Hacken voor Allah: hoe gevaarlijk is het cyberleger van IS?

Ver van de slagvelden in Syrië en Irak brengt terreurgroep Islamitische Staat een nieuw wapen in stelling: hackers. Steeds vaker nemen jihadi’s websites van westerse regeringen, banken en mediagroepen onder vuur.

'IS-toplui fantaseren al jaren over een aanval op een nucleaire installatie'

De moslimfundamentalisten van IS mogen dan wel hardop van een terugkeer naar de 7de eeuw dromen, in afwachting van de allesbeslissende eindstrijd maken ze wel driftig gebruik van 21ste-eeuwse technologieën. In 2004 gebruikte stichter Abu Musab Al Zarqawi nog de website van de militante islamitische groep Muntada al-Ansar om zijn eerste, amateuristisch geproducete onthoofdingsvideo – van de Amerikaanse zakenman Nicholas Berg – de wereld in te sturen. Maar twaalf jaar later beschikt de beweging over een mediastructuur die de wereld in realtime van informatie voorziet. De glossy magazines Dabiq en Islamic State News, Al-Bayan Radio, uitgever Al-Himma Library, het Al-Furqan Institute For Media Production, de Al-I’tisam Media Foundation, de Ajnad Media Foundation, het Al-Hayat Media Center en Amaq News Agency: elk van deze divisies specialiseert zich in print, video, audio of digitaal. Alleen al dit jaar verschenen er zes nieuwsapps voor Android in het Arabisch, Engels, Frans en Turks. De terreurgroep is actief op zowat alle mogelijke sociale media. Toen Twitter en Facebook onder toenemende maatschappelijke druk jihadistische profielen begonnen te verwijderen, hevelde de groep haar onlineactiviteiten eenvoudigweg over naar netwerken als VKontakte en Diaspora, waar de veiligheids- en privacynormen minder strikt zijn.

Dat een fundamentalistische terreurgroep een propagandanetwerk uitbouwt, is op zich niet nieuw. In de jaren 90 verheerlijkte de Afghaanse taliban haar strijd in het magazine In Fight. Experts situeren de geboorte van de onlinejihad in 1996: de Britse moslimextremist Babar Ahmad zette toen azzam.com op, een website ter ere van Al Qaeda. Maar de schaal waarop IS het doet, is ongezien. Aan het kalifaat gelinkte accounts versturen dagelijks zowat 90.000 tweets. Denktank Quilliam Foundation rekende uit dat de IS-mediamogol gemiddeld 38 originele propagandastukken per dag produceert. De groep beseft ook dat ze moet experimenteren om hot te blijven. Toen de wereld aan de onthoofdingsvideo’s begon te wennen, stak de terreurgroep een Jordaanse piloot in brand en gooide ze homoseksuelen in een ravijn. De aanslag in het Holey Artisan Bakery-café in Bangladesh van afgelopen juli werd door Amaq News Agency zelfs live becommentarieerd met updates en foto’s, alsof het een voetbalmatch betrof. Eén en ander bewijst dat IS bereid is te innoveren en die nieuwe technologieën verduiveld goed weet te gebruiken.

'IS is in staat om tophackers te rekruteren. Die geloven niet noodzakelijk in de jihad – antiwesterse gevoelens volstaan'


I Love ISIS

De uitbouw van een cyberleger lijkt dus een logische volgende stap. In een gedigitaliseerde wereld is de computerexpert koning, want een gedegen uitgevoerde cyberaanval kan enorme schade toebrengen aan een vijandelijke infrastructuur. Terroristen kunnen op die manier elektronische wapensystemen, computernetwerken, elektriciteitscentrales of nucleaire installaties saboteren of infecteren met spionagesoftware, militaire of financiële informatie stelen, persoonlijke gegevens van websites en sociale media plukken of enorme winsten genereren. De grootste bankoverval van 2015 was het werk van onbekende hackers. Hun cyberaanval op honderd banken in dertig landen leverde 1 miljard dollar op.

