Om het onderscheppen van gegevens mogelijk te maken, schaft de politie voor 600.000 euro het aftapapparaat P10 aan. Dit systeem kan de inhoud van internetverkeer analyseren, zogeheten deep-packet-inspection. Het analyseert de voorbijrazende datapakketjes en kijkt naar specifieke kenmerken, zoals afzender, grootte, soort bericht. Het is een omstreden techniek omdat het razendsnel de privécommunicatie van tienduizenden mensen scant. Landen als China gebruiken het om het internet te filteren op onwelgevallige inhoud.
In het najaar van 2008 is het Team High Tech Crime er klaar voor. De Nederlanders vragen buitenlandse diensten om hulp bij het ontrafelen van het ICQ-verkeer. Het is immers een gezamenlijk probleem: ZeuS maakt overal ter wereld slachtoffers. De politie heeft voor de operatie de ICQ-nummers nodig van bekende criminelen. De Oekraïense geheime dienst reageert snel op het Nederlandse verzoek, gevolgd door de Duitsers en Engelsen. Pas twee maanden later volgt de FBI en als allerlaatste, drie maanden na het verzoek, levert ook de Russische FSB een lijst met unieke nummers. De toespraak van Van de Beek werpt zijn vruchten af. De Nederlandse politie ontvangt 436 unieke ICQ-nummers.
Als de vereiste handtekening van officier van justitie Lodewijk van Zwieten onder de tapaanvraag staat, kan de klus beginnen. De P10 zuigt de datapakketjes bij Leaseweb in Nederland op en de eerste chatgesprekken komen binnen. Politieonderzoekers die in Driebergen kunnen meekijken, lezen nieuwsgierig de berichten. Dag in, dag uit lopen de computers vol met chatgesprekken van criminelen. Op het oog is het een abracadabra aan informatie: vage gebruikersnamen, korte gesprekjes. Maar langzamerhand vormen de onderzoekers zich een beeld. Er blijkt één duidelijke leider te zijn. Iedereen spreekt over hem, hij is op allerlei fora aanwezig en stuurt anderen aan. De politie noemt hem ‘Umbro’, een van zijn vele aliassen. Hij gebruikt ook nog ‘Lucky12345’, ‘Monster’ en ‘Slavik’. Hij communiceert in het Russisch, zegt in de gesprekken op de Seychellen te wonen, heeft een vrouw en kind, ‘runt’ een restaurant en is de leider van een omvangrijk crimineel netwerk. De belangrijkste ontdekking: deze man is de maker van ZeuS, het virus dat Europese en Amerikaanse banken treft. Hij heeft er drie jaar aan gewerkt, zegt hij in ICQ-gesprekken. Hij blijft bezig met het updaten ervan en verkoopt het virus ook aan anderen, ontdekt de politie.
Voor het eerst is er zicht op het netwerk achter ZeuS. De Nederlandse rol — dankzij de aanwezigheid van belangrijke datacentra — blijkt een cruciale: door het aftappen van het ICQ-verkeer krijgen ook buitenlandse diensten zicht op het criminele netwerk. Het succes vormt een aanzet tot meer samenwerking, waarbij elk land zijn eigen specialisme heeft: de FSB levert de identiteitsgegevens van bekende Russische criminelen, Nederland tapt communicatie af en de FBI is sterk in het infiltreren in criminele fora en helpt met de opsporing. Umbro, zoveel is iedereen duidelijk, zit achter de aanval op ABN Amro en talloze andere Europese en Amerikaanse banken. Nu moeten ze alleen nog zijn ware identiteit achterhalen en hem lokaliseren.
*
Geen gehoor. Het lijkt of de bel van nummer 223 het niet doet. Ik voel nog altijd de camera, die me als een arendsoog in de gaten houdt. De sfeer bij mijn tweede bezoek aan Rusland is anders dan bij het interview met Edward Snowden in Moskou. Gespannen. Russen die ik samen met de tolk aanspreek op straat, reageren ontwijkend op vragen over Bogatsjov. Wegwerpgebaren. ‘Ik kan u niet helpen.’ Toch moet hij hier bekend zijn: hij investeert zijn criminele miljoenen in vastgoed in deze regio. Maar de mensen willen duidelijk niet over hem praten.
