DEEL III
Waar gaat het naartoe?
7
Te dichtbij
Hier, achter de zwarte deur met antieke zilveren deurgreep die nog geen meter van mij vandaan is, zou de meest gezochte hacker ter wereld wonen. Een 33-jarige man die zich al jaren schuilhoudt voor de Amerikaanse FBI. Barack Obama plaatste hem op een sanctielijst, in een van zijn laatste daden als president. De Amerikanen hebben 3 miljoen euro over voor de tip die tot zijn aanhouding leidt — het hoogste bedrag ooit voor een hacker.
Ik sta in het voorjaar van 2017 op de 14de verdieping van een gelige woonflat in het Russische Anapa. Een badplaats voor jonge Russische gezinnen, met versleten kermisattracties en mannen die apen aan touwtjes rondsjouwen. Beneden voor de woontoren, net buiten de slagboom, staat een zwarte Jeep Grand Cherokee. Kenteken: O400YO. Precies het soort auto waarin de 1 meter 75 kale man rijdt volgens het FBI-opsporingsbericht. Een bescheiden exemplaar gezien zijn enorme inkomsten. Schattingen komen uit op honderden miljoenen dollars.
De man heet Jevgeni Bogatsjov. Meer dan 1 miljoen computers drong hij illegaal binnen en gebruikte hij voor digitale bankovervallen. Bogatsjov is gespecialiseerd in financiële fraude: hij haalt financiële gegevens uit computers en plundert daarmee rekeningen. ABN Amro was een van zijn eerste slachtoffers. Duizenden andere instellingen volgden, zoals een politiekantoor in Massachusetts, ziekenhuizen en honderden willekeurige individuen die online werden afgeperst met gijzelingssoftware.
Bogatsjov is niet alleen een slimme hacker, hij is ook een buitengewoon goede ondernemer die een omvangrijke organisatie leidt en zijn gestolen miljoenen investeert in vastgoed hier in Anapa. Door zijn macht en netwerk is hij een interessante partner geworden voor de Russische veiligheidsdiensten, die graag gebruikmaken van zijn kennis en vaardigheden. De Amerikanen beschuldigen hem van spionage.
Wie is deze mysterieuze Rus? En waarom is hij nog op vrije voeten? Het is stil in het halletje voor zijn huis, op het getik van een meter in een halfopen elektriciteitskastje na. Een kokervormige beveiligingscamera kijkt me vanaf boven strak aan; ik druk op de witte bel waarop met stift ‘223’ is geschreven.
*
Dat ik in Anapa uit zou komen, had ik een paar maanden eerder niet gedacht. Ik lees veel over Russische spionage die aan alle kanten toe zou nemen, vooral digitaal. Daarbij valt één naam opvallend vaak: Bogatsjov. Waarom is hij zo belangrijk voor de Russen? Zoals altijd bij nieuwe informatie raadpleeg ik verschillende bronnen. Sommigen telefonisch, anderen in een fysieke afspraak.
Maar de oogst valt tegen. Mijn zicht op de geheime diensten is verslechterd. De stroom aan NSA-documenten die ik kon inzien, is opgedroogd. Bronnen die mij eerder konden inlichten, weten niets van nieuwe operaties. Dit soort perioden is vervelend: de krant geeft me de ruimte om onderzoek te doen en verwacht dus een onthullend verhaal. Dat dient zich in de winter van 2016 niet aan en het geeft me een rusteloos gevoel.
De beste bronnen zijn diegenen die net weg zijn bij een geheime dienst. Die weten veel en voelen zich minder gebonden aan geheimhouding. Het nadeel is dat hun kennis gelimiteerd is: ze horen niets over nieuwe operaties. Ik moet daarom permanent op zoek naar nieuwe mensen.
Het eerste dat daarvoor nodig is, zijn namen van inlichtingenmedewerkers. Namen die geheim zijn. Wekenlang volgen afspraken met oude bronnen en probeer ik nieuwe namen te achterhalen. Dat levert uiteindelijk drie nieuwe personen op. Oud-collega’s vaak van mijn bronnen, die bij de AIVD of MIVD werken.
