'Petya-virus was spionagetruc'

De aanval met het Petya-virus van een week geleden ging niet alleen om ransomware of schade toebrengen, maar ook om spionage. De aanvallers hadden gedurende drie maanden toegang tot de geïnfecteerde systemen, blijkt uit een analyse van IT-beveiligingsbedrijf Eset.

'Zeer geraffineerde aanvalsmethode'

Volgens Dave Maasland, directeur van Eset Nederland, gaat het om een 'zeer gerafineerde aanvalsmethode'. 'Dit is niet het werk van een individu', zegt Maasland. 'Grootschalige coördinatie is nodig voor zo'n aanval.'

Door het Petya-virus kwamen de containerterminals van APM in Rotterdam plat te liggen, stopte de productie van medicijnen en konden parkeergarages niet worden gebruikt. Waar de aanval in eerste instantie werd gezien als een 'gijzeling' van computers om losgeld te krijgen, of om schade toe te brengen, blijken de geïnfecteerde computers nu ook maandenlang te zijn blootgesteld aan spionage.

Lees ook: Europol: 'Onbekend wat doel cyberaanval was'

Via de achterdeur naar binnen

'Er zat een achterdeur in het boekhoudprogramma MEDoc, waardoor de computers op afstand bestuurbaar waren', zegt Maasland. 'Ze wisten precies bij wie ze binnen waren en konden doen wat ze wilden. Ze konden gevoelige informatie zoals wachtwoorden stelen en commando's geven op afstand. Het is alsof ze drie maanden lang in je huis rondliepen.'

'Spionage reden tot grote zorgen'

Volgens Maas is de spionagecomponent reden om ons grote zorgen te maken. 'Het is nu niet zaak om geïnfecteerde systemen weer op gang te brengen. Maar we moeten gaan uitzoeken wat de aanvallers afgelopen maanden allemaal hebben uitgespookt. Bedrijven moeten hun logboeken nakijken om sporen te vinden. Zijn er bestanden gestolen? Of is er alleen gespioneerd?'

Met 400.000 klanten van MEDoc wereldwijd is de totaalimpact van de aanval moeilijk te overzien, volgens Maasland. 'Dat moeten we gaan uitzoeken. Wat duidelijk is dat het een gecoördineerde zeer geraffineerde aanval is die maandenlang is voorbereid.'