In de ochtend ben ik met de tolk naar een jachthaven geweest, vijftien kilometer van het penthouse waar ik nu voor de deur sta. In die haven zou een van de kostbare jachten van Bogatsjov liggen. Het is er rustig. Een hek met camerabewaking houdt nieuwsgierigen op afstand. Met de tolk ga ik naar een nabijgelegen pier om zo een beter zicht te hebben. Vissers staren bewegingsloos en met toegeknepen ogen naar het water. Een vrachtwagen levert Coca-Cola-koelkasten met de opdruk SOTSJI 2014 af. Afgedankt na de Winterspelen.
Als we verder de pier oplopen, komt een man met zonnebril, nette leren schoenen en polo achter ons aan. Hij houdt een afstand van dertig meter. Pal daarachter volgen van verschillende kanten plotsklaps nog drie mannen en een vrouw. De vrouw houdt een fotocamera voor haar borst en maakt foto’s van ons. Ze blijven in een boog lopen, blik op ons gericht.
Ik reageer wat nerveus. Wie zijn dit? En waarom staan deze personen om me heen? Behoedzaam lopen we terug richting de haven, de pier af. De vier mannen en vrouw blijven ons aankijken en komen dichterbij. Langzaam sluit de kring zich en lopen ze op ons af. Als de tolk aan de man met zonnebril vraagt waarom hij hier is, antwoordt hij: ‘We kunnen jullie ook meteen doodmaken.’ Daarop volgt een grijns. Zwijgend blijven de vijf om ons heen staan. Als wij verder lopen, blijven ze ons achtervolgen totdat we van de pier zijn. Dan lopen ze naar een forse zwarte auto en scheuren weg.
Het signaal is duidelijk: wie in de buurt van Bogatsjov komt, krijgt met machtige tegenstanders te maken. Daarom wil ik nog een laatste haastige poging wagen. Op weg naar zijn huis komen we langs een internetprovider. De medewerkers staan ons, in tegenstelling tot voorbijgangers en de mensen op de pier, beleefd te woord en Bogatsjov blijkt er zelfs een aansluiting te hebben. Uit een laatje haalt een van de medewerkers een stapel papieren met rekeningen, waaronder een op naam van Bogatsjov. Een kopie van zijn paspoort zit erbij, zijn adres staat op het afschrift.
Als we naar de flat lopen, komen we een medebewoner tegen. In het Russisch vraagt de tolk naar de bekende kale hacker. De bewoner heeft weleens een kale man op de 14de verdieping gezien. ‘Dat moet dan die hacker zijn geweest.’
Dit zou dus echt de woning van Bogatsjov kunnen zijn. Ik druk nogmaals op de bel. Het blijft opnieuw stil. Dan maar aankloppen. Het geluid van mijn knokkels op de houten deur echoot door de gang.
*
Nederland weet al vrij snel dat Bogatsjov achter de alias ‘Umbro’ schuilgaat, mede dankzij de samenwerking met de FSB. Met name het contact met één FSB-leidinggevende is bijzonder goed. Zijn naam: Sergej Michajlov, plaatsvervangend hoofd digitale criminaliteit. Hij komt geregeld voor overleg naar het hoofdkantoor van politie in Driebergen. Tijdens die gesprekken deelt hij informatie uit Russische dossiers, opgebouwd door ouderwets opsporingswerk. De Nederlanders zijn soms verbijsterd hoeveel persoonlijke informatie de FSB over criminelen weet te verzamelen. Alsof ze jarenlang bij hen thuis heeft gezeten.
Specialisten van het THTC kennen Michajlov als een analytisch sterke en kundige specialist. Hij is bovendien vriendelijk. Ze werken al jaren met hem samen en hij reist graag door Europa. Michajlov komt zo vaak naar Nederland dat hij weet hoe een stroopwafel het lekkerst smaakt: door hem eerst op te warmen boven een kop hete koffie.
Ook over Bogatsjov deelt Michajlov informatie. Maar telkens als de Nederlanders denken dat de FSB hem wel zal aanhouden, komt er iets tussen. Dan krijgt de Nederlandse politie later te horen dat het niet het juiste moment was of dat hij zich verplaatst had. Bogatsjovs imperium groeit ondertussen gestaag door. Hij verkoopt zijn virus via online-fora op het dark web, een internetdomein dat alleen toegankelijk is met een speciale internetbrowser waardoor gebruikers anoniem blijven. Bogatsjov verhandelt kant-en-klare pakketten waarmee hackers aan de slag kunnen om financiële gegevens en wachtwoorden te stelen. Voor duizenden euro’s zijn die pakketten te koop.
