Cyberoorlog nieuws

De Russische binnenlandse veiligheidsdienst FSB heeft dinsdag buitenlandse inlichtingendiensten beschuldigd van het uitvoeren van een spionageoperatie tegen hoge Russische functionarissen. De FSB beweert dat spionnen de infrastructuur en capaciteiten van grote internationale technologiebedrijven hebben gebruikt om gevoelige overheidsinformatie heimelijk te verzamelen.

In een verklaring meldde de FSB een "grootschalige operatie" te hebben ontdekt waarbij kwaadaardige software was geïnstalleerd op de mobiele apparaten van hoge Russische functionarissen. De dienst stelt dat de malware werd gebruikt om data te extraheren, communicatie te onderscheppen en onopgemerkt audio- en video-surveillance uit te voeren. De FSB beweerde dat buitenlandse inlichtingendiensten de operatie uitvoerden "met behulp van de technische mogelijkheden van grote internationale IT-corporaties en mobiele communicatietechnologieën."

De Russische autoriteiten hebben een strafrechtelijk onderzoek geopend en stellen dat er inspanningen gaande zijn om de daders te identificeren, de gebruikte infrastructuur in kaart te brengen en de omvang van de gecompromitteerde informatie vast te stellen. Volgens het Russische staatspersbureau TASS beschreef een FSB-functionaris de campagne als een van de grootste buitenlandse inlichtingenoperaties die de dienst ooit heeft ontdekt. De functionaris claimde dat het doel was om informatie over contacten, plannen en beoordelingen van functionarissen direct te verzamelen, in plaats van via tussenpersonen.

De FSB beweerde dat de operatie toegang mogelijk maakte tot correspondentie, telefoongesprekken, geolocatie-informatie, contactlijsten en audio- en videodata verzameld van de apparaten en hun omgeving. Ook werd gesteld dat sommige functionarissen die naar verluidt het doelwit waren van de campagne, later op sanctielijsten van de Verenigde Staten en de Europese Unie verschenen, wat suggereert dat de inlichtingen mogelijk werden gebruikt om drukcampagnes tegen hen te ondersteunen. De dienst maakte echter niet de naam bekend van de spyware die naar verluidt betrokken was, verklaarde niet hoe de malware apparaten infecteerde, noch leverde technische bewijzen ter ondersteuning van haar claims.

Naast het publiceren van een verklaring, verspreidde de FSB een video aan Russische media. Volgens TASS bevatte de beelden kantoren die gelinkt zijn aan internationale technologiebedrijven waarvan de infrastructuur naar verluidt in de operatie werd gebruikt, waaronder contentleveringsbedrijven en cybersecuritybedrijven Cloudflare en Fastly. Geen van beide bedrijven werd direct beschuldigd van deelname aan de vermeende spionageoperatie. Beide bedrijven exploiteren content delivery netwerken die websites helpen content wereldwijd te verspreiden en cybersecuritydiensten te leveren. Cloudflare en Fastly hebben geen publieke reactie gegeven.

De beschuldigingen doen denken aan een eerdere claim van de FSB uit 2023, toen de dienst Amerikaanse inlichtingendiensten ervan beschuldigde spyware te gebruiken om duizenden Apple iPhones van Russische functionarissen en diplomaten te compromitteren. Die campagne, door het Russische cybersecuritybedrijf Kaspersky aangeduid als Operation Triangulation, richtte zich op slachtoffers via kwaadaardige iMessages en zou meerdere jaren actief zijn geweest. Destijds beschuldigde de FSB Apple van het faciliteren van de operatie, een beschuldiging die het bedrijf verwierp. De FSB legde geen verband tussen de recente beschuldigingen en Operation Triangulation, en Kaspersky reageerde niet op een verzoek om commentaar over de nieuw beweerde spionagecampagne.

Bron: FSB | Bron 2: tass.ru | Bron 3: recordedfuture.com

De veiligheidsdiensten van de ‘Five Eyes’-alliantie, een samenwerkingsverband tussen de Verenigde Staten, het Verenigd Koninkrijk, Canada, Australië en Nieuw-Zeeland, hebben een gezamenlijke waarschuwing uitgegeven. Deze waarschuwing richt zich op de activiteiten van Chinese inlichtingendiensten die proberen Britse ambtenaren en militairen te rekruteren. De methode die hiervoor wordt gebruikt, omvat het aanbieden van nepvacatures op professionele netwerksites zoals LinkedIn.

Volgens de Britse veiligheidsdienst, die deel uitmaakt van de Five Eyes-alliantie, zetten Chinese inlichtingendiensten valse profielen en fictieve bedrijven in om contact te leggen met potentiële doelwitten. Via deze weg worden individuen benaderd met aantrekkelijke, maar frauduleuze, vacatures. Het uiteindelijke doel is om deze personen te rekruteren voor spionagedoeleinden en zo toegang te krijgen tot gevoelige informatie.

Deze officiële waarschuwing volgt op een eerdere melding van België in maart, waarin het land reeds aan de alarmbel trok over mogelijke Chinese spionageactiviteiten op Belgisch grondgebied. De herhaalde waarschuwingen van verschillende westerse inlichtingendiensten onderstrepen de aanhoudende dreiging van statelijke actoren die professionele platforms misbruiken voor inlichtingenvergaring. Het incident benadrukt het belang van verhoogde waakzaamheid bij het screenen van online contacten en vacatures, met name voor personen werkzaam in gevoelige overheids- en defensiesectoren.

Bron: Britse veiligheidsdienst

Het Russische Hooggerechtshof overweegt twee hackergroepen, Belarusian Cyber Partisans en Silent Crow, aan te merken als extremistische organisaties, wat hun activiteiten in Rusland effectief zou verbieden. Deze stap volgt op diverse cyberaanvallen die de groepen hebben opgeëist, gericht op kritieke infrastructuur en overheidsinstellingen in zowel Rusland als Belarus. De rechtbank heeft een besloten hoorzitting gepland om het verzoek te behandelen, zonder verdere toelichting op de motivering voor de extremistische aanduiding.

