iran zijn de afgelopen jaren aanzienlijk toegenomen en vormen niet alleen een bedreiging voor regionale tegenstanders, maar ook voor westerse staten en hun belangen. Door asymmetrische tactieken toe te passen en de technische mogelijkheden voortdurend te verbeteren, kan Iran ondanks beperkte middelen aanzienlijke schade aanrichten. Deze ontwikkelingen roepen belangrijke vragen op over hoe Iraanse hackactiviteiten toekomstige conflicten kunnen beïnvloeden.

Desinformatie & AI: De invloed van kunstmatige intelligentie op verkiezingen

Verdere ontwikkeling van cybercapaciteiten

Iran investeert voortdurend in de ontwikkeling van zijn cybercapaciteiten om zowel de offensieve als de defensieve capaciteiten te versterken. Deze investeringen omvatten het ontwikkelen van nieuwe malware, het verbeteren van phishingtechnieken en het gebruik van social engineering-methoden om toegang te krijgen tot gevoelige gegevens. Een belangrijk doel is het verbeteren van de mogelijkheden om kritieke infrastructuur aan te vallen en te saboteren, zoals in het verleden is gebeurd met aanvallen op Saoedische en Amerikaanse doelen.

Geopolitieke motieven

Een belangrijk doel van de Iraanse cyberstrategie is het destabiliseren van geopolitieke rivalen en het versterken van de eigen regionale hegemonie. Cyberaanvallen zijn een effectieve methode om deze doelen te bereiken, omdat ze vaak moeilijk te traceren zijn en daarom minder directe militaire gevolgen hebben. Aanvallen op kritieke infrastructuur zoals elektriciteitsnetten, watervoorziening en communicatiesystemen kunnen worden gebruikt om verwarring te zaaien, vertrouwen te ondermijnen en politieke instabiliteit te bevorderen.

Cyberoorlog als onderdeel van asymmetrische oorlogsvoering

In de context van asymmetrische oorlogsvoering bieden cyberoperaties Iran de mogelijkheid om actie te ondernemen tegen technisch superieure tegenstanders zonder conventionele militaire confrontaties aan te hoeven gaan. Deze tactiek stelt Iran in staat om de kosten en risico’s van een directe militaire confrontatie te vermijden, terwijl het toch aanzienlijke schade kan toebrengen en geopolitieke doelen kan nastreven.

Mogelijke scenario’s

In toekomstige conflicten zou Iran cyberaanvallen kunnen gebruiken om de verdedigingscapaciteiten van zijn tegenstanders te verzwakken en hun militaire operaties te verstoren. Een scenario zou bijvoorbeeld het lamleggen van communicatie- en controlesystemen voorafgaand aan een conventionele militaire aanval kunnen zijn. Daarnaast kunnen cyberaanvallen worden gebruikt om politieke en economische instabiliteit te bevorderen door banken, aandelenbeurzen en andere economische instellingen als doelwit te nemen.

Samenwerking met andere staten en niet-statelijke actoren

Iran heeft laten zien dat het bereid is om samen te werken met andere landen zoals Rusland en China om zijn cybercapaciteiten uit te breiden en te versterken. Door deze samenwerking zou Iran toegang kunnen krijgen tot geavanceerde technologie en expertise, waardoor het nog beter in staat zou zijn om effectieve cyberoperaties uit te voeren. Iran zou ook niet-statelijke actoren en cybercriminelen kunnen rekruteren om zijn doelen te bereiken, waardoor de traceerbaarheid en verantwoordingsplicht verder worden bemoeilijkt.

Over
Laatste berichten

Duitse Advocaat Jens Ferner

Advocaat bij Advocatenkantoor Ferner Alsdorf

Ik ben een gespecialiseerde advocaat voor strafrecht + gespecialiseerde advocaat voor IT-recht en wijd mijn professionele leven volledig aan strafrechtelijke verdediging - en IT-recht als advocaat voor creatieve & digitale bedrijven en greentech. Voordat ik advocaat werd, was ik softwareontwikkelaar. Ik ben auteur in een gerenommeerd StPO-commentaar en in vakbladen.

Ons kantoor is gespecialiseerd in strafrechtelijke verdediging, witteboordenstrafrecht en IT-recht. Let op ons werk in kunstrecht, digitaal bewijs en softwarerecht.

Laatste berichten van Duitse Advocaat Jens Ferner (alles zien)

Cryptovaluta als belastbare activa in duitsland - mei 7, 2025
Digitale Bewijsmiddelen in Duitsland: Juridisch Kader, Verzameling en Toelaatbaarheid in de Rechtbank - mei 6, 2025
De Duitse rechtspraak over Kryptomessengers: Encrochat, SkyECC & ANOM - mei 2, 2025