Daarna is het zaak hun adressen te achterhalen. De meeste medewerkers van geheime diensten gebruiken geen sociale media, laat staan dat ze op Facebook foto’s van hun huis plaatsen. Ze zijn zich bewust van de risico’s. In één geval stuit ik op iemands LinkedIn-profiel. Maar er staat geen woonplaats bij of andere informatie die een adres verraadt. LinkedIn geeft suggesties welke andere profielen mensen nog meer bekijken als ze bij deze naam uitkomen. In dat lijstje staat één vrouw. Zou dat zijn vrouw zijn?
Ze woont, net als haar man, in Den Haag vermeldt haar profiel. Opvallend: haar cv laat zien dat ze in precies dezelfde periode in het buitenland was als hij. Door de naam van de vrouw plus haar woonplaats in het Kadaster in te voeren, krijg ik een adres. Hebbes.
Bij een ander persoon kom ik ook via zijn vrouw een adres op het spoor. Zij is op Facebook vriendschappen aangegaan met op het oog onbekende personen. Maar als ik die nader bekijk en hun adres invoer in Google Maps, blijkt dat ze vlak naast elkaar wonen en in een cirkel te plaatsen zijn. ‘Buren’ wellicht. Ja hoor: als ik later in de buurt ga kijken, staat op een van de naambordjes de naam van de persoon die ik zoek.
Wat zeg je vervolgens? De eerste zinnen zijn cruciaal. Ik werk niet undercover, dus maak mezelf altijd bekend als journalist. Maar zet je eerst een stap over de drempel of zeg je door de intercom al wie je bent? Mijn methode wisselt. Als iemand schrikt, is het beter om meteen ter zake te komen. Is iemand ontspannen en nieuwsgierig, dan kan het beter zijn om eerst naar binnen te gaan en dan de reden van het bezoek toe te lichten. Het volgende dilemma: wanneer bel je aan? Overdag zijn mensen niet thuis, ’s avonds zitten ze niet te wachten op bezoek.
Met Volkskrant-collega Tom Kreling sta ik op een regenachtige avond voor het huis van de inmiddels overleden Gerard Bouman. Hij was hoofd van de AIVD en later van de Nationale Politie. We schrijven een verhaal waarin hij voorkomt en we willen hem de kans bieden op een weerwoord zonder tussenkomst van woordvoerders. Dan is hij vrij om ons off the record te woord te staan. Als we een woordvoerder benaderen, is die optie van tafel: ten minste één andere persoon weet dan dat Bouman met ons gepraat heeft.
Bouman woont nabij Rotterdam. Zijn huis ligt een stuk van de weg en is afgeschermd met een hek met intercom. Het is vanaf de straat niet te zien of hij thuis is. We proberen het via de intercom maar krijgen geen reactie, wachten een paar minuten en rijden dan terug naar Amsterdam.
Een dag later proberen we het weer. Ik meen licht in het huis te zien. We drukken op de bel. Geen gehoor. We lopen door, wachten even en lopen dan weer terug. Opnieuw bellen we aan. Eerst is het stil, dan klinkt er wat gekraak en duidelijk geërgerd: ‘Ja?’
We hebben maar één kans. Nu moeten we het gesprek zien te openen en tegelijk ook duidelijk maken dat we journalist zijn.
‘Dag meneer Bouman. Ik ben journalist van…’
Tuut, tuut. Hij verbreekt de verbinding. Shit.
In de auto sturen we hem een sms-bericht. Dat we hem graag de kans geven op weerwoord en dat we hem ook willen uitleggen waarover het gaat.
‘Opdonderen,’ sms’t hij terug.
Als we op de A4 terugrijden, belt een woordvoerder van de Nationale Politie.
‘Meneer Bouman vindt dat jullie hem lastigvallen. Ik verzoek jullie te stoppen hem te stalken.’
Later laat Bouman zijn voorlichters ook de hoofdredactie van de Volkskrant bellen om zich te beklagen.
Dat is het risico van huisbezoeken: zelden reageert iemand enthousiast. Ook werkgevers worden er soms buitengewoon kribbig van. Dat geldt zeker voor de AIVD. Na meerdere huisbezoeken bij werknemers van de dienst word ik ontboden in Zoetermeer. Daar is men woedend: ik zou de veiligheid van werknemers in gevaar hebben gebracht door hen thuis op te zoeken. Daar ben ik het niet mee eens: ik parkeer mijn auto niet voor iemands huis, let op of ik gevolgd word en laat mijn telefoon sowieso thuis. ‘Bovendien,’ werp ik tegen, ‘is dit het enige wat ik als journalist kan doen: op iemand afstappen, mezelf kenbaar maken en vragen of iemand wil praten. Wil die persoon niet, dan houdt het op.’