Enter Junaid Hussain. De Britse Pakistaan uit Birmingham, in jihadkringen beter bekend als Abu Hussain Al Britani, begon zijn carrière bij Team Poison, de pro-Palestijnse hacktivisten die zich destijds populair maakten door Mark Zuckerbergs Facebook-pagina en de websites van de NAVO en het Britse ministerie van Defensie te infiltreren. In samenwerking met de bekende hackers van Anonymous verspreidde Hussain tijdens operatie-Free Palestine de kredietkaartgegevens van tweehonderd Israëli’s. Na het stelen en verspreiden van de e-mailgegevens van de persoonlijke assistent van toenmalig Brits premier Tony Blair, zat hij in 2012 een celstraf van zes maanden uit in een Engelse gevangenis. Hussain kwam vrij als een geradicaliseerd man, en vertrok in 2013 naar Syrië, om daar vanuit IS-hoofdkwartier Raqqa een cyberdivisie uit de grond te stampen. Hij kwam weer aan de oppervlakte – onder de naam Cyber Caliphate Group – toen hij het Twitter-account van US Central Command hackte. Hij schreef ‘I Love You ISIS’ op het profiel van het militaire commando van alle Amerikaanse strijdkrachten in het Midden-Oosten, Centraal-Azië en Oost-Afrika. En ook: ‘American Soldiers, we are coming, watch your back!’

In korte tijd slaagde Hussain erin om hackers met welluidende namen als Electronic Jihad Team en The Army Of The Electronic Islamic State voor de IS-kar te spannen. Volgens de statistieken van het Middle East Media Research Institute régende het in 2015 IS-hacks: websites van Canadese universiteiten, Amerikaanse restaurants, kredietkaartinstellingen, Franse gemeentes, het Koeweits parlement en Syrische ngo’s werden geïnfiltreerd, en de Britse zangeres Lily Allen kreeg zelfs een doodsbedreiging vanwege IS op haar smartphone.

Eén van de meest ingenieuze en efficiënte cyberaanvallen uit die periode: de geïnfecteerde e-mails naar de Syrische anti-IS-burgerbeweging Raqqa Is Being Slaughtered Silently. De berichten, waarin fel werd tekeergegaan tegen IS, bevatten malware die het IP-adres en de geolocatie van de ontvanger naar de verzender terugstuurde, zodat IS precies wist waar ze de vijand konden vinden.

In augustus 2015 kwam Hussain om het leven in een droneaanval, ironisch genoeg nadat hij had gereageerd op een bericht van een Team Poison-lid en zo nogal knullig zijn eigen fysieke locatie aan de Amerikaanse inlichtingendienst onthulde. Vanwege zijn toenemende invloed en dreiging was de Brit naar de derde plek op de target list van IS-topfiguren opgeklommen.

Mocht Hussain nog leven, dan had de cyberdivisie van IS in elk geval een pak verder gestaan. De operaties onder zijn opvolger, de Brits-Bengalese computerexpert Siful Haque Sujan, waren immers van een beduidend lager niveau. Zie ook: de hack van de website van een zonnebankcentrum in Phoenix, Arizona. Ook Sujan stierf, enkele maanden later, in een Amerikaanse droneaanval.


Duivelspact

Wie de cyberoperaties van IS op dit ogenblik aanstuurt, is onduidelijk, zegt Laith Alkhouri, directeur Contraterrorisme van het Amerikaanse inlichtingenbedrijf Flashpoint, dat de opgang van het cyberterrorisme al jaren op de voet volgt.

'Lily Allen kreeg een doodsbedreiging vanwege IS op haar smartphone'

Laith Alkhouri «Er zijn vermoedens. Onlangs postte Anonymous, dat zich na de radicalisering van oude kompaan Hussain in een onlineoorlog met IS heeft gegooid, de identiteit van enkele mogelijke leiders. Die figuren zouden zich niet in Irak of Syrië bevinden, maar in Bangladesh en Indonesië, wat strookt met de enorme internationalisering van de terreurgroep. De voorbije maanden heeft IS veel strijders en grondgebied verloren, maar tegelijk zien we steeds meer activiteit in Indonesië, Bangladesh, de Filipijnen, Zuid-Amerika, Rusland en Afghanistan. Het grote voordeel van een cyberdivisie is natuurlijk dat die van eender waar kan werken.»