In reactie op de aankondiging liet Belarusian Cyber Partisans via een Telegram-bericht weten: "Hier is de erkenning van Ruslands Z-dictatuur van de effectiviteit van ons werk en dat van Silent Crow. We gaan ermee door." Silent Crow heeft geen publieke verklaring afgelegd.

De juridische procedure komt minder dan een jaar nadat beide groepen de verantwoordelijkheid opeisten voor een omvangrijke cyberaanval op de Russische nationale luchtvaartmaatschappij Aeroflot in juli 2025. Dit incident leidde tot de annulering van meer dan 100 vluchten, waardoor ongeveer 20.000 passagiers hinder ondervonden. De hackers beweerden destijds de IT infrastructuur van de luchtvaartmaatschappij te hebben vernietigd en een aanzienlijke hoeveelheid gevoelige data te hebben geëxfiltreerd. Deze data omvatte onder meer vluchtgegevens, interne gespreksopnames en informatie uit systemen voor werknemersmonitoring. Later publiceerden de groepen wat zij presenteerden als vluchtgegevens van de chief executive van Aeroflot.

In Rusland resulteert de aanwijzing als extremistische organisatie in een feitelijk verbod. Activiteiten worden verboden, websites en publicaties kunnen worden geblokkeerd, en personen die met de groepen in verband worden gebracht, riskeren administratieve of strafrechtelijke sancties. Het is echter onduidelijk welke concrete impact deze aanwijzing zal hebben op de twee hackergroepen, die voornamelijk online opereren. Beide groepen onderhouden openbare Telegram-kanalen, terwijl Belarusian Cyber Partisans tevens een website en een YouTube-kanaal beheert.

De Belarusian Cyber Partisans ontstonden na de massale protesten in Belarus in 2020 tegen president Alexander Lukashenko, volgend op verkiezingen die door westerse landen als gemanipuleerd werden beschouwd. Sindsdien heeft de groep diverse spraakmakende cyberoperaties uitgevoerd, waaronder aanvallen op Belarussische staatsinstellingen en het spoorwegnetwerk van het land. De groep stelde dat deze aanvallen gericht waren op het verstoren van de Russische militaire logistiek. In een interview in 2024 met Recorded Future News gaven leden van de groep aan dat zij informatie, verkregen uit gehackte Russische entiteiten, deelden met Oekraïense inlichtingendiensten en westerse organisaties.

Silent Crow, een pro-Oekraïense hackergroep, heeft de verantwoordelijkheid opgeëist voor meerdere cyberaanvallen op Russische doelwitten. Eerder vorig jaar claimde de groep te zijn ingebroken bij Rosreestr, het Russische staatseigendomsregister. Sinds de aanval op Aeroflot heeft Silent Crow geen updates meer geplaatst op zijn Telegram-kanaal.

Bron: Russisch Hooggerechtshof | Bron 2: recordedfuture.com

Westerse inlichtingendiensten waarschuwen voor een toenemende trend waarbij door China gelinkte staatsactoren vacaturesites misbruiken om overheidsmedewerkers en militairen te verleiden tot het delen van gevoelige informatie. Deze waarschuwing is afkomstig van de Five Eyes (FVEY), een internationaal inlichtenpartnerschap bestaande uit agentschappen uit het Verenigd Koninkrijk, de Verenigde Staten, Canada, Australië en Nieuw-Zeeland. Vijf agentschappen, waaronder de Britse MI5 en de Amerikaanse FBI, hebben een gezamenlijk rapport uitgebracht over de werkwijze van deze spionageoperaties.

De werkwijze van de spionnen omvat een gedetailleerde inspectie van cv's van sollicitanten, om te beoordelen welke geheimen zij mogelijk kunnen prijsgeven. Geselecteerde kandidaten worden vervolgens online geïnterviewd via videogesprekken, waarbij de spionnen hun ware identiteit en intenties verborgen houden. Na het interviewproces wordt de sollicitanten gevraagd een proefrapport te schrijven over onderwerpen als handel, defensie of politiek.

De communicatie wordt daarna verplaatst naar geheime, versleutelde berichtenapps, waar de kandidaten onder druk worden gezet om niet-openbare details te verstrekken. Zelfs als een sollicitant geen topgeheimen bezit, kan het combineren van kleine stukjes normale informatie de Chinese overheid van dienst zijn. De spionnen vergoeden deze rapporten via platforms als PayPal, Wise en cryptocurrency, met bedragen variërend van enkele honderden tot duizenden dollars.

De dreigingsactoren richten zich naar verluidt op personen met een speciale veiligheidsmachtiging. Hun voorkeursdoelwitten zijn militairen, in het bijzonder degenen die werkzaam zijn in de Indo-Pacifische regio. Echter, ook academici, journalisten en freelance schrijvers met connecties in de overheids- of handelssectoren kunnen het doelwit zijn.

Dit soort activiteiten is al geruime tijd gaande. Er zijn eerder meldingen geweest van dergelijke zwendelpraktijken, waaronder de spionagezaak met grote impact op de economie rond de Chinese universiteitsprofessor Hao Zhang. Hij werd in 2020 veroordeeld voor samenzwering met de Universiteit van Tianjin om gevoelige draadloze filtertechnologie te stelen van de Amerikaanse bedrijven Avago en Skyworks. Eerder heeft de directeur-generaal van MI5 in het Verenigd Koninkrijk, Ken McCallum, verklaard dat Chinese agenten LinkedIn gebruikten om Britse politici te benaderen, en merkte hij op dat zij hebben geprobeerd ten minste 20.000 Britten te lokken met deze nep-vacatures.