De AIVD wil dat ik toezeg in het vervolg geen inlichtingenmedewerkers thuis te bezoeken. Ik weiger dat. Journalisten hebben het recht om vragen te stellen, net zoals ondervraagden het recht hebben om niet te antwoorden.
Met één van de drie personen die ik heb gevonden houd ik na een eerste kennismaking contact. We sturen elkaar via versleutelde chatapps berichten. Als er iets in het nieuws is of wanneer ik iets interessants zie, vraag ik wat hij ervan denkt. Na een paar maanden spreken we af te gaan lunchen.
Zulk contact ontstaat met meer mensen. Avondenlang zit ik met
drie of vier personen te chatten. Met personen die technische informatie duiden en me soms onbegrijpelijke berichten sturen als: ‘ik denk omdat ze daar Sneier electronic software gebruiken’. En met personen die meer van geheime diensten weten. Ik kan daarmee inschatten of een gebeurtenis nieuwswaardig is en ook hoeveel mijn bronnen weten.
Nu zit ik tegenover mijn nieuwe bron in een restaurant van een snelweghotel. Ik vertel wat over mezelf, we spreken af dat het een gesprek op achtergrondbasis is, waarna we een reeks van onderwerpen behandelen. Ik bedenk van tevoren over welke operaties de bron enige kennis zou kunnen hebben. Soms is het antwoord kort. ‘Nee, nooit van gehoord.’ Soms iets uitgebreider. ‘Herken ik wel, daar zou je eens naar moeten kijken.’ Hoe langer het contact standhoudt, hoe beter de bron in te schatten is. Geen bron is hetzelfde: bij sommigen kan een eenvoudig knikje al voldoende zijn, bij anderen is het belangrijk om nauwkeurig door te vragen. Sommigen zijn direct, anderen wollig. Sommigen overdrijven, anderen zijn secuur.
Soms is ijdelheid een motief om af te spreken. Vaker is het gedeelde interesse: de mystiek van geheime diensten. Door de vertrouwelijkheid binnen een dienst weten bronnen ook maar ten dele wat er speelt. Ze praten makkelijker als ik zelf af en toe laat blijken wat ik weet van bepaalde operaties. Wellicht stelt het hen gerust dat ze met een ingewijde spreken en dat ze klaarblijkelijk niet de enigen zijn die met een journalist praten.
Terwijl een clubsandwich tonijn arriveert, spreken we over Rusland. Rusland krijgt een steeds prominentere plek in de jaarverslagen van de inlichtingendiensten AIVD en MIVD. De Russische dreiging zou enorm zijn, vooral digitaal. ‘Hoe zit dat? Hoe werken de Russen en wat weten de Nederlandse diensten van ze?’ vraag ik in een poging ook meer van de Nederlandse informatiepositie te weten. Hij vertelt over een specifieke Russische hacker: Bogatsjov. Zijn reputatie is berucht. Hij is de Pablo Escobar van de digitale wereld. ‘Misschien weet Nederland iets van ’m,’ voegt hij toe.
Soms blijft het bij die informatie en probeer ik die bij andere personen te verifiëren. Vaak zonder succes. Tientallen beetjes informatie of subtiele leads gaan zo jaarlijks verloren. Nu gaat het opmerkelijk soepel. De ene na de andere persoon kent Bogatsjov. Hij blijkt een roemrijke geschiedenis te hebben. Na vier weken heb ik een beeld van deze beruchte Rus en is het verhaal praktisch rond.
*
Het verhaal van Bogatsjov verklaart ook waarom Nederland in het digitale domein een belangrijke plek inneemt. Al in 2007 begint de Nederlandse politie, dan nog onwetend over Bogatsjov, samen met onderzoekers van FOX-IT een zoektocht naar Russische criminelen.
In dat jaar verdwijnen bij ABN Amro grote sommen geld van de rekeningen van klanten. Het merkwaardige is dat alle signalen naar de klanten zelf wijzen: zij lijken het geld zelf te hebben overgemaakt. Hun gebruikersnaam is gebruikt, hun wachtwoord en zelfs hun ip-adres.
