Logo
Data+

Kremlin gebruikt lokale providers om spionagesoftware te plaatsen

Cyberespionagegroep Turla lijkt diplomaten te dwingen hun computers te infecteren met spionagemalware.

Published on August 2, 2025

Image: pixabay
Aafke Eppinga

Door: Aafke Eppinga

Als hoofdredacteur is Aafke verantwoordelijk voor de artikelen en eventcontent, maar ze schrijft ook graag zelf. Ze maakt complexe zaken toegankelijk en vertelt de verhalen achter technologie.

De FSB-cyberespionagegroep Turla lijkt de controle over Rusland's netwerk-infrastructuur te gebruiken om internetverkeer te manipuleren. Op deze manier lukt het ze om diplomaten hun eigen computers te infecteren met spionagemalware. Microsoft-onderzoekers hebben ontdekt dat Turla de toegang tot Russische ISP's misbruikt om doelwitten in Moskou te targeten, hun encryptie uit te schakelen en hun communicatie kwetsbaar te maken voor toezicht. Dit blurt de grens tussen passieve surveillance en daadwerkelijke indringing, waarschuwt Microsoft.

FSB's cyberspionage tactiek

De Russische hackersgroep Turla, ook bekend onder de namen Snake, Venomous Bear of Secret Blizzard, staat bekend om zijn innovatieve hackingmethoden. In het verleden verborg de groep malwarecommunicatie via satellietverbindingen en kaapten ze de operaties van andere hackers. De hackgroep is volgens de Amerikaanse overheid al bijna twintig jaar actief tegen overheden, journalisten en andere doelwitten.

Nu blijkt dat Turla, vermoedelijk onderdeel van de Russische Federale Veiligheidsdienst (FSB) in het Kremlin, zijn door de staat goedgekeurde toegang tot Russische internetproviders (ISP's) gebruikt om spyware te plaatsen op computers van doelwitten in Moskou. Deze actie schakelt encryptie uit en maakt hun communicatie kwetsbaar voor surveillance.

Volgens Microsoft's Threat Intelligence team is dit de eerste keer dat bevestigd kan worden dat Turla deze mogelijkheid op ISP-niveau heeft.

Het team omschrijft de campagne als “een groot risico voor buitenlandse ambassades, diplomatieke instellingen en andere gevoelige organisaties die in Moskou actief zijn, vooral voor partijen die gebruikmaken van lokale internetproviders”.

Openbaar Ministerie

Cyberaanval op het OM laat zien hoe kwetsbaar we zijn

In de serie Cracked by Jordens kijken we naar de cyberveiligheid van consumenten en bedrijven in Nederland.

Gegevens stelen via achterdeurtjes

Uit de analyse blijkt voor het eerst dat de Russische geheime dienst FSB cyberspionage uitvoert op het niveau van internetproviders. “Dit betekent dat diplomatiek personeel dat lokale internet- of telecomdiensten in Rusland gebruikt, zeer waarschijnlijk doelwit is van de campagne,” aldus Microsoft.

In februari volgde Microsoft een FSB-operatie die buitenlandse ambassades in Moskou aanviel. Daarbij werd aangepaste malware (“backdoors”) geïnstalleerd waarmee gegevens konden worden gestolen en extra software geplaatst.

De bevindingen komen terwijl de VS Moskou onder druk zetten om een wapenstilstand in Oekraïne te accepteren en NAVO-landen hun defensie-uitgaven verhogen uit zorgen over Rusland. Moskou reageerde niet direct op het rapport; eerder heeft Rusland ontkend cyberaanvallen uit te voeren.

De betrokken hackgroep, door Microsoft aangeduid als “Secret Blizzard” en ook bekend als “Turla”, is volgens de Amerikaanse overheid al bijna twintig jaar actief tegen overheden, journalisten en andere doelwitten.