In reactie op de waarschuwing heeft de Britse minister van Veiligheid, Dan Jarvis, aangegeven dat het land deze vijandige acties van andere landen zal blijven bestrijden. Hij wees er ook op dat Noord-Korea een belangrijke dreiging vormt, aangezien het land nep-IT-werknemers op afstand heeft ingezet om toegang te krijgen tot prominente bedrijven voor financiële en staatsdoelen. Jarvis voegde eraan toe dat het Verenigd Koninkrijk politiek in gesprek zal blijven met China, maar dat de regering dergelijk gedrag niet zal tolereren. Het rapport waarschuwt tevens dat iedereen die geheime details deelt, op grond van spionagewetten gevangenisstraf riskeert.

Dit is niet de eerste keer dat de Five Eyes-alliantie een waarschuwing heeft afgegeven over hackers gevestigd in China die kritieke infrastructuur in het Westen aanvallen. In juli 2024 onthulde de alliantie dat China's APT40, ook bekend als GADOLINIUM, BRONZE of TEMP.Periscope, overheidsnetwerken had gehackt door misbruik te maken van bekende kritieke kwetsbaarheden.

Bron: Five Eyes

De veiligheidsdiensten van de Verenigde Staten hebben afluisterapparatuur en spionagesoftware ontdekt in overheidsvoertuigen en -telefoons, die toegeschreven worden aan Israël. Deze bevindingen hebben ertoe geleid dat het dreigingsniveau voor spionage door Israël is opgeschroefd naar 'kritiek', het hoogst mogelijke niveau. Dit nieuws, dat naar buiten kwam via Amerikaanse media zoals NBC News en The New York Times, wijst op toenemende spanningen in de traditioneel nauwe bondgenootschappelijke relatie tussen de twee landen.

Amerikaanse defensiemedewerkers gestationeerd in Israël zouden hebben ontdekt dat zonder hun toestemming software op hun telefoons was geïnstalleerd, specifiek ontworpen om gesprekken af te luisteren. Dit incident wordt gezien als een belangrijke motivatie voor de verhoging van het dreigingsniveau, zoals vastgelegd in een intern rapport van de Defense Intelligence Agency, de inlichtingendienst van het Pentagon. Volgens correspondent Lennard Swolfs duiden deze sterke aanwijzingen erop dat Israël actief Amerikaanse functionarissen bespioneert.

Het rapport van de Defense Intelligence Agency somt meerdere incidenten op. Israël zou onderhandelaars hebben afgeluisterd die bezig waren met de onderhandelingen met Iran. Inlichtingenrapporten suggereren dat Israëlische diensten mogelijk gesprekken hebben onderschept of geprobeerd hebben gevoelige informatie te verkrijgen over interne Amerikaanse standpunten met betrekking tot deze onderhandelingen. Specifiek wordt vermoed dat Steve Witkoff, de Amerikaanse speciaal gezant voor het Midden-Oosten, en Elbridge Colby, de ondersecretaris van Defensie voor Beleid van de Verenigde Staten, het doelwit waren van deze afluisterpraktijken.

De spionagesoftware op telefoons is niet het enige bewijs van Israëlische inlichtingenactiviteiten. Reeds in 2021 werden Israëlische militaire veiligheidsdiensten betrapt terwijl zij afluisterapparatuur installeerden op het hoofdkwartier van de DIA, de inlichtingendienst van het Amerikaanse ministerie van Defensie. Een ander incident omvat een poging van de Shin Bet, de Israëlische binnenlandse veiligheidsdienst, om een afluisterapparaat te plaatsen in een voertuig van de Secret Service, waarschijnlijk een beveiligingsauto van Amerikaanse overheidsbeveiliging.

Volgens The New York Times zou Israël vooral geïnteresseerd zijn in hoe de Amerikaanse regering onder president Trump haar strategie aanpast in de onderhandelingen met Iran. Hoewel de militaire samenwerking tussen de VS en Israël sterk blijft, kunnen de verhoogde dreigingsinschattingen leiden tot extra beperkingen op het delen van gevoelige informatie, om zo lekken en afluisterrisico's te minimaliseren.

Officiële reacties op de beschuldigingen zijn terughoudend. De Israëlische ambassade in Washington ontkent het nieuws stellig en benadrukt dat bevriende staten elkaar niet bespioneren. Ook het Witte Huis ontkent de beschuldigingen. Amerikaanse defensiebronnen erkennen de verhoogde zorgen, maar benadrukken dat dit geen officiële beschuldiging of een breuk in de relatie betekent. Desondanks maakt de huidige inschatting dat Israël het grootste contraspionagerisico vormt onder Amerikaanse bondgenoten, de situatie uitzonderlijk gevoelig.

Bron: The New York Times | Bron 2: vrtnws.be

Rusland voert al maandenlang gecoördineerde desinformatiecampagnes om de parlementsverkiezingen in Armenië te beïnvloeden. Dit gebeurt in een sfeer van manipulatie en valse beweringen, gericht op het sturen van de publieke opinie. De uitkomst van deze verkiezingen is van belang voor de Europese Unie, aangezien Armenië een van de weinige landen in de Kaukasus is met een pro-westerse oriëntatie, die Moskou niet uit zijn invloedssfeer wil laten glippen.

De desinformatiecampagnes maken gebruik van gecoördineerde netwerken, waaronder 'Matryoshka' en 'Storm-1516'. Een significant deel van de valse informatie is gericht op de Armeense premier Nikol Pasjinjan, die in 2018 aan de macht kwam met een pro-Europese koers. Beweringen die circuleren omvatten onder meer een nepvideo waarin Pasjinjan een kind zou slaan, en valse claims over een geheime villa in het buitenland.

Armeense factcheckers, zoals die van CivilNet, hebben het druk met het ontkrachten van diverse misleidende berichten. Zo werd beweerd dat Pasjinjan kanker of zelfs hiv zou hebben en zich in het geheim in Frankrijk zou laten behandelen. Deze beweringen worden soms verspreid via video's die de stijl en het merk van gerespecteerde nieuwsmedia, zoals CivilNet zelf, imiteren om geloofwaardigheid te suggereren. Ook internationale nieuwsmedia worden op deze manier nagemaakt om valse beweringen te verspreiden.