HUMO Over hoeveel hackers beschikt IS?

Alkhouri «Dat is moeilijk vast te stellen, omdat hackers anoniem opereren. Toen we dit fenomeen twee jaar geleden zagen ontstaan, ging het om enkelingen. Vandaag praten we minstens over tientallen. Dat lijkt misschien weinig, maar één hacker kan heel wat schade berokkenen. Vergelijk het met de aanslag van een lone wolf. Zo iemand kan, met de juiste voorbereiding, enorm veel slachtoffers maken.»

Junaid Hussain heeft het moslimterrorisme alleszins naar the next level geloodst. Na zijn dood doken er steeds meer jihadihackers op – crews met namen als Sons Caliphate Army, Caliphate Cyber Army, Ghost Caliphate Section en Kalashnikov E-Security Team, die hun aanvallen in naam van Allah uitvoeren en handleidingen voor beginnende hackers verspreiden. Op 4 april 2016 maakten deze onafhankelijke groepen via Twitter een duivelspact bekend. Voortaan zouden ze onder de naam United Cyber Caliphate (UCC) opereren.

Toch is er iets vreemds aan de hand. De boodschappen van UCC en andere jihadistische cybergroeperingen mogen dan wel doorspekt zijn met verwijzingen naar het kalifaat, de moederorganisatie zélf geeft geen kik. Terwijl de terreurgroep er doorgaans als de kippen bij is om aanslagen op te eisen, blijft het oorverdovend stil wanneer UCC een operatie uitvoert.

Alkhouri «Onafhankelijke groepen als UCC zijn de IS-ideologie genegen en doen er alles aan om de jihad online te verspreiden, maar ze hebben zich nog altijd niet op het allerhoogste niveau bewezen. Vanuit IS-standpunt betekent dat dat ze nog niet te vertrouwen zijn. Achter de schermen woedt er immers een oorlog tussen pro- en anti-IS-hackers, waaronder ook westerse inlichtingendiensten. Denk maar aan wat Hussain is overkomen. IS is voorzichtig: pas wanneer één van die groepen een geavanceerde aanval met ernstige schade uitvoert, zal het kalifaat hen erkennen.»

'Anonymous trekt de humoristische kaart in de strijd tegen het kalifaat'

De vrees van IS lijkt gegrond, want ook haar tegenstanders zijn bijzonder actief op het internet. Wie een beetje rondsurft, stuit algauw op hackplatformen als AnonOps, waar men tips en tricks geeft om jihadistische websites op te sporen en te vernietigen. ‘Happy hunting,’ besluit één van die handleidingen. Ook bij de elitehackers heeft de oprichting van UCC een tegenbeweging in gang gezet. Het Palestijnse hackerscollectief AnonGhost, berucht om zijn aanvallen op Israëlische instellingen, viel uit elkaar toen sommige van haar leden zich solidair verklaarden met IS. Een deel van AnonGhost ging verder als Ghost Squad Hackers en wist enkele dagen na de oprichting van UCC al te melden dat ze duizenden Twitter- en Facebookaccounts van IS-sympathisanten had geblokkeerd. Anonymous trekt dan weer de humoristische kaart in de strijd tegen het kalifaat en bedelft de accounts van IS onder homo-erotische beelden, regenboogvlaggen of viagrareclames.

Maar bij IS zitten ze ook niet stil: op 11 mei 2015 publiceerde Rabitat Al-Ansar, een aan het kalifaat gelieerd hackerscollectief, een video waarin ze het Westen eraan herinnerde dat ‘de elektronische oorlog’ nog niet begonnen was. En op 10 september 2015 tweette Islamic Cyber Army in zeer gebrekkig Engels dat ze de ‘kruisvaarderscoalitie’ binnenkort elektronisch zou aanvallen, gaande van de accounts van ‘de rekruten’, tot banken, luchthavens en nucleaire instellingen. Klinkt indrukwekkend, maar zijn ze ook al in staat om zulke aanvallen uit te voeren?

