Het is oorlog maar niemand die het ziet
Page 15
8
Complot in Amsterdam
N. is bepaald geen techneut. Toch leidt ze in 2013 het ‘Rusland en China-team’, dat bij de AIVD onder ‘digitale spionage’ valt. ‘Dispi,’ zeggen ze bij de geheime dienst in Zoetermeer. N. (dan 53) is een carrièrevrouw: gestaag werkt ze zich op. Ze begon als vertaler, kreeg daarna bureaufuncties, is een paar keer uitgezonden — onder meer naar een land in het Midden-Oosten — om ten slotte teamleider te worden. Ze specialiseert zich in contraspionage: achterhalen hoe en waar andere landen Nederland bespioneren. Aan haar de taak om in 2013 de digitale dreiging uit het Oosten in kaart te brengen.
Ze is een zakelijk type leider: risicomijdend, afwachtend en gericht op de inhoud. Kom bij haar niet aan met allerlei privésores. Al leren mensen die door haar pantser heen weten te dringen ook haar sociale kant kennen.
Ze leidt ongeveer een jaar het Ruslandteam als er een Amerikaans verzoek binnenkomt in Zoetermeer. De FBI wil een zogeheten ‘surreptitious entry’ doen, heimelijk toegang krijgen tot een doelwit. De CIA in Nederland zal de operatie uitvoeren omdat het technisch vrij complex is en die vraagt of de AIVD kan assisteren. Het betreft een spionageklus in het centrum van Amsterdam.
Het moment voor het verzoek is pikant: op hoog niveau lopen er gesprekken over de doorgaans juist zo goede Amerikaans-Nederlandse relatie. Edward Snowden heeft honderdduizenden geheime documenten van de Amerikaanse NSA in handen waaruit blijkt dat de NSA overal ter wereld op grote schaal afluistert. Politici en de Nederlandse geheime diensten willen weten waar ze aan toe zijn: wordt er in Nederland ook afgeluisterd? Welke stukken zijn de Amerikanen precies kwijt? En wat staat daarin over Nederlandse operaties?
Op 11 oktober 2013 ontvangt minister Ronald Plasterk — geflankeerd door de bazen van de AIVD en MIVD — de hoogste man van de NSA, Keith Alexander. Hij probeert de kou uit de lucht te halen. Nederland, zo houdt hij de Nederlanders voor, is géén target van de NSA. ‘We don’t collect on the Netherlands,’ zegt hij. De reden, volgens NSA-baas Alexander: de Nederlanders leveren wat de Amerikanen vragen. De AIVD en MIVD hebben weinig geheimen voor de Amerikanen. De relatie is zo dat de Nederlanders delen, ongeacht wat ze ervoor terugkrijgen. De in zichzelf gekeerde CIA deelt niet veel, met name briefings en inlichtingenrapporten. De NSA deelt meer, ook ruwe data.
De AIVD en MIVD vragen Alexander om een overzicht van de kwijtgeraakte documenten. Ze willen inschatten wat de consequenties zijn voor Nederlandse operaties. De kalende Amerikaanse generaal reageert begripvol, biedt zijn excuses aan en vertelt dat de Amerikanen nog bezig zijn met een inventarisatie. ‘We sturen een lijst zodra die af is,’ stelt hij gerust. Maar die belofte zal hij nauwelijks nakomen: in de jaren erna ontvangen de Nederlanders stukjes en beetjes informatie. Langzamer en minder gedetailleerd dan gehoopt.
Dan zegt Alexander dat hij door het lek besloten heeft dat de NSA minder zal gaan delen met bondgenoten. De AIVD en MIVD zijn met stomheid geslagen. Door een Amerikaanse blunder liggen honderdduizenden documenten op straat en nu wil de NSA-baas hén daarvoor straffen? Wat is dit voor onzin? Het is typerend voor de Nederlands-Amerikaanse relatie: de Amerikanen stellen zich arrogant en belerend op. Fouten toegeven doen ze niet graag. Ze beschouwen zichzelf als centre of the universe.
