Een Nederlands hostingbedrijf wordt gebruikt door een groep cyberspionnen die eerder de Nederlandse Onderzoeksraad van MH17, verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, een NAVO-lid en ook Linuxgebruikers als doelwit had.

Dat laat het Japanse anti-virusbedrijf Trend Micro weten. Het gaat om een groep genaamd Pawn Storm, die zich nu ook op de Turkse overheid richt. De virusbestrijder baseert zich op verschillende Outlook Web Access (OWA) servers die door de aanvallers waren neergezet. Via phishingmails en verkeerd gespelde domeinnamen werd geprobeerd om doelwitten naar deze servers te lokken zodat ze daar inlogden, waardoor de aanvallers gebruikersnamen en wachtwoorden in handen konden krijgen.

Voor het uitvoeren van de aanvallen tegen de Turkse overheidsorganisaties maakt de groep volgens Trend Micro gebruik van een Nederlandse vps-provider. Vps staat voor virtuale private server en is zoals de naam al doet vermoeden een virtuele server die op een fysieke server draait. In Nederland zijn er veel hostingbedrijven die vps-hosting aanbieden. De vps-aanbieder in kwestie zou in het verleden vaker door deze groep alsmede andere groepen cyberspionnen en cybercriminelen zijn gebruikt.

"Tientallen aanvallen van Pawn Storm in 2015 en 2016 zijn uitgevoerd via de diensten van de vps-provider, alsmede de aanvallen van andere groepen zoals DustSky en Carbanak", laat onderzoeker Feike Hacquebord weten. Hij vergelijkt de provider in kwestie met een Nederlandse 'bulletproof hosting service'. Bulletproof hosting staat voor hostingdiensten waar cybercriminelen graag gebruik van maken, omdat de hostingpartij in kwestie cybercrime gedoogt of niet op abusemeldingen reageert, waardoor bijvoorbeeld aanvallen, het versturen van spam of verspreiden van malware kan doorgaan.