Als echte zakenman weet Bogatsjov dat het belangrijk is om een goede relatie met klanten te onderhouden. Dus biedt hij tevens technische ondersteuning aan zijn afnemers en levert hij met regelmaat nieuwe versies van zijn software. Hij is bereikbaar voor vragen en geeft snel antwoord als klanten vastlopen.
In 2010 verandert hij van strategie. Zijn nieuwste versie van ZeuS stelt hij enkel nog beschikbaar voor een exclusief gezelschap: jonge Russen en Oekraïners die hij door en door vertrouwt. Ze noemen zichzelf de ‘Business Club’. De leden leveren Bogatsjov specifieke technische kennis, zoals kennis over software, bankzaken, valse paspoorten, verspreiding van mails. Zo ontstaat een geoliede machine die over de hele wereld bankrekeningen van personen en bedrijven leeghaalt. Ze vallen Amerikaanse ziekenhuizen a
an, precies op het moment dat de Payroll-betalingen verwerkt worden.
Om hun buit binnen te halen, hebben ze veel bankrekeningen nodig. Daar ronselt de Business Club personeel voor, zogenaamde katvangers: mensen die met valse paspoorten bankrekeningen openen, het geld eraf halen en doorsturen naar Bogatsjov en zijn vrienden.
Bogatsjov professionaliseert verder. Om katvangers te rekruteren heeft hij iets ingenieus bedacht. Net zoals hij inbreekt in computers van slachtoffers om de inlogpagina’s van hun banken te manipuleren, kraakt hij vacaturewebsites, bijvoorbeeld CareerBuilder.com. Hij bewerkt de website zo dat zijn eigen vacature erop te zien is, zonder dat hij echt op de vacaturesite staat. Administratie functie, flexibele werktijden, startsalaris 2000 dollar per maand.
Het is een relaxed baantje. De werknemers krijgen een paar valse paspoorten, waarmee ze rekeningen openen waarop vervolgens duizenden dollars binnenrollen. Ze mogen er zo’n tien procent voor zichzelf afhalen en moeten de rest doorsturen naar bankrekeningen van de Business Club. Tientallen katvangers in verschillende landen werken op deze manier.
Dan, in 2012, verandert er iets. ZeuS gaat zich anders gedragen. Het virus zoekt nog steeds naar financiële informatie, maar ineens ook naar specifieke informatie over Turkse, Georgische en Oekraïense geheime diensten. Het scant systemen op documenten waar mailadressen van Georgische en Turkse inlichtingenmedewerkers in voorkomen. Ook doorzoekt het virus computers op bestanden waarin in het Turks bijvoorbeeld de woorden ‘algemene directie van veiligheid’ en ‘huurlingen’ voorkomen, of ‘Russische soldaten’ en ‘Syrië’. Eenmaal binnen in een computer is het alsof ZeuS zich in tweeën splitst.
Vreemd, vindt het Nederlandse politieteam. Waarom gaat een hacker die jarenlang met zijn virus bezig is zo veel mogelijk geld binnen te harken op zoek naar informatie van geheime diensten? En hoe komt hij überhaupt aan de namen van medewerkers van buitenlandse inlichtingendiensten?
Het zijn er honderden. De zoekopdrachten vallen samen met belangrijke politieke momenten, zoals de inval in de Krim in 2014 en de toenemende spanning met Turkije. Voor Nederlandse onderzoekers en de FBI is er geen twijfel: Bogatsjov doet dit in opdracht van de Russische geheime dienst. Zou dat verklaren waarom de FSB Bogatsjov niet oppakt en uitlevert?
Op zeker moment komen de veiligheidsdiensten voor de keuze te staan: is het nationaal belang wel gediend bij de aanpak van een grote en slimme hacker? Of kun je hem beter voor je laten werken? Dezelfde afweging maken alle grote landen: van de Russen tot de Amerikanen, van de Israëliërs tot de Chinezen. De Nederlandse diensten zijn daarin zuiverder: ze sluiten geen deals met criminelen. De Russen hebben een geschiedenis op dit vlak: ze schromen niet vuile handen te maken en samen te werken. De hacker mag ongestoord geld stelen, in ruil voor inlichtingenwerk.