'Experimenteren met propaganda: omdat de wereld aan de onthoofdingsvideo's begon te wennen, voorzag IS haar aanslag in Bangladesh in juni live van commentaar'

Alkhouri «Op dit ogenblik hebben ze niet de knowhow en de skills om die dreigementen waar te maken. Toen Hussain het Twitteraccount van US Central Command hackte, leek het alsof hij het hart van de Amerikaanse strijdkrachten had geraakt, terwijl hij alleen maar een Twitteraccount had gehackt, wat op zich niet zoveel voorstelt. Idem voor de luchthaven van Hobart International Airport in Tasmanië, waar ze wel de website hackten, maar niet in de buurt van de operationele systemen kwamen.

»Een tophacker word je niet zomaar. Het duurt jaren voor je een geavanceerde aanval kunt opzetten. In 2010 luisterden we gesprekken in de online jihadigemeenschap af: toen al fantaseerden toplui over cyberaanvallen op watervoorzieningsnetwerken, elektriciteitscentrales en olie-, gas- of kerncentrales. Zes jaar later hebben we nog geen enkele aanval gezien die ook maar in de buurt komt. De enige manier waarop ze het nu zouden kunnen klaarspelen is door cruciale informatie over de werking van zo’n centrale te bemachtigen en vervolgens Chinese of Russische tophackers in te huren om de aanval in hun plaats op te zetten.»

'Toen Hussain het Twitteraccount van US Central Command hackte, leek het alsof hij het hart van de Amerikaanse strijdkrachten had geraakt'

HUMO De Belgische politie ontdekte bij Mohamed Bakkali, één van de verdachten van de aanslagen in Parijs, een urenlange videosurveillance van een topman uit de Belgische nucleaire sector. Wat denkt u daarvan?

Alkhouri «Ik kan geen uitspraken doen over dat dossier: ik ken de details niet. Maar het past alleszins in de strategie die ik net beschreef, want die man had ongetwijfeld toegang tot heel wat informatie.

»IS is in staat om tophackers te rekruteren. Die hoeven daarom niet noodzakelijk in de jihad te geloven – antiwesterse gevoelens, die in Rusland of China zeker aanwezig zijn, volstaan.»

HUMO Door de bombardementen van de westerse coalitie op olietransporten en geldvoorraden slinken de financiële reserves van IS. Kan de terreurgroep hacking ook gebruiken als een bron van inkomsten?

Alkhouri «In een jaar tijd verloor IS zowat een derde van haar inkomsten. Het lijkt me logisch dat ze een financiële hack niet zullen laten liggen als de gelegenheid zich voordoet, maar volgens onze informatie zijn ze daar nog niet in geslaagd. Wat bewijst dat ze nog niet op het allerhoogste niveau opereren. Financiële hacks zijn ontzettend complex. Je moet de financiële markten kennen, maar ook de onderwereld van het internet, waar je de gestolen info kunt verhandelen.

»Voorlopig staan de cyberactiviteiten van IS vooral in dienst van het verspreiden van geweld in de echte wereld.»

'De Britse Pakistaan Junaid Hussain heeft het moslimterrorisme naar the next level geloodst'


Hitlist

Laith Alkhouri doelt op de zogeheten kill lists, de lijsten met persoonlijke gegevens en adressen van burgers, ambtenaren en militairen die bijna wekelijks onder IS-sympathisanten worden verspreid met de weinig subtiele opdracht: kill them. Volgens een rapport van het Amerikaanse inlichtingenbureau SITE Intelligence Group publiceerden drie grote, los van elkaar opererende groepen – Caliphate Cyber Army, United Cyber Caliphate en Islamic State Hacking Division – sinds maart 2015 negentien van die hitlists. Op 28 juli publiceerde UCC haar hackstatistieken in een infografiek, als waren het de kwartaalprestaties van een bedrijf: 150.000 persoonsgegevens van burgers, meer dan 10.000 persoonsgegevens van militair personeel en meer dan 8.000 websites. Het merendeel van de aanvallen was tegen Amerikaanse, Saoedische, Franse, Israëlische en Britse websites gericht.