Die opstelling leidt wel vaker tot ferme botsingen met Nederlandse diensten. De AIVD werkt bijvoorbeeld bij het monitoren van wapentransporten jarenlang intensief samen met de CIA. Dat is een uitvloeisel van internationale afspraken: westerse landen controleren of er geen landen zijn die stiekem hun wapenarsenaal uitbreiden of aan nucleaire ontwikkeling doen.
Praktisch werkt het zo dat geheime diensten elkaar op de hoogte houden over de afzenders en ontvangers van wapens. Maar na 11 september 2001 is er iets veranderd. De Amerikanen zijn na de aanslagen op de Twin Towers en het Pentagon Afghanistan binnengevallen en beschouwen Pakistan als bondgenoot in de War on Terror. Als AIVD’ers de CIA om informatie vragen over het eindstation van nucleaire materialen in Pakistan krijgen ze geen reactie. Van de ene op de andere dag verstrekken de Amerikanen geen gegevens meer. Na meerdere pogingen, wachten en aandringen volgt uiteindelijk een summier Amerikaans bericht: ‘We don’t report on allies.’ In een handomdraai en zonder overleg hebben de Amerikanen besloten een decennia oud verdrag niet langer uit te voeren omdat ze de Pakistanen zoet moeten houden. AIVD’ers zijn woest: de Amerikaanse CIA-liaison is maandenlang niet welkom.
Ook de militaire inlichtingendienst heeft aanvaringen met de Amerikanen. Als de MIVD in Afghanistan actief is, bellen Amerikanen naar de Frederikskazerne in Den Haag. De MIVD zou door een fout een Amerikaanse bron hebben onthuld. Een kwalijke zaak, de Amerikanen zijn not amused. De MIVD-leiding besluit het incident te onderzoeken en komt erachter dat het niet de Nederlanders maar juist de Amerikanen zelf zijn geweest die de identiteit van een bron hebben geopenbaard. Er volgt een minzaam ‘Oh sorry.’
De Amerikanen kunnen simpelweg meer maken en meer vragen. Het is groot tegen klein. Zijn ze ontevreden dan laten ze dat luidruchtig weten — zeker als het terrorisme betreft. Als blijkt dat een terrorist voor de aanslag op het Brusselse vliegveld Zaventem ook op Schiphol was, komen de Amerikanen meteen naar Nederland. Zonder overleg met Nederlandse diensten gaan ze naar de luchthaven en adviseren ze Amerikaanse vliegmaatschappijen hoe die hun beveiliging kunnen opschroeven. Als op Amsterdam CS een Afghaan twee Amerikanen verwondt met een mes, komt de Amerikaanse ambassadeur Pete Hoekstra een paar dagen later met kritiek. Nederlandse inlichtingendiensten hadden ‘meer en sneller’ informatie moeten delen met hun Amerikaanse collega’s, zegt hij tegen De Telegraaf. ‘Als een schoolmeester die een leerling terechtwijst’, zo typeren Nederlanders deze bemoeienis.
Ondanks de onderlinge agitatie en hoogopgelopen spanning vanwege de NSA-affaire reageert N. gewillig op het Amerikaanse verzoek. Meedoen met een Amerikaanse operatie is ook een kans: het biedt toegang tot nieuwe informatie. Bovendien kunnen de Amerikanen technisch soms net wat meer, waar AIVD’ers van kunnen leren. En ze doen nooit lullig over geld, waardoor ze duurdere operaties kunnen uitvoeren.
Het doelwit van de operatie is Kaspersky. Volgens de CIA komen de beste experts van het Russische beveiligingsbedrijf in oktober samen in Amsterdam. Kaspersky levert antivirussoftware aan 400 miljoen gebruikers wereldwijd. Deze software moet computers schoonhouden van virussen en indringers. Het is een gewild product: Kaspersky staat goed aangeschreven. De technische specialisten van het bedrijf doen eigen onderzoek naar spionage en leggen daarbij ook Amerikaanse spionageoperaties bloot — zoals de Stuxnet-aanval op Iran en een uiterst geraffineerde opvolger die huishoudt in het Midden-Oosten. En omdat het hoofdkantoor van Kaspersky in Moskou staat, zijn de Amerikanen wantrouwig. In de oplaaiende digitale strijd met Rusland wil de FBI weten of Kaspersky een risico is voor de Amerikaanse veiligheid. Hoort Kaspersky bij de lange arm van de Russische overheid?