ABN Amro is niet de enige bank die kampt met digitale criminaliteit. Eind jaren negentig neemt het aantal online transacties in Nederland snel toe en criminelen bedenken allerlei trucs om bij dat geld te komen. Doordat Nederland snel internet omarmt — klein land, snelle verbindingen, overheidssubsidies om internet overal beschikbaar te maken — en de introductie van internetbankieren vlot volgt, hoort Nederland wereldwijd bij de snelst digitaliserende landen.
Dat trekt ook criminelen aan. ING-medewerkers ontdekken een zwart kastje onder het bureau. Het is vastgemaakt met tape. Maar omdat het zomers warm is, laat de tape los. Het kastje blijkt een zender te zijn: criminelen kunnen het toetsenbord overnemen en met een babyfoon — van de Kijkshop — meekijken met bankmedewerkers. Als die van hun plaats lopen, kunnen de criminelen op afstand geld overboeken.
Bij ABN Amro manipuleren Roemeense criminelen de chip in de e.dentifier die in winkels van de bank wordt gebruikt. Klanten stoppen hun bankpas erin, maken geld over en merken niet dat het apparaatje een kopie van de magneetstrip maakt. Eens per week komen Roemenen langs, doen een eigen smartcard in het apparaat, lezen de chip uit met informatie over magneetstrip en pincode en plunderen daarna bankrekeningen. De valse e-dentifiers worden op industriële schaal in een fabriek in Roemenië gemaakt.
Het raadsel in 2007 is een stuk groter. In de systemen bij ABN Amro is niets geks te zien, maar slachtoffers houden vol dat zij het geld níét van hun eigen rekening hebben gehaald. ABN Amro vraagt daarom Ronald Prins het mysterie op te lossen. Kan hij achterhalen wat er aan de hand is?
De technische kennis van Prins en zijn FOX-IT is steeds gewilder. De energieke Hagenees is de belichaming van de snelle digitalisering van Nederland: hij studeert af op e-cash bij het CWI in Amsterdam-Oost als wetenschappers daar pionieren met de eerste vormen van internet; hij kraakt midden jaren negentig gecodeerde Excel-bestanden van criminelen Johan V. en Etienne U.; hij zet de eerste internettap van de politie bij de boekhouder van Etienne U. en hij plaatst later bij de AIVD ook de eerste internettap bij een terrorismeverdachte.
Prins is niet de enige bij ABN Amro. Ook de Nederlandse politie kijkt met interesse naar de roof bij de bank. Sinds kort heeft Nederland een specialistisch politieteam dat zich richt op digitale opsporing: het Team High Tech Crime. Aan het hoofd staat de ambitieuze Martijn van de Beek, een tengere politieman met kwajongensachtige blik. Van de Beek is iemand die groot denkt, over grenzen heen. Digitale criminaliteit bestrijd je nu eenmaal niet alleen in Nederland, daarvoor heb je internationale contacten nodig, is Van de Beeks overtuiging.
De casus bij ABN Amro bewijst het gelijk van politieman Van de Beek. Maandenlang staan de technisch experts voor een raadsel, totdat ze in een laatste poging de computers van de rekeninghouders zelf bekijken. Dan zien ze het: ze blijken allemaal besmet met eenzelfde virus, door de makers ZeuS genoemd.
Dit virus is internationaal berucht bij onderzoekers en bekend bij criminelen: het is een meesterwerk. Het virus, gemaakt om informatie te stelen, zoals inlognamen, wachtwoorden en adresgegevens, sluipt naar binnen via bijlages bij mails waarop onachtzame gebruikers klikken. Eenmaal binnen haalt het een ingenieuze truc uit: het maakt de inlogpagina van een bank exact na precies op het moment dat een klant wil inloggen. Het schuift dat extra venster in feite voor de inlogpagina van de bank. De klant denkt dat hij zijn gegevens invult op de website van de bank, maar vult alles in op de webpagina van de hacker. Die kan ook, met tussenpozen, om extra informatie vragen, bijvoorbeeld veiligheidsvragen, telefoonnummers of codes die banken toesturen ter bevestiging. Die gegevens gebruiken de aanvallers om de rekeningen van slachtoffers leeg te halen.