De kill list van 7 juni, met namen, adressen en e-mailadressen van 8.318 burgers uit 21 landen, bevatte ook één Belgisch adres. Het ging om een vrouw met Spaanse roots, woonachtig te Borgerhout. Uit nader onderzoek blijkt dat de dame daar effectief tot 2010 heeft gewoond, maar daarna naar een andere Antwerpse gemeente is verhuisd. Zelf reageert ze niet op onze berichten via Facebook, maar uit haar profiel kunnen we afleiden dat het om een devote moslima gaat. Ze post foto’s van de koran en heilige teksten en liket de pagina van Soldiers of Allah, het islamitische antwoord op de extreemrechtse beweging Soldiers of Odin. Het is op zijn minst eigenaardig dat zo iemand op de hitlist van IS figureert.

'Anonymous bedelft de accounts van IS onder homo-erotische beelden, regenboogvlaggen of viagrareclames'

Alkhouri «Dat zegt alles over de accuratesse van die lijsten. Er zit niet echt een lijn in: ze pakken wat ze kunnen krijgen. Een ervaren hacker kan zwaarbeveiligde databases kraken, deze mensen verzamelen oude informatie van LinkedIn of andere sociale netwerken. Voor IS doet het er ook niet toe of de gegevens kloppen. Het wil vooral angst verspreiden, de perceptie creëren dat niemand veilig is.»

HUMO Voorlopig hebben de kill lists nog niemand tot een aanslag geïnspireerd.

Alkhouri «Ook daarin zien we verandering. De elite van de cyberjihadisten verzamelt op gesloten fora op het dark web. Eén van de beheerders van die webfora, een man met grote invloed in het milieu van de onlinejihadi’s, volg ik al acht jaar op de voet. In een boodschap van 15 juli probeerde hij zijn volgelingen tot actie aan te zetten. Hij schreef: ‘Onze hackers verrichten prachtig werk. We moeten die informatie dan ook in ons voordeel aanwenden. Stuur verdachte enveloppes, gevuld met eender welk wit poeder, bloem of suiker, naar deze adressen. Zulke zaken worden opgepikt door de media, wat de angst onder de bevolking nog zal aanwakkeren. Stuur berichten naar de e-mailadressen, bel naar de telefoonnummers en zeg dat we bommen verstopt hebben. De twijfel alleen al zal de zenuwen van de vijand vernietigen.’ Dit was de eerste keer dat we een topman van IS, weliswaar in besloten kring, hoorden praten over het werk van UCC.»

'Islamic Cyber Army liet in zeer gebrekkig Engels weten dat ze de 'kruisvaarderscoalitie' binnenkort elektronisch zou aanvallen'

HUMO IS verliest steeds meer terrein in Syrië, Irak en Libië. Eén van de theorieën luidt dat de beweging, mocht ze de fysieke oorlog verliezen, online zal voortleven in de vorm van een cyberkalifaat. Gelooft u daarin?

Alkhouri «Dat is inderdaad een mogelijk toekomstscenario. De leiding zou zich internationaal heel sterk vertakken, wat de strijd tegen terreur niet zal vergemakkelijken. De uitbouw van een virtueel kalifaat betekent evenmin dat de aanslagen zullen ophouden. De ideologie van IS is in essentie op fysiek geweld gebouwd. Een groot deel van de cyberjihadisten die we jarenlang volgden op het internet, zijn vroeg of laat toch naar het echte strijdveld vertrokken om daar eervol te sneuvelen. Zolang IS de martelaarsdood blijft verheerlijken, zal het geweld blijven duren.»

Ondanks onze aanhoudende pogingen wenste niemand van het Coördinatieorgaan voor de Dreigingsanalyse, het Centrum voor Cybersecurity of de federale politie te reageren, ‘om lopende onderzoeken niet in gevaar te brengen’. Alleen Olivier Van Raemdonck, woordvoerder van minister van Binnenlandse Zaken Jan Jambon, wist ons te melden dat de onlineactiviteiten van IS nauwlettend worden opgevolgd. Een hele geruststelling.

Meer over

Reageren op een artikel, uw mening ventileren of een verhelderend inzicht delen met de wereld

Ga naar Open Venster

Op alle artikelen, foto's en video's op humo.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar redactie@humo.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234