Een jarenlange reeks besmettingen met de Duke-malware zou terug te herleiden zijn naar een groep die gesteund wordt door de Russische overheid.

Dat concludeert het Finse beveiligingsbedrijf F-Secure in een donderdag gepubliceerd onderzoek.

Met de Duke-malware infiltreerde de groep doelgericht computernetwerken, om vervolgens data te downloaden.

Die informatie werd waarschijnlijk in dienst van Russische inlichtingendiensten verzameld, concludeert F-Secure. De malware richtte zich in de afgelopen zeven jaar onder meer op de NAVO, Tsjetsjenië, overheden en denktanks wereldwijd en mogelijk zelfs op het Amerikaanse ministerie van Buitenlandse Zaken.

F-Secure wist tal van malware-aanvallen tussen 2008 en 2015 aan elkaar te verbinden, en terug te herleiden naar Rusland.

Rusland nooit doelwit

Zo stond er een Russische foutmelding in een deel van de code van de malware. Ook leek de groep die de malware aanstuurde grotendeels tijdens Moskouse kantoorkuren te werken.

Vooral de doelwitten van de groep en het geld dat voor zulke aanvallen nodig is wijst volgens F-Secure richting de Russische overheid. Want hoewel de malware werd gericht op tal van ministeries, parlementen en ambassades, was een Russische instantie nooit het doelwit. Ook ging de groep na ontdekking van de malware ongestuurd verder.

"Gebaseerd op de primaire doelstelling van de groep, geloven we dat de hoofdgeldschieter van hun werk een overheid is", aldus F-Secure in zijn rapport. Definitief naar Rusland wijzen durft het bedrijf niet, maar het land wordt wel de meest aannemelijke kandidaat genoemd. Ook ziet F-Secure geen bewijs dat die claim tegengaat.

"Maar is het Duke-team een departement binnen een overheid? Een externe aannemer? Een criminele bende die aan de hoogste bieder verkoopt? Een groep patriotten? We weten het niet", aldus de computerbeveiligers.