De appjes van de ayatollah

De spionagecampagne tegen Iraanse activisten blijkt uit zogeheten malware die op verzoek van Argos is geanalyseerd door cyberveiligheidsexpert Rickey Gevers. Het gaat om spyware die documenten en informatie zoals e-mailcontacten van een computer verzamelt en wegsluist. De computerserver waar deze informatie naartoe gaat, staat in Nederland. 

De malware gaat rond sinds de ontvoering van de Zweeds-Iraanse politiek activist Habib Chaab. Dit kopstuk van de door Iran als terreurbeweging bestempelde ASMLA werd in oktober vanuit Turkije meegenomen naar Iran en zit daar inmiddels gevangen. Met Chaabs telefoon zijn na diens verdwijning berichten gestuurd naar ASMLA-leden en andere Iraanse activisten in Nederland en elders. Daarbij zat een zip-bestand met een Word-document over een raketaanval op een Iraanse militie en de uitnodiging dit te lezen. 

Een vooraanstaand ASMLA-lid in Nederland, werkzaam bij de anti-Iraanse zender Ahwazna TV, was één van de ontvangers. Hij had op 29 oktober via chatapp Telegram contact met iemand die zich voordeed als Chaab. Die app-conversatie wekte wantrouwen omdat Chaab op dat moment al vermist was. Op de vraag waar Chaab op dat moment verbleef kwam een ongeloofwaardig antwoord. Zo zou hij bij ‘Koerdische vrienden’ zijn. Op het verzoek om dit met een foto aan te tonen bleef het stil. 
 

‘Dit is echt inlichtingenwerk’, zegt cyberveiligheidsexpert Rickey Gevers nadat hij via Argos de telefoon met het app-gesprek met Chaab ter beschikking heeft gekregen. Gevers heeft het verdachte bestand en het Word-document tot in detail onderzocht. Volgens hem zit er een information stealer - een soort malware - in verstopt. ‘De spyware kijkt bijvoorbeeld naar het adressenbestand van het e-mailprogramma. Dan haalt deze alle contacten eruit en stuurt het die door’, aldus Gevers.
 
Ieder beetje informatie dat mogelijk relevant is - waaronder alle documenten - wordt volgens Gevers verzameld en weggesluisd. ‘Ze zijn echt geïnteresseerd in de persoon en alles en iedereen die ooit contact heeft gehad met die persoon.’ Gevers ontdekt ook dat de computer op afstand kan worden overgenomen om zo berichten naar anderen te sturen. ‘Zoals ze met de telefoon in eerste instantie ook een vertrouwd persoon hebben gebruikt. Van de ene vertrouwde persoon spring je naar de andere vertrouwde persoon.’

Volgens Gevers zit de malware - met meer dan 250 megabyte opvallend groot - vol met trucjes om detectie door virusscanners te voorkomen en om toegang te houden tot eenmaal geïnfecteerde computers. ‘Zo houden ze controle over hun slachtoffers’. Het doelwit merkt zelf vrijwel niks van de spionage. Als hij of zij het bestand opent of het Word-document leest, installeert de malware zich op de achtergrond. ‘Het enige wat je later zou kunnen merken is dat je computer wat langzamer wordt’.

De computerserver waar de informatie naartoe gaat en van waaruit ook de aansturing plaatsvindt, is door Gevers met behulp van het IP-adres gelokaliseerd in een datacentrum in Nederland. Hij heeft sporen gevonden die erop wijzen dat deze server sinds april al op deze manier in gebruik is. Afgelopen week is er tenminste één connectie gemaakt door een computer waarop de spyware succesvol is geïnstalleerd. Dat gebeurde vanaf een Zweeds IP-adres.
 
Het hostingbedrijf achter de server is op basis van de beschikbare gegevens vrijwel zeker de in de Verenigde Staten gevestigde firma Monstermegs. Het bedrijf is telefonisch en per mail onbereikbaar.*
 
Volgens Gevers is het zo goed als zeker dat Iran achter de spionagepraktijken zit. Behalve dat in dit specifieke geval de malware is verstuurd via de telefoon van de door Iran gevangengenomen Chaab, maar Gevers kan ook achterhalen dat eerdere versies van dezelfde malware eveneens zijn gebruikt om Iraanse dissidenten te bespioneren.
 

Volgens de ASMLA hebben zeker tien aanhangers in Nederland en mogelijk honderden mensen wereldwijd berichten ontvangen van de telefoon van de ontvoerde Chaab. Als het Iran lukt om in hun computers te komen, kunnen de gevolgen groot zijn. Niet alleen voor de activisten zelf, maar ook voor hun mogelijke heimelijke contacten in Iran.
 
De Iraanse geheime dienst jaagt al jaren op ASMLA-leden in het buitenland. De Nederlandse inlichtingendienst AIVD zegt ‘sterke aanwijzingen’ te hebben dat Iran achter de liquidatie zit van ASMLA-medeoprichter Ahmad Mola Nissi in Den Haag in november 2017. In september 2018 verijdelden de Deense autoriteiten een moordpoging op ASMLA-leider Habib Jabor. Argos berichtte vorig jaar over een spion uit Zweden die in Nederland ASMLA-leden in de gaten hield en informatie doorspeelde naar de Iraanse geheime dienst. Het anti-Iraanse televisiestation Ahwazna TV van de beweging in Rijswijk was daarbij ook doelwit. Voor zeker één ASMLA-lid, presentator van Ahwazna TV Eisa S., was de dreiging zo serieus dat de politie beveiligingsmaatregelen trof.

Inmiddels zijn vier ASMLA-leden, onder wie Eisa S., verdachten in terrorismezaken in Nederland en Denemarken. S. is volgens het Openbaar Ministerie betrokken bij de voorbereiding van aanslagen in Iran. Drie medeverdachten in Denemarken, onder wie ASMLA-leider Habib Jabor, zouden met steun van de Saoedische geheime dienst terrorisme hebben gefinancierd in Iran. In Iraanse staatsmedia wordt de ontvoerde Chaab een belangrijke rol toegedicht bij de aanslag op een militaire parade in 2018. In een video die in november op de Iraanse televisie is uitgezonden doet Chaab een vermoedelijk gedwongen bekentenis. De ASMLA (Arab Struggle Movement for the Liberation of Ahwaz) zegt op te komen voor de rechten van de Arabische minderheid in de Iraanse regio Khoezestan en ziet Iran en het ayatollah-bewind als bezetter.

* Na onze publicatie over de malware en het hostingbedrijf nam eigenaar Kevin Kopp van Monstermeg contact op met Argos. Hij laat weten dat ze zich er niet bewust van waren dat deze malware op de server stond, ondanks twee scanners die dit soort malware op zouden moeten sporen.