Volgens een onderzoeker van het Japanse beveiligingsbedrijf Trend Micro heeft een groep staatshackers, die bekendstaat als Pawn Storm, in de laatste maanden van vorig jaar een phishingaanval uitgevoerd op de Nederlandse vredesorganisatie PAX.
De informatie is afkomstig uit een documentaire van Human, die maandagavond om 21 uur uitgezonden wordt op NPO 2. Daarin zegt Trend Micro-onderzoeker Feike Hacquebord dat de aanval de kenmerken van de groep Pawn Storm droeg, die ook wel bekend is als Fancy Bear of APT28 en in het verleden in verbinding is gebracht met de Russische geheime dienst. Trend Micro zei eerder dat de groep ook achter de phishingmails zat die op campagnemedewerkers van de toenmalige Franse presidentskandidaat Emmanuel Macron waren gericht.
Eind oktober merkte de onderzoeker dat de groep in oktober het domein mail.paxforpeace.com aanmaakte, terwijl het daadwerkelijke domein van de organisatie op .nl eindigt. Vervolgens waarschuwde Hacquebord op 1 november de organisatie, die aangaf dat er een dag later phishingmails binnenkwamen waarin achttien medewerkers werden opgeroepen hun wachtwoorden te veranderen.
Op die dag zag Haquebord dat er een tweede domein werd opgezet, dit keer mail-paxforpeace.nl. Twee weken later kregen PAX-medewerkers opnieuw phishingmails, alleen is onduidelijk of deze van dezelfde groep afkomstig waren. Pawn Storm zou bij zijn aanvallen onder meer Nederlandse servers hebben gebruikt, dit zou de groep ook al eerder hebben gedaan.
Human schrijft dat PAX kritisch is over het optreden van Rusland in Syrië en in Oekraïne, maar dat niet precies duidelijk is waarom de organisatie als doelwit is gekozen. PAX is gevestigd in Utrecht, is internationaal actief en richt zich naar eigen zeggen op vrede in conflictgebieden, bijvoorbeeld door samenwerking met activisten.
Twee jaar geleden bracht dezelfde Trend Micro-onderzoeker naar buiten dat de Nederlandse Onderzoeksraad voor Veiligheid, die het eindrapport over de crash van vlucht MH17 publiceerde, doelwit was van Pawn Storm. Destijds werd op een vergelijkbare manier via phishing gepoogd toegang te krijgen tot servers.