Het helpt daarbij dat de Russische FSB, net zoals de Amerikaanse FBI, een gecombineerde dienst is: politiewerk én inlichtingen verzamelen, opsporen én geheime dienst zijn. In Nederland zijn die rollen strikt gescheiden. De politie doet de opsporing, de AIVD en MIVD verzamelen inlichtingen. De politie arresteert, de AIVD kijkt waar dreigingen vandaan komen en wie spioneren.
Daarom is de AIVD niet dol op de Russische bezoeken aan Nederland. Wie zegt dat die Russen komen om criminelen op te sporen en niet om te spioneren? De AIVD krijgt er de zenuwen van. Hier botsen twee werelden: de politie die pragmatisch denkt en met de Russen wil samenwerken en de AIVD die contacten met de Russen veel politieker en op risico’s beoordeelt.
Uit voorzorg worden de ruimten waar Nederlandse agenten hun FSB-collega’s spreken na afloop binnenstebuiten gekeerd, waarbij het systeemplafond er zelfs even uit gaat. Een ‘sweep-team’ van het Korps Landelijke Politiediensten kijkt of de Russen niet stiekem spionage-apparatuur hebben achtergelaten. Na 2012 is de afspraak dat alle politiemensen die FSB’ers spreken, vooraf én naderhand langs de AIVD gaan om verslag uit te brengen.
De politieonderzoekers die met de Russen werken, vinden alle achterdocht onzin. De FSB’ers die zij kennen, zijn gewoon politiemannen. Die zijn niet geïnteresseerd in inlichtingen en spionage. Neem Michajlov, een echte agent die ervan geniet een mooi onderzoek te ‘draaien’. En is de FBI zoveel betrouwbaarder dan de FSB? Dat is toch ook een geheime dienst? Als Russen ‘ja’ zeggen, dan is het ook ‘ja’, weet de politie. Die geven hun woord en houden zich daaraan. Amerikanen zijn achterbakser.
Een Nederlandse politieman heeft er zelf ervaring mee. Tijdens een overleg met de FSB en de FBI op het hoofdkantoor in Driebergen komt een Russische collega naar hem toe. Hij wijst naar de man van de FBI. ‘Hij is jullie data aan het kopiëren,’ waarschuwt hij. Als de onderzoeker gaat kijken, ziet hij inderdaad dat de Amerikaan een usb-stick in een politielaptop heeft zitten en Nederlandse informatie steelt.
Toch komt de samenwerking met de FSB onder politieke druk te staan. Na de Russische annexatie van de Krim in 2014 en het neerhalen van vlucht MH17 bekoelen de diplomatieke contacten. De politie besluit om de ontmoetingen met de FSB niet langer in Driebergen te houden. Daar vindt namelijk ook het strafrechtelijk onderzoek plaats naar MH17. Om te voorkomen dat FSB’ers letterlijk een deur verderop zitten, verplaatst de politie de ontmoetingen naar Amsterdam en Rotterdam.
Dat betekent echter niet dat het delen van informatie ophoudt. Over criminelen, ook Russische, zijn nog redelijk goede gesprekken mogelijk. Michajlov blijft langskomen om gegevens te delen. De persoonlijke banden zijn goed, ondanks de politieke spanningen. Een Nederlandse politieonderzoeker krijgt op de avond van de aanslag op MH17 zelfs een meelevend sms’je van een FSB’er. Wat erg en sterkte, is de teneur van het bericht.
De politieke spanning drijft de landen langzaam uit elkaar. Tweemaal treffen delegaties van FBI en FSB elkaar in Nederland voor gesprekken over bredere samenwerking. De eerste keer in Babylon Hotel in Den Haag, de tweede maal in februari 2016 in de Haagse Sociëteit de Witte. Michajlov spreekt er met FBI-vertegenwoordigers, maar de tweede keer is meteen ook de laatste: de relaties zijn bekoeld.
De status van Bogatsjov blijft ondertussen groeien. De Amerikanen en de Nederlanders zijn er inmiddels van overtuigd dat hij spioneert voor de Russische veiligheidsdiensten. Als de FBI 3 miljoen dollar uitlooft voor de tip die tot zijn aanhouding leidt, kunnen Nederlandse politiemensen het niet laten Michajlov daarmee te pesten. Gekscherend informeren ze bij hem of hij een idee heeft wat hij gaat doen met het geld als hij Bogatsjov verlinkt. Want Michajlov moet toch weten waar Bogatsjov zich schuilhoudt. ‘Een luxejacht misschien, Sergej?’ ‘Een buitenhuis in Italië?’