Een andere opvallende valse bewering betreft het familieverleden van Pasjinjan, waarin gesuggereerd wordt dat zijn grootvader een naziverleden zou hebben gehad. Onderzoek van CivilNet toonde aan dat deze claim oorspronkelijk via Russische Telegramkanalen werd verspreid, vervolgens via de algemene Russische nieuwszenders en uiteindelijk in het Armeense politieke debat terechtkwam.

De valse beweringen worden ook ingezet om de nauwe banden van premier Pasjinjan met de Europese Unie als problematisch neer te zetten. Een veelvoorkomend narratief stelt dat als Pasjinjan zou winnen, Armenië een "tweede Oekraïne" zou worden en Europa het land zou gebruiken om een oorlog tegen Rusland te starten. De desinformatie is niet alleen afkomstig van buitenlandse actoren; ook binnenlandse politieke figuren, inclusief individuen uit de omgeving van de regeringspartij, zijn betrokken bij het verspreiden van misleidende berichten via valse accounts.

Een tactiek die deel uitmaakt van het 'Matryoshka'-netwerk is een georganiseerd e-mailoffensief. Armeense factcheckers ontvangen e-mails met dringende verzoeken om specifieke nieuwsberichten te factchecken. Hoewel deze op het eerste gezicht spontaan lijken, wijst onderzoek uit dat het gaat om gecoördineerde acties, want er zijn veel e-mails, de e-mailadressen volgen een vergelijkbaar patroon en de doorgestuurde links komen vaak exact overeen. De claims waar een factcheck voor wordt gevraagd, vinden hun oorsprong meestal op Russische Telegramkanalen. Deze aanpak kan dienen om factcheckers af te leiden van andere virale berichten of om de valse beweringen via de factcheck zelf verder te verspreiden.

Binnen het 'Matryoshka'-netwerk zijn minstens 343 video's met valse beweringen gepubliceerd, zoals geïdentificeerd door het 'Bot Blocker' project, dat pro-Russische botactiviteiten op sociale media analyseert. Naast 'Matryoshka' is ook het Russische netwerk 'Storm-1516' actief, dat zich richt op de grootschalige productie van valse video's en berichten, volgens internationale onderzoekers.

Bron: CivilNet

Sinds 2019 zijn gps-signalen boven grote delen van Europa, van IJsland tot Italië, meermaals verstoord. Onafhankelijke onderzoeksteams van de Universiteit van Texas en gps-experts van het Spaanse technologiebedrijf GMV hebben vastgesteld dat deze verstoringen gelinkt kunnen worden aan Russische satellieten. De onderbrekingen duren doorgaans minder dan 10 seconden en leiden meestal niet tot grote problemen, maar baren wetenschappers wel zorgen vanwege de potentiële impact op het dagelijks leven.

In totaal zijn 75 gevallen van gps-verstoring onderzocht, waarvan de eerste plaatsvond in oktober 2019, een maand na de lancering van de eerste operationele satelliet binnen het Russische EKS-programma. Het meest recente incident dateert van midden februari dit jaar. Volgens Bart Hendrickx, docent Russisch aan de UGent en onderzoeker van het Russische ruimteprogramma, wijst de brede geografische spreiding van de storingen erop dat ze afkomstig zijn uit de ruimte.

In minstens drie gevallen konden de onderzoekers de storingen direct linken aan de Russische satelliet Cosmos 2546. Het onderzoek suggereert dat alle verstoringen veroorzaakt lijken te worden door eenzelfde type signaal. Hierdoor sluiten de experts niet uit dat ook andere satellieten binnen het EKS-netwerk dergelijke signalen uitzenden, hoewel hierover nog onvoldoende gedetailleerde data beschikbaar is.

De impact blijft vooralsnog beperkt, omdat moderne navigatiesystemen bij korte onderbrekingen kunnen terugvallen op de laatst bekende locatie of op een reservesignaal. Desondanks is de aard van de storingen opvallend, want ze lijken zeer precies en doelgericht. Waar opzettelijke verstoringen (jamming) vaak als willekeurige ruis verschijnen, is dit signaal duidelijk gestructureerd en zorgvuldig ontworpen, zo constateerden de Spaanse gps-experts. Jamming omvat het uitzenden van een sterk signaal op dezelfde frequentie als het gps-signaal, waardoor ontvangers het oorspronkelijke signaal niet correct kunnen oppikken.

Het motief van Rusland voor deze verstoringen blijft onduidelijk. Onderzoekers speculeren dat het om een test van wapentechnologie kan gaan, gericht op grootschalige verstoring van gps-signalen. De onzekerheid over de intentie baart de onderzoekers van de Universiteit van Texas zorgen. Bart Hendrickx benadrukt dat, ondanks de betrokkenheid van Rusland, niet direct kan worden aangenomen dat de storingen opzettelijk zijn. Hij vindt het tevens vreemd dat de Cosmos 2546, die is ontworpen om kernraketten op te sporen, zou worden ingezet voor elektronische oorlogsvoering.

De incidenten leggen een grotere kwetsbaarheid bloot, namelijk de enorme afhankelijkheid van gps-technologie. Een grootschalige verstoring kan het alledaagse leven grondig ontregelen, met gevolgen voor navigatie, luchtvaart, scheepvaart en telecommunicatie. De bevindingen van de wetenschappers zijn bevestigd door een bron binnen de Amerikaanse luchtmacht aan The New York Times. De Europese Unie onderzoekt de zaak, maar de resultaten blijven vooralsnog geheim. Rusland heeft niet gereageerd op de beschuldigingen.

Bron: Universiteit van Texas | Bron 2: arxiv.org

Rusland heeft zijn geavanceerde digitale surveillancesysteem, bekend als SORM (System for Operative Investigative Activities), verder geüpgraded met nieuwe regelgeving. Deze aanpassingen, eind mei gepubliceerd door het Russische Ministerie van Digitale Ontwikkeling, zijn gericht op het versnellen, automatiseren en beter integreren van het systeem binnen de internetinfrastructuur van het land. SORM biedt Russische veiligheids- en inlichtingendiensten al decennia toegang tot telefoongesprekken, internetverkeer en andere elektronische communicatie op binnenlandse netwerken.