Tegen deze vorm van criminaliteit is nauwelijks iets te doen: het virus is bijzonder effectief en de makers verschuilen zich achter anonieme internetbrowsers. Niet alleen ABN Amro, ook banken elders in Europa en in de Verenigde Staten zijn het slachtoffer, waarbij de schade in de honderden miljoenen euro’s loopt. Ook al gaat veel van het internetverkeer door Nederlandse datacentra; de daders zitten ver weg. Wil Nederland buiten de eigen landsgrenzen naar ze op zoek, dan moet Martijn van de Beek iets verzinnen.
In het najaar van 2007 reist Van de Beek daarom naar Rusland. Een Toepolev brengt hem vanuit Moskou naar Chabarovsk, vlak bij de Chinese grens. Van de Beek bezoekt daar een congres van de Russische veiligheidsdienst FSB.
Nadat het hoofd van de FSB het congres heeft geopend en de Russische president Vladimir Poetin ook een kort welkomstwoord heeft gesproken, is het de beurt aan de Nederlander. Van de Beek heeft al gezien dat de zaal vol zit met vertegenwoordigers van buitenlandse inlichtingen- en opsporingsdiensten: de CIA, FBI, de Israëlische Mossad, de Duitse en Zuid-Afrikaanse geheime dienst. Ondanks de politieke geschillen komen veiligheidsdiensten geregeld samen. Over sommige onderwerpen, zoals digitale criminaliteit of terrorisme, zijn goede gesprekken mogelijk.
In Chabarovsk is het handen schudden en kaartjes uitwisselen — het routineuze conferentie-netwerken. Maar Van de Beek heeft meer in petto: hij wil met een gewaagd plan het vertrouwen winnen van de Russen.
Het echte digitale gevaar, zo weet hij inmiddels als hoofd van het specialistische THTC, komt namelijk uit Rusland. De aantrekkingskracht van het internet op jonge, werkloze Russen is
gigantisch: het is hun snelle weg naar geld en macht. Daarom houdt Van de Beek een opmerkelijke toespraak. Eerst prijst hij de capaciteiten van de Russische FSB, daarna bedankt hij ze uitvoerig voor de ‘geweldige’ samenwerking. Want zonder de Russen is Nederland nergens in de strijd tegen hackers, zegt hij.
Terwijl Van de Beek zijn verhaal houdt, ziet hij verbaasde gezichten bij de tientallen vertegenwoordigers van andere landen. Heeft Nederland zo’n goede samenwerking met de FSB, lijken ze te denken. De truc werkt: in de pauze komen meerdere FSB-agenten naar Van de Beek toe. Ze bedanken hem voor de mooie speech en wisselen contactgegevens uit. Ze willen graag meer doen tegen digitale misdaad, zeggen ze.
De contacten die Van de Beek in 2007 in Chabarovsk legt, vormen het begin van een goede samenwerking tussen de Nederlandse politie en de FSB. Het helpt daarbij dat de Nederlandse politievertegenwoordiger in Moskou, Ludo Pals, de Russische mores kent: de auto pontificaal op de stoep zetten bijvoorbeeld. Harde, zwartkomische grappen vertellen. De Nederlandse Pals krijgt definitief het respect van de Russen als hij de elitetroepen van de veiligheidsdiensten, de Spetsnaz, verslaat bij een schietwedstrijd.
Maar kan de FSB Nederland ook helpen bij het opsporen van de criminelen die ABN Amro aanvallen?
*
Ronald Prins en Van de Beek denken dat de maker van ZeuS uit Rusland komt. Ze hebben alleen één probleem: ze kunnen het vooralsnog niet bewijzen. De twee broeden op een plan. De criminelen communiceren onderling via het chatprogramma ICQ. Dit chatverkeer gaat via de computerservers van het Nederlandse Leaseweb, dat in die tijd 27 procent van al het Europese dataverkeer afhandelt. ‘Een zeer snelle internetverbinding, relatief goedkoop productaanbod en een grote mate van vrijheid en anonimiteit’, zijn volgens een interne politienotitie redenen waarom veel klanten voor Leaseweb kiezen. Onder hen tal van criminelen.
Het ICQ-verkeer dat via Leaseweb gaat, is niet versleuteld. Het onderzoeksteam van de politie onder leiding van Martijn van de Beek wil daarom iets bijzonders doen: een korte periode al het ICQ-verkeer bij Leaseweb vanuit Rusland aftappen en onderzoeken. Misschien vinden ze daarin meer aanwijzingen van de criminelen achter ZeuS.
Het is oorlog maar niemand die het ziet Page 13