De aanval wordt toegeschreven aan de schimmige groep Dragonfly. Die is al sinds 2011 actief. In 2014 kwam hun eerste aanval aan het licht. Daarna werd het een tijdje stil. Eind 2015 zou de huidige campagne zijn begonnen. In de afgelopen maanden is die opgevoerd. Energiebedrijven in de Verenigde Staten, Turkije en Zwitserland zijn in elk geval getroffen, maar waarschijnlijk hebben de hackers ook in andere landen toegeslagen. Het is niet duidelijk of Nederland ook gedupeerd is.

Het is niet bekend wie achter Dragonfly zitten. Volgens Symantec beschikt de groep over erg veel kennis en middelen. Waarschijnlijk worden de hackers gesteund door een staat, mogelijk ergens ,,in het oosten van Europa''. De groep staat ook wel bekend onder de namen Energetic Bear en Crouching Yeti.

Verkenning

Volgens Symantec was de eerste aanvalsronde, tot 2014, een verkenning voor de huidige campagne. Die begon in december 2015 met zogenaamde uitnodigingen voor nieuwjaarsfeestjes van de energiesector. Wie de uitnodiging opende, besmette de computer, waarna gebruikersnamen en wachtwoorden naar de aanvallers werden gestuurd. Ook besmetten de hackers websites die vaak worden bezocht door mensen uit de energiesector. Dit worden 'drinkplaats-aanvallen' genoemd, de aanvaller wacht rustig als een roofdier tot zijn prooi in de buurt is en slaat dan toe.

De hackers wisten ook nep-updates van programma's te versturen. Die methode werd ook gebruikt bij de recente ransomware-aanval die onder meer een containerterminal in Rotterdam platlegde.

Bij energiebedrijf Essent zijn ze op de hoogte van de waarschuwing van Symantec, maar zijn er geen signalen dat er in de systemen is ingebroken. Ook bij Nuon is volgens een woordvoerder niets aan de hand. De dienstdoende woordvoerders van Eneco waren vooralsnog niet bereikbaar voor commentaar.
© anp 2017