*
Bogatsjov doet niet open. Nog een keer waag ik een poging door te kloppen.
Weer geen reactie. Zou hij even van huis zijn? Of is de meest gezochte hacker ter wereld ergens ondergedoken?
Ik wil tot slot naar een villa aan de rand van Anapa die op naam staat van het vastgoedbedrijf van zijn oude advocaat. Eerder heeft deze advocaat telefonisch verteld dat hij Bogatsjov twee jaar geleden voor het laatst heeft gezien in Anapa. Hij heeft geen flauw benul waar hij nu is. Voor de zekerheid gaan we toch even bij hem langs.
De ommuurde villa ligt hoog boven de kust. Honden blaffen er onophoudelijk. De bel klinkt schel. Na een paar keer bellen doet een slaperige jongeman in trainingsbroek de deur open. Als ik naar de advocaat vraag, zegt hij vriendelijk dat hij die naam niet kent. Als ik daarna Bogatsjov bij naam noem, verandert de toon. Een ferm ‘nee’ en de deur slaat dicht.
Een taxi brengt me van Anapa naar het 160 kilometer verderop gelegen vliegveld van Krasnodar. Vandaar vlieg ik via Moskou naar Amsterdam. Als het vliegtuig op Schiphol richting de gate taxiet, ontvang ik allerlei sms’jes van de tolk: ‘gaat alles goed?’ en ‘bel me snel svp’.
Over de telefoon zegt hij dat het hotel hem heeft gebeld. Net nadat we waren vertrokken, kregen hotelmedewerkers bezoek van politieagenten in burger. Die hadden foto’s van ons bij zich. Ze wilden kopieën van onze paspoorten en informatie over ons verblijf. Gevraagd naar de reden van het politiebezoek, antwoordden de Russische agenten: ‘We zoeken ze omdat het terroristen zijn.’ Het hotel wilde ons waarschuwen en heeft daarom de tolk gebeld
. Hij vertelt er vol opwinding over. Ik zeg hem dat ik veilig in Nederland ben.
Eind 2016 reageert Michajlov ineens niet meer op telefoontjes uit Driebergen. Wekenlang is hij onbereikbaar. Politieonderzoekers snappen er niets van, totdat ze in Russische media lezen dat hij is gearresteerd. Tijdens een bijeenkomst van de FSB kreeg hij theatraal een zak over zijn hoofd en werd hij afgevoerd. Hoogverraad, luidt de officiële aanklacht tegen hem volgens de media. Michajlov zou informatie over Russische operaties hebben gelekt aan westerse geheime diensten. Het zou het grootste schandaal zijn in de top van de FSB na het uiteenvallen van de Sovjet-Unie.
Politiemedewerkers in Driebergen zijn met stomheid geslagen. Bij sommigen is de schok zo groot dat ze er slecht van slapen. Zal Michajlov zijn kinderen nog kunnen zien? Zit hij in een strafkamp? In de maanden erna komen nieuwe FSB’ers een paar keer naar Nederland om kennis te maken. De sfeer is onwennig. Het onderlinge vertrouwen heeft een knauw gekregen. Hoewel er nog wel informatie wordt gedeeld, verloopt het contact niet meer zo persoonlijk als met Michajlov. Het aantal fysieke ontmoetingen tussen politie, FSB en FBI neemt in de jaren erna snel af. De politie blijft gissen naar de werkelijke reden van het verdwijnen van Michajlov.
Dat tegelijk met Michajlov ook Ruslan Stojanov — hoofd van de onderzoeksafdeling van het cybersecuritybedrijf Kaspersky Lab in Rusland — is gearresteerd maakt het mysterie alleen maar groter. Ook hij wordt beschuldigd van hoogverraad.
Bij de politie snappen ze er niets van. Ook voor de AIVD zijn de ontwikkelingen in Rusland moeilijk te duiden, maar anders dan de politie zijn medewerkers in Zoetermeer allerminst verrast. De AIVD is na 2010 de blik op het Oosten gaan richten. China en Rusland hebben het potentieel van het internet ontdekt en gebruiken dat op geheel eigen wijze.
Het is oorlog maar niemand die het ziet Page 14