De bijgewerkte technische standaarden specificeren nu hoe informatie moet worden gezocht, verwerkt en verzonden, wat verder gaat dan de eerdere algemene vereiste dat operators SORM-apparatuur moesten installeren en toegang moesten verlenen wanneer daarom werd gevraagd. Dit stelt de autoriteiten in staat om een breder scala aan doorzoekbare data binnen het systeem te benutten. Hiertoe behoren volledige namen, paspoortinformatie, belastingidentificatienummers, adressen, gebruikersnamen, domeinen, URL's, bedrijfsgegevens, apparaatidentificatiegegevens en geografische coördinaten.

Volgens Timofei Dubrovskikh, een onderzoeker bij de digitale rechtenorganisatie RKS Global, ligt de voornaamste waarde van SORM niet zozeer in het onderscheppen van de inhoud van communicatie, maar in het vermogen om uitgebreide digitale profielen te construeren. Deze profielen verbinden telefoonnummers, simkaarten, apparaten, IP-adressen, gebruikersaccounts en locaties tot één doorzoekbaar netwerk. Het uiteindelijke doel is om snel verbanden te leggen tussen individuen, apparaten, netwerken, accounts en online activiteiten.

Het Ministerie van Digitale Ontwikkeling rechtvaardigt de nieuwe regels met de noodzaak om de nationale veiligheid te ondersteunen. Digitale rechtenorganisaties waarschuwen echter dat deze wijzigingen de toch al verreikende mogelijkheden van de overheid om digitale activiteiten te monitoren verder zullen versterken. Natalia Krapiva, senior tech counsel bij Access Now, stelt dat de nieuwe vereisten bedoeld lijken te zijn om de perceptie te versterken dat online activiteiten voortdurend worden gecontroleerd. Dit moedigt zelfcensuur aan en stelt de autoriteiten in staat om dissidentie te identificeren zonder grootschalige internetonderbrekingen, die onder de bevolking impopulair zijn gebleken.

De regelgeving heeft ook gevolgen voor de Russische telecommunicatiemarkt. Naleving van de SORM-vereisten vraagt van providers aanzienlijke investeringen in gespecialiseerde hardware, opslagsystemen en dedicated communicatie-infrastructuur. Dit kan miljoenen roebels kosten en treft vooral kleinere internetproviders zwaar. Krapiva verwacht dat dit de consolidatie rond grotere, staatsgebonden operators zal versnellen, wat de concurrentie vermindert en de controle van het Kremlin over de sector vergemakkelijkt. Non-compliance kan leiden tot licentieproblemen, toezicht, vertragingen in netwerkgoedkeuringen en andere administratieve sancties die het voortbestaan van kleinere providers bedreigen, aldus Dubrovskikh.

De nieuwe SORM-regelgeving strekt zich verder uit dan traditionele telecommunicatiebedrijven. Ze zijn van toepassing op alle "organisatoren van informatieverspreiding" en operators van autonome systemen. Volgens de Russische onafhankelijke nieuwsdienst Meduza kan deze categorie hostingproviders, datacenters, cloudoperators, grote technologiebedrijven, banken, universiteiten en grote bedrijven omvatten die hun eigen internetinfrastructuur beheren. Het systeem is geëvolueerd van het afluisteren van telecomoperators naar het correleren van een web van technische identificatiegegevens, waaronder telefoonnummers, simkaarten, apparaten, IP-adressen, gebruikersaccounts, domeinen, URL's, geolocatiegegevens en abonneeninformatie.

Voor gewone Russische burgers is er weinig praktische mogelijkheid om zich aan de surveillance te onttrekken. Aangezien SORM binnen de telecommunicatie-infrastructuur opereert en niet op de apparaten van gebruikers, kan het niet eenvoudigweg via software-instellingen worden uitgeschakeld. Hoewel VPN's een deel van de browse-activiteit kunnen verbergen voor internetproviders, verbergen ze de aanwezigheid van de VPN-verbinding zelf niet, en metadata en netwerkrelaties blijven zichtbaar voor de autoriteiten. Dubrovskikh concludeert dat de nieuwe regels SORM dichterbij een grootschalige surveillance-infrastructuur brengen, die niet alleen in kaart kan brengen wat mensen online zeggen, maar ook hoe ze verbinding maken, bewegen en interacteren op het internet.

Bron: Russisch Ministerie van Digitale Ontwikkeling | Bron 2: publication.pravo.gov.ru | Bron 3: kommersant.ru

Een eerder ongedocumenteerde cyberespionagegroep, genaamd SiribClone door het Russische cybersecuritybedrijf F6, is sinds de zomer van 2025 actief en richt zich voornamelijk op leden van de Russische strijdkrachten die gestationeerd zijn in grensregio's en gevechtszones. Het hoofddoel van de campagne is het verzamelen van militaire inlichtingen door het stelen van bestanden, het monitoren van communicatie en het verzamelen van gevoelige militaire informatie van Russische troepen die nabij de frontlinie zijn ingezet.

De hackers doen zich voor als vrouwen die op zoek zijn naar romantische relaties, of als vrijwilligers die humanitaire hulp aanbieden. Ze initiëren gesprekken met militairen via Telegram en andere berichtendiensten. Vervolgens overtuigen ze de slachtoffers om malicieuze applicaties te downloaden of hun Telegram-inloggegevens in te voeren op gespoofde websites.

