Vernuftige spionagesoftware ontdekt, ontwikkeld door een overheid

Was 2013 het jaar waarin klokkenluider Edward Snowden wereldkundig maakte dat Amerikaanse en Britse overheden op grote schaal communicatie afluisteren en verzamelen; 2014 is het jaar waarin het corpus delicti lijkt gevonden.

Beveiligingsbedrijf Symantec maakte dit weekend details bekend over geavanceerde spionagesoftware die is gevonden in Saoedi-Arabië, Rusland, Mexico en Afghanistan, maar ook in België, Ierland en Oostenrijk. De software, ‘Regin’ gedoopt, kan onder meer wachtwoorden stelen, netwerkactiviteit doorsluizen en meekijken op pc’s. Ook individuele gebruikers zijn het slachtoffer.

Regin zou sinds 2008 in omloop zijn en ontwikkeld door een overheid die er zeer veel tijd en geld in heeft gestoken. Het is een overcomplete gereedschapskist voor de digitale spion. De software is opgebouwd met ‘modules’ die elk een afluisterklus opknappen. Regin is zo verpakt dat het in het geheim data wegsluist. De complexiteit laat zich vergelijken met Stuxnet, het virus waarmee Westerse geheime diensten een Iraanse nucleaire opwerkingsfabriek platlegden.

Het is niet zeker hoe computers besmet zijn met Regin – misschien via nep-sites die gaten in software misbruiken. Geheime dienst verzamelen zulke ‘exploits’. Het is ook niet duidelijk of Regin het enige afluisterpakket in omloop is. De remedie tegen deze afluisterpraktijken: versleutel je communicatie. De Britse en de Amerikaanse geheime dienst reageerden al woedend op recente aanpassingen die Apple, Google en WhatsApp deden om hoogwaardige encryptie bij elke gebruiker aan te zetten.