*
Dat N., afkomstig uit een katholieke familie, instemt heeft een reden. Ze heeft ervaring met het onderkennen van spionage door andere landen. Ze kent de kwaliteiten van met name China, Iran en Rusland. Maar internet heeft spionage veranderd, de ontwikkelingen zijn de laatste jaren ontzettend snel gegaan. Het valt nauwelijks nog bij te benen. Ook de grootte van de AIVD speelt mee: onder de 1300 medewerkers van de dienst zijn maar een paar hackers. De NSA (50.000 man), GCHQ (6000) zijn een stuk groter. China zet dagelijks meer dan honderdduizend hackers in.
Nieuw is de langdurige spionage: geheime diensten dringen organisaties binnen en blijven vervolgens jarenlang zitten. Ze gebruiken op maat gemaakte virussen, zoals Regin bij het Belgische telecombedrijf Belgacom. Zo’n lange spionageaanval heet een Advanced Persistent Threat, kortweg APT. N. verwart de term regelmatig met ATP — de internationale benaming voor de club van proftennissers.
Het is ongelooflijk ingewikkeld om dit soort spionage te bestrijden: de aanvallers doen er alles aan om hun afkomst te verbergen. Bepaalde afdelingen van geheime diensten specialiseren zich in de langdurige spionage. Alle grote landen doen eraan mee. China, Iran, Noord-Korea en Rusland zijn berucht in het Westen. Vooral de
Chinezen leiden vanaf het begin van de 21ste eeuw spectaculair veel mensen op voor digitale spionage.
In 2013 dringt langzaam in het Westen door wat de Chinezen aan het doen zijn. Dat komt door een zeer gedetailleerd rapport van het Amerikaanse beveiligingsbedrijf Mandiant. Niet eerder publiceerde een bedrijf zo specifiek over de langdurige spionage van een hackgroep en werd het gedrag van een groep staatshackers zo minutieus vastgelegd.
Honderden Chinese militairen, zo laat Mandiant zien, werken in een twaalf verdiepingen hoog wit flatgebouw aan de rand van Shanghai. Het pand wordt omringd door restaurants en massagesalons. Op het dak staan enkele kleine satellietschotels. De hackers horen bij een geheime eenheid van het Chinese Volksbevrijdingsleger — aangeduid met cijfer 61398 — en vallen op systematische wijze de ene naar de andere westerse organisatie aan.
De taken binnen de eenheid zijn verdeeld: de ene hacker maakt valse e-mailadressen aan, een ander stelt Engelse phishing mails op en weer een ander dringt daadwerkelijk binnen. Vertalers, systeembeheerders, technici en ondersteunend personeel staan de hackers bij. Ze gebruiken meer dan duizend computerservers om wereldwijd aanvallen uit te voeren.
De Chinezen komen in zeven jaar zeker 141 bedrijven binnen. Van Coca-Cola tot defensiebedrijven. Als ze binnen zijn, stelen ze eerst wachtwoorden en daarna gegevens. Soms zitten ze maanden in een bedrijf, soms jaren. De gemiddelde tijd dat ze binnen zijn is 356 dagen. De langste spionage duurt bijna vijf jaar. De hackers trekken hele bedrijven leeg, in één geval stelen ze in tien maanden tijd 6,5 terabyte aan informatie — oftewel de gegevens van ruim zes grote universiteitsbibliotheken.