Slachtoffers worden onder verschillende voorwendsels verleid om op malicieuze links te klikken. In sommige gevallen beweren de aanvallers een nieuwe applicatie te hebben ontwikkeld en vragen ze gebruikers deze te testen. In andere scenario's stellen ze voor om intieme foto's uit te wisselen via wat een veilige applicatie voor het delen van foto's lijkt te zijn. In werkelijkheid installeert deze applicatie eerder ongedocumenteerde Android-spyware, die door onderzoekers de naam SafeLoveStealer heeft gekregen. Deze malware is in staat foto's, video's, documenten, locatiegegevens en andere informatie van geïnfecteerde apparaten te stelen. Bovendien stelt het de aanvallers in staat om op afstand de microfoon van het doelwit te activeren en gesprekken op te nemen.

De groep exploiteert ook phishingwebsites die zijn vermomd als loginpagina's van Telegram, uitnodigingen voor Telegram-community's, portals voor medische tests en andere online diensten. Slachtoffers worden gevraagd hun telefoonnummer, Telegram-verificatiecode en wachtwoord voor tweefactorauthenticatie in te voeren, waardoor de aanvallers controle over hun accounts kunnen krijgen en hun communicatie kunnen monitoren.

Naast mobiele spyware heeft de groep ook eerder ongedocumenteerde malware voor desktopcomputers ingezet, genaamd SiribGrabber. Het primaire doel hiervan is het stelen van bestanden van geïnfecteerde systemen. Tijdens een campagne die tussen januari en februari van dit jaar werd gedetecteerd, verstuurden de hackers ZIP-archieven die waren vermomd als documenten gerelateerd aan het leger. Na enkele maanden van ogenschijnlijke inactiviteit dook de groep in mei opnieuw op met nieuwe malware die werd verspreid via een website met een thema rondom de overwinningsdagvieringen in Rusland.

De onderzoekers van F6 ontdekten tevens een intern beheerplatform dat door de hackers wordt gebruikt, genaamd Kontur. Dit platform slaat gestolen Telegram-sessies op en stelt operators in staat om onderschepte berichten te bekijken. Interne notities binnen het platform refereerden aan militaire rangen, eenheidsaanduidingen, locaties en operationele status, wat suggereert dat de campagne voornamelijk bedoeld is voor militaire spionage. Volgens F6 richten de operaties van SiribClone zich op twee doelstellingen, namelijk het verzamelen van technische, geografische en persoonlijke gegevens van geïnfecteerde apparaten, en het verkrijgen van persistente toegang tot Telegram accounts van slachtoffers om communicatie te onderscheppen. De onderzoekers hebben de campagne niet toegeschreven aan een specifiek land of een bekende dreigingsactor.

Bron: F6 | Bron 2: recordedfuture.com

Het Nederlandse kabinet heeft een eerder voornemen om buitenlandse wetenschappers en studenten uitgebreid te screenen, laten varen. Het doel van deze screening was om spionage en diefstal van gevoelige technologische kennis te voorkomen. Echter, een dergelijke brede aanpak blijkt in de praktijk niet haalbaar te zijn.

De regering had plannen om alle buitenlandse academici die toegang zouden krijgen tot potentieel gevoelige technologieën, te onderwerpen aan een uitgebreide veiligheidscheck. Dit initiatief kwam voort uit de groeiende zorgen over staatsgestuurde spionage en de bescherming van Nederlandse kennis en innovatie. Na een diepgaande evaluatie is geconcludeerd dat de logistieke en administratieve last die een dergelijke brede screening met zich mee zou brengen, te groot is voor de uitvoerende instanties en onderwijsinstellingen.

Het kabinet onderzoekt nu alternatieve mogelijkheden om de nationale veiligheid en technologische voorsprong te waarborgen. De focus zal verschuiven naar de haalbaarheid van screening op een kleinere, meer gerichte schaal. Dit betekent waarschijnlijk dat er gekeken wordt naar specifieke risicogebieden, landen van herkomst, of typen kennis die extra bescherming behoeven, in plaats van een generieke aanpak voor alle buitenlandse academici. De exacte invulling van deze nieuwe, beperktere screening moet nog nader worden uitgewerkt.

Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo

Dr. Richard Horne, CEO van het National Cyber Security Centre (NCSC) van het Verenigd Koninkrijk, heeft onthuld dat driekwart van de cyberaanvallen op de kritieke infrastructuur van het VK in het afgelopen jaar (tot mei 2026) kan worden toegeschreven aan vijandige statelijke actoren. Deze bevindingen werden gepresenteerd tijdens de jaarlijkse Security Lecture van het Royal United Services Institute (RUSI).

Het NCSC heeft in de genoemde periode meer dan 200 cyberincidenten behandeld die de Britse kritieke nationale infrastructuur en het ondersteunende ecosysteem troffen. Ongeveer 75% van deze incidenten wordt in verband gebracht met statelijke actoren, waaronder Rusland, China en Iran. Dr. Horne benadrukte dat deze vijandige staten steeds vaker de systemen aanvallen die de essentiële diensten van het VK ondersteunen. Hij pleitte ervoor dat cyberbeveiliging niet louter als een te beheren risico moet worden beschouwd, maar als een voortdurende strijd met capabele tegenstanders.

Volgens Dr. Horne is deze strijd niet beperkt tot een afgebakend gebied, maar eerder vergelijkbaar met een voetbal- of basketbalwedstrijd die zich over een breed speelveld uitstrekt, waarbij succes afhangt van de prestaties over het hele veld. Hij onderstreepte de noodzaak van gecoördineerde actie in de "nabije, middellange en verre" cyberruimtes, waarbij in elke ruimte een andere aanpak vereist is.

De NCSC-topman riep "elk bestuurslid en elke leidinggevende, in elke organisatie" op om de cyberweerbaarheid te versterken. Dit dient te gebeuren door te focussen op drie kerncapaciteiten: inzicht in de blootstelling aan dreigingen, het opbouwen van sterkere verdedigingen gebaseerd op bewezen beveiligingsfundamenten, en het waarborgen van de operationele continuïteit en het snelle herstel na een aanval. Dr. Horne merkte op dat nog steeds te veel significante incidenten plaatsvinden omdat de basisbeginselen niet op orde zijn.

