N.B. Het kan zijn dat elementen ontbreken aan deze printversie.
Hackersgroepen Een nieuwe taxonomie voor hackersgroepen moet het computerbeveiligers makkelijker maken om groepen te identificeren. Het levert wel koddige namen op.
:format(webp)/s3/static.nrc.nl/images/gn4/stripped/data99759121-2cb03b.jpg)
Foto Jorge García/Getty Images
De candiru (Vandellia cirrhosa) is een zoetwatervisje uit het Amazonebekken met een kwalijke reputatie: hij bijt zich vast in de kieuwen van andere vissen en voedt zich daar met hun bloed. Het bekende gruwelverhaal dat hij tegen de urinestraal van plassende mannen op zou zwemmen om zich in hun penis nestelen, is niet meer dan een onuitroeibaar broodje aap. Maar die vermeende eigenschap maakt ‘candiru’ wel een heel geschikte naam voor een Israëlisch cybersurveillancebedrijf dat geavanceerde hackerstools ontwikkelt waarmee zijn klanten – recherche, inlichtingendiensten en andere overheidsinstellingen – ongemerkt de telefoons, computers en cloudopslag van hun slachtoffers kunnen binnendringen. Net als bij de bekendere branchegenoot NSO – van de Pegasus-spyware – zijn die doelwitten criminelen en terroristen, maar ook mensenrechtenactivisten, journalisten, diplomaten, politici en dissidenten.
Candiru wisselde sinds zijn oprichting vele malen van naam – de laatst bekende luidt Saito Tech – maar onder de meeste computerbeveiligingsbedrijven bleef Candiru de aanduiding voor de hackersgroep.
Maar als het aan Microsoft ligt, komt daar een einde aan. Het techbedrijf introduceerde eerder deze maand een nieuwe taxonomie voor hackersgroepen, die het onderzoekers gemakkelijker moet maken om in één oogopslag te zien met wat voor soort hackers ze te maken hebben. De groeperingen worden voortaan vernoemd naar weersverschijnselen: het bedrijf maakt onderscheid tussen vijf typen hackersgroepen: hackers die uit zijn op financieel gewin (Tempest), die gericht zijn op beïnvloedingscampagnes (Flood), private bedrijven die cyberwapens ontwikkelen (Tsunami), en nieuwe groepen waarvan het karakter nog onduidelijk is (Storm). En dan zijn er aan natiestaten gelieerde hackers – waarbij de belangrijkste landen van herkomst, waaronder Rusland (Blizzard), China (Typhoon), Iran (Sandstorm) en Noord-Korea (Sleet), een eigen aanduiding krijgen. Aan die familienamen voegt het bedrijf een woordje toe om verschillende groepen binnen dezelfde familie uit elkaar te houden.
Van Mango Sandstorm tot Spandex Tempest
Het is een zinnige ingreep: beveiligingsbedrijven hanteren allerlei verschillende, eigen namen voor bekende hackersgroepen, wat regelmatig tot verwarring leidt. Neem de aan de Russische inlichtingendiensten gelieerde groep die onder meer verantwoordelijk wordt gehouden voor aanvallen op het Oekraïense electriciteitsnetwerk in 2015 en de NotPetya-virusaanval die in 2017 naar schatting 10 miljard euro schade veroorzaakte. Die wordt door Microsoft tot dusverre Iridium genoemd, en door andere firma’s ook wel Sandworm, Voodoo Bear, Iron Viking of Telebots. In het nieuwe namensysteem heet de groep bij Microsoft voortaan Seashell Blizzard, waardoor direct duidelijk is dat het om staatshackers gaat.
Bij Microsoft moet Candiru voortaan door het leven onder de beduidend minder spannende naam Caramel Tsunami (een naam die volgens techmagazine Wired overigens al wordt gebruikt voor een cannabisvariant). En ook andere groeperingen zullen misschien vreemd opkijken: de traditionele hackersesthetiek – filmpjes vol dreigende taal en bombastische muziek – is moeilijk te rijmen met aanduidingen als Mango Sandstorm, Spandex Tempest en Raspberry Typhoon – een naam die eerder aan een waterijsje doet denken dan aan de Chinese spionageoperatie die er volgens analisten achter schuilt.
Hackers die zich al te zeer in hun eer aangetast voelen, hoeven niet te wanhopen. Een universeel naamgevingssysteem ontbreekt nog steeds, zodat de beruchte cybercriminelen van Manatee Tempest – vernoemd naar een goeiïge zeekoe – voorlopig ook wel bekend zullen blijven als EvilCorp.
