In Nederland staan minstens twee Command & Controlservers die de overheidspyware FinFisher aansturen, zo melden onderzoekers van The Citizens Lab van de Universiteit van Toronto in een nieuw rapport. Beide servers staan bij de hoster Tilaa in Amsterdam. Het gebruik van die hoster maakt het onwaarschijnlijk dat achter deze afluisteroperatie Nederlandse opsporingsdiensten zitten.

Ruben Kerkhof van Tilaa zegt desgevraagd tegen Webwereld te willen nagaan wie de servers huurt en of die in overtreding is met de bepalingen in het contract. Zo nodig sluit hij ze af “zeker nu ik lees waar het allemaal om gaat."

Finfisher, ook wel FinSpy genoemd, kwam eerder meerdere malen in het nieuws, onder meer als malware in de iTunes store in 2008 en eind vorig jaar nog omdat de Duitse overheid naar verluidt de “monitoring and surveillance tool" heeft aangeschaft als opvolger van de beruchte Bundestrojaner. Over het gebruik van die spyware door de Duitse opsporingsdiensten is bij onze Oosterburen heel wat te doen. Vooral omdat daarmee de computers van verdachten wordt binnengedrongen, volgens mensenrechtenorganisaties zonder afdoende borging van burgerrechten.

Ingezet in Egypte en Bahrein

De onderzoekers, waaronder Clauio Guarnieri van Rapid7, kwamen de C&C-servers die gebruikt worden voor de aansturing van FinFisher op het spoor nadat eerst door de rebellen in Egypte en later ook door activisten in Bahrein verdachte documenten en e-mails werden gevonden, waarbij in Bahrein tevens attachments met de spyware FinSpy werden aangetroffen. De spyware was bedoeld om informatie van activisten te onderscheppen, zoals gesprekken via Skype, maar ook wachtwoorden, en die te zenden naar een C&C-server in Bahrein.

Die C&C-server is vervolgens door Rapid7 onderzocht en in dat onderzoek werden verwijzingen naar meer C&C-servers gevonden. Die lijst werd een aantal maanden geleden gepubliceerd, met de gebruikte fingerprinting-techniek. Ook CrowdStrike en SpiderLabs deden naar aanleiding van dat onderzoek eigen analyses. Maar direct na de publicatie gingen de genoemde C&C-servers offline of werden geüpdatet om zo aan ontdekking te ontkomen. De onderzoekers verbeterden de fingerprinting-techniek en wisten een deel van de eerder ontdekte C&C-servers weer boven water te krijgen, en vonden een aantal nieuwe.

Gericht tegen eigen bevolking

Meest verontrustende is volgens de onderzoekers wel dat die ontdekte servers staan in landen waar gebruik van dergelijke software over het algemeen gericht is tegen tegenstanders van regimes, of tegen andersdenkenden. Zo werden servers ontdekt in Turkmenistan en lijkt de spyware nu actief te worden ingezet tegen burgerrechtengroepen in Ethiopië en Vietnam.

In een nieuwe update blijken er minimaal 36 C&C-servers te zijn voor FinSpy, waarvan 30 nieuwe. De servers staan in 19 verschillende landen (zien onderstaand plaatje), waaronder respectabele landen als Canada, Verenigde Staten, Duitsland, Groot-Brittannië en Nederland, maar ook in Bangladesh, India, Maleisië, Servië en Vietnam. In de nieuwste scan zijn 16 eerder ontdekte servers weer van de radar verdwenen, waaronder in Brunei, Arabische Emiraten, Letland en Mongolië.

"

De IP-adressen en namen van hosters per land zijn gepubliceerd in het nieuwste rapport. Ook wordt een nadere beschrijving gegeven van de spionageactiviteiten in Ethiopië en Vietnam.

Gamma heeft altijd export ontkend

Leverancier Gamma, met vestigingen in Duitsland en Engeland, heeft altijd ontkend de software te leveren aan discutabele regimes of criminele groepen en beweert dat FinFisher via reverse engineering is nagemaakt, gekopieerd of gestolen. Binnen de Europese Unie is al enige jaren een spanningsveld in de export van digitale technologie ten behoeve van “normaal gebruik" en technologie die ook kan worden gebruikt om in te zetten tegen de eigen bevolking, zoals bijvoorbeeld deep packet inspection.