Hij benadrukte dat er in deze strijd geen toeschouwers zijn; iedereen is betrokken, van directiekamers tot IT-helpdesks en thuis op de bank. De NCSC-CEO waarschuwde tevens voor de versnelling van dreigingen door vooruitgang in artificiële intelligentie (AI). Het NCSC schat in dat tegen 2028 AI-ondersteunde cybercapaciteiten waarschijnlijk door aanvallers zullen worden gebruikt om bekende kwetsbaarheden in verouderde technologie op grote schaal binnen de kritieke nationale infrastructuur uit te buiten. Het NCSC heeft diverse hulpmiddelen en richtlijnen gepubliceerd om organisaties te helpen AI-gestuurde aanvallen tegen te gaan door nu de basis van hun cyberbeveiliging te verbeteren.

Bron: NCSC

De hoogste Duitse militaire ruimtevaartfunctionaris heeft een ernstige waarschuwing geuit over de mogelijke ontwikkeling door Rusland van technologie om kernwapens in een baan om de aarde te brengen en daar te ontsteken. Dit heeft generaal-majoor Michael Traut, commandant van het Duitse Ruimtecommandao, kenbaar gemaakt in een interview met Politico.

Generaal Traut benadrukte de potentieel desastreuze gevolgen van een dergelijk scenario. Hij stelde dat een kernexplosie in de ruimte wereldwijd ernstige verstoringen zou kunnen veroorzaken in cruciale infrastructuur en militaire systemen die afhankelijk zijn van satellieten. Deze verstoringen zouden niet beperkt blijven tot directe schade, maar kunnen leiden tot langdurige uitval van essentiële diensten.

De commandant waarschuwde specifiek dat bepaalde baanhoogtes na een dergelijke gebeurtenis mogelijk tientallen jaren lang onbruikbaar zouden kunnen worden. Dit zou een enorme impact hebben op communicatie, navigatie, weersvoorspellingen en tal van andere diensten die tegenwoordig onmisbaar zijn en vertrouwen op satellietnetwerken. De afhankelijkheid van zowel civiele als militaire sectoren van ruimtevaartinfrastructuur maakt deze potentiële dreiging bijzonder zorgwekkend voor de mondiale stabiliteit en veiligheid. De mogelijkheid van een dergelijke verstoring onderstreept de kwetsbaarheid van onze technologisch geavanceerde samenleving voor bedreigingen in de ruimte.

Bron: BNR

De Canadese inlichtingendienst (CSIS) heeft met een uniek gerechtelijk bevel twee door buitenlandse entiteiten beheerde botnets ontmanteld. Dit is de eerste keer dat de CSIS haar bevoegdheden voor dreigingsreductie op deze wijze heeft ingezet. Het bevel gaf de dienst toestemming om geïnfecteerde servers, routers voor thuisgebruik en Internet of Things (IoT)-apparaten op Canadees grondgebied te neutraliseren.

De Canadese federale rechtbank publiceerde op 15 juni een geredigeerde versie van de uitspraak. Het bevel, dat op 1 mei 2024 werd verleend en in augustus van dat jaar werd verlengd, stelde de CSIS in staat om botnetgegevens op de geïnfecteerde machines aan te passen, te degraderen en te vernietigen, en de apparaten los te koppelen van de criminele netwerken.

De operatie richtte zich op servers, SOHO-routers (Small Office/Home Office) en diverse IoT apparaten, waaronder Ring deurbellen, beveiligingscamera's, televisies en andere Wi-Fi-compatibele apparaten. Zonder dit gerechtelijk bevel zou de actie van de CSIS waarschijnlijk als computermisbruik onder het Wetboek van Strafrecht zijn beschouwd. Justice Catherine Kane oordeelde dat de dreiging voor de veiligheid van Canada duidelijk en imminent was, en dat de genomen maatregelen noodzakelijk, redelijk en proportioneel waren. De rechtbank benadrukte dat de operatie gericht was op apparaten en niet op individuen; er werden geen gebruikersidentiteiten gezocht, geen inhoud onderschept, en alle incidenteel verzamelde persoonlijke gegevens werden vernietigd.

De botnets fungeerden als relaisnetwerken. Een commandolaag gaf opdrachten, die vervolgens via een laag van geïnfecteerde apparaten werden doorgestuurd. Door verkeer via gekaapte Canadese hardware te routeren, konden buitenlandse staten de indruk wekken van een gewone verbinding, een thuiswerker of een klant van een internetprovider, terwijl ze kritieke infrastructuur, overheidsnetwerken en militaire netwerken verkenden. De eigenaar van een geïnfecteerd apparaat zou hierdoor ten onrechte verantwoordelijk lijken voor verkeer dat zij nooit hadden verzonden. De rechtbank wees de energiesector aan als een van de mogelijke doelwitten en waarschuwde dat de tegenstanders de botnets konden inzetten om Canadese infrastructuur te verkennen en potentieel te verstoren.

Hoewel de uitspraak de 'wat', twee buitenlandse tegenstanders en een duidelijke dreiging voor Canada's veiligheid, vaststelt, blijft de 'wie' geredigeerd. De timing en de techniek komen overeen met eerdere operaties begin 2024. De publicatie "The Bureau", die de uitspraak boven water bracht, kon uit de geredigeerde redenen niet afleiden of de twee botnets beide Chinees, Russisch, of een combinatie daarvan waren.

Deze Canadese actie vertoont overeenkomsten met eerdere, door de rechtbank bevolen botnet-opruimacties in de Verenigde Staten. In december 2023 gebruikte de FBI de commandokanalen van een botnet om KV-malware voor botnet te verwijderen van honderden Amerikaanse SOHO-routers, voornamelijk verouderde Cisco en NetGear apparaten. Deze werden door de aan China gelinkte groep Volt Typhoon gebruikt om toegang te verbergen die was voorbereid op een mogelijke crisis binnen Amerikaanse communicatie-, energie-, water- en transportsystemen. Weken later voerde de FBI een vergelijkbare operatie uit tegen een afzonderlijk netwerk van Ubiquiti-routers, dat door de Russische GRU, de APT28-groep, was omgezet in een spionagerelais.

Het Canadese cybercentrum had zich aangesloten bij de geallieerde waarschuwingen over statelijke actoren die SOHO- en IoT-apparatuur misbruiken. Het verschil tussen de Amerikaanse en Canadese operaties ligt in de autoriteit die het bevel uitvoerde. De Amerikaanse acties waren wetshandhavingsoperaties door de FBI en het Department of Justice onder zoek- en inbeslagnamebevoegdheden. De Canadese operatie werd uitgevoerd door een inlichtingendienst, de CSIS, die dreigingsreductiemaatregelen gebruikte, een bevoegdheid om een dreiging actief te ontwrichten in plaats van alleen inlichtingen te verzamelen, zoals vastgelegd in de CSIS-wet en herzien in de Nationale Veiligheidswet van 2017.

De belangrijkste les voor verdedigers blijft dat botnets gedijen op onbeheerde apparatuur, verouderde routers die nog steeds in het netwerk zijn opgenomen, IoT-kits die nooit hun laatste firmware-update hebben ontvangen, en alles wat met standaardinloggegevens en een beheerderspaneel naar het internet is gericht. Een overheidsopruimactie pakt deze fundamentele zwakheden niet aan. Bij de Amerikaanse operaties werd de malware verwijderd, maar de kwetsbaarheden bleven bestaan, waardoor een reboot of fabrieksreset de fix ongedaan kon maken en de deur opnieuw kon openen voor herinfectie. Het is de verantwoordelijkheid van de eigenaar om verouderde hardware buiten gebruik te stellen en de resterende apparaten te beveiligen.

Bron: canada.ca

Anthropic heeft de Chinese tech- en e-commercegigant Alibaba formeel beschuldigd van het orkestreren van een grootschalige, ongeautoriseerde extractiecampagne gericht op zijn Claude AI model. Het bedrijf omschrijft dit als de grootste bekende distillatieaanval in zijn geschiedenis.

In een brief van 10 juni 2026, gericht aan de voorzitter van de Amerikaanse Senaatscommissie voor Bankzaken, Tim Scott, en het lid van de oppositie, Elizabeth Warren, beweerde Anthropic dat operatoren die gelieerd zijn aan Alibaba en zijn AI-onderzoeksdivisie, Alibaba Qwen, een gecoördineerde campagne uitvoerden om illegaal capaciteiten van zijn Claude AI model te oogsten.

De campagne liep van 22 april tot 5 juni 2026 en genereerde meer dan 28,8 miljoen uitwisselingen met Claude via bijna 25.000 frauduleuze accounts. De operatie was specifiek gericht op Claude's meest geavanceerde en commercieel waardevolle capaciteiten, waaronder software-engineering en agentic reasoning, de hoekstenen van Anthropic's geavanceerde Mythos Preview-model.

De aanval maakte gebruik van een techniek die bekend staat als "adversarial distillation", een methode waarbij een minder capabel AI model wordt getraind op de outputs van een krachtiger model om diens capaciteiten na te bootsen tegen een fractie van de ontwikkelingskosten. Anthropic waarschuwde dat dit proces Chinese AI-laboratoria in staat stelt om toonaangevende Amerikaanse AI-capaciteiten te repliceren zonder de enorme R&D- en computationele uitgaven te maken die nodig zijn om modellen vanaf nul te trainen.

In zijn brief schreef Anthropic: "Deze distillatieaanvallen worden onwettig, systematisch en op industriële schaal uitgevoerd om Amerikaanse AI-capaciteiten van grensverleggende labs te oogsten en deze als hun eigen te verpakken zonder de trainings- en R&D-kosten te dragen die nodig zijn om Amerikaanse grensverleggende modellen te trainen." Bloomberg was de eerste die over deze brief berichtte.

Anthropic waarschuwde verder dat AI-systemen die via deze adversarial distillation-methode zijn gebouwd, vaak veiligheidsmaatregelen missen, wat bredere veiligheids- en beveiligingsrisico's met zich meebrengt, naast diefstal van intellectueel eigendom. Dit is geen geïsoleerd incident. In februari 2026 had Anthropic al een afzonderlijk plan onthuld waarbij DeepSeek, de Chinese AI-startup wiens goedkope model begin 2025 de wereldwijde techmarkten opschudde, samen met twee andere Chinese AI-laboratoria probeerde om illegaal toegang te krijgen tot Claude's platform.

Eerder deze maand kondigde het bedrijf aan dat het een directief had ontvangen van de Trump-administratie. Dit directief vereist dat zij iedereen van buiten de VS, inclusief hun eigen werknemers die geen Amerikaanse burgers zijn, de toegang tot hun nieuwste modellen, Claude Fable 5 en Mythos 5, ontzeggen. Anthropic beschrijft dit patroon nu als "systematische en ongeautoriseerde" exploitatie van leidende Amerikaanse AI modellen om een rivaliserende generatie Chinese chatbots te bouwen.

De onthulling leidt al tot wetgevende actie op Capitol Hill. Senatoren Bill Hagerty (R-TN) en Andy Kim (D-NJ) zijn bezig met het indienen van een amendement op essentiële defensiewetgeving dat elke Chinese firma die onrechtmatig toegang krijgt tot outputs van Amerikaanse AI modellen om concurrerende systemen te trainen, op een zwarte lijst zou plaatsen of zou sanctioneren. Alibaba heeft nog niet gereageerd op verzoeken om commentaar. De escalerende confrontatie over diefstal van AI modellen duidt op een verdieping van de technologische en geopolitieke kloof tussen de Amerikaanse en Chinese AI-sectoren, waarbij de beveiliging van grensverleggende modellen nu stevig in het vizier van het nationale veiligheidsbeleid ligt.

Bron: Bloomberg