De aanvallen lopen parallel aan de belangen van de Chinese overheid. Als Coca-Cola de overname van een Chinese frisdrankgigant overweegt, zit eenheid 61398 ongezien in het Amerikaanse bedrijf. De techneuten stelen de onderhandelingsstrategie en andere bedrijfsgevoelige informatie. De groep is vooral uit op het intellectueel eigendom van hightechbedrijven, militaire organisaties, chemische fabrieken en telecomproviders. Ze dringt bijvoorbeeld ook Lockheed Martin binnen en ontvreemdt zo het ontwerp van het gevechtsvliegtuig Joint Strike Fighter. China maakt het vliegtuig na en beschikt er zo eerder over dan Nederland, dat nog jaren moet wachten op de bestelde JSF’s.
Eenheid 61398 wordt vanaf de publicatie van het Mandiant-rapport APT1 genoemd — de eerste onderkende statelijke spionagegroep. Officieel publiceert Mandiant de werkwijze van de groep om andere bedrijven en overheden te waarschuwen. Zij kunnen de specificaties uit het rapport — zoals de ip-adressen of het soort malware — zelf onderzoeken en zo Chinese hackers buiten de deur houden.
Maar er is ook een politieke component: het zo gedetailleerd openbaar maken van spionage werkt afschrikkend. Nederlandse bronnen spreken hun vermoedens uit dat Mandiant gevoed wordt door Amerikaanse inlichtingendiensten die er belang bij hebben dat details over Chinese spionage uitlekken. De Amerikaanse regering grijpt de publicatie dankbaar aan om voor het eerst China openlijk te beschuldigen van een golf aan digitale aanvallen die gericht zijn op westerse bedrijven en overheden. Het is een nieuwe stap in de digitale oorlogsvoering: de strategie van je vijand blootleggen. Normaal houden overheden dit soort informatie binnenskamers om de diplomatieke relaties niet te schenden.
Het houdt de Chinezen niet tegen. Ze zetten dagelijks tienduizenden hackers in die vrij lomp te werk gaan. Hoe dat precies gaat, zie ik dankzij onderzoeker Yonathan Klijnsma, die voor het Delftse FOX-IT nieuwe soorten malware bestudeert. Als ik hem ontmoet, vertelt hij over een bijzonder onderzoek.
Klijnsma ziet geregeld onbekende software bij klanten. Vaak is het niets bijzonders, maar als hij op een dag de specificaties van nieuwe software invoert in een openbare database, ziet hij dat die software ook op andere plekken is ontdekt. Bij overheden en bedrijven in de Verenigde Staten, in Myanmar en in India. Ook in Canada en in Duitsland komt hij die tegen en er is zelfs een link naar Nederland. De hem onbekende software wordt een fascinatie voor Klijnsma. In de avonduren en tussen opdrachten door probeert hij de makers ervan in kaart te brengen. Na maanden onderzoeken weet hij de werkwijze van de groep bloot te leggen. Het geeft een zeldzame inkijk in hoe Chinese hackers te werk gaan en uiteindelijk in Nederland informatie stelen.
Om acht uur ’s ochtends lopen vijf jongemannen een klein kantoor in de zuidelijke Chinese provincie Guangdong binnen. Ze starten hun computers. Eén van de vijf opent Writer — de Chinese tegenhanger van Word — en begint te schrijven aan een Engelstalig nieuwsbericht. Zijn Engels is prima, dankzij een goede vooropleiding in China. Nu werkt hij voor de Chinese overheid.
Het nieuwsartikel gaat over het Duitse bedrijf Rheinmetall. De Chinees weet dat dit defensiebedrijf net is gaan samenwerken met een Nederlands bedrijf. Ze leveren onderdelen voor een nieuw pantservoertuig, de Boxer. In Writer schrijft hij een kort stuk over de fusie en stuurt dit ter controle naar een collega.
In mei 2012 belandt het nieuwsbericht in de mailbox van werknemers van Rheinmetall. De Chinezen hopen dat een van de ontvangers het mailtje opent en op het meegezonden bestand klikt. En ja hoor: een van de medewerkers klikt op de bijlage en installeert zo ongezien een programmaatje genaamd ShimRatReporter op zijn eigen computer. Dat analyseert het bedrijfsnetwerk van Rheinmetall en stuurt nuttige informatie terug naar de groep in China, zoals gegevens over instellingen en reeds geïnstalleerde software. Het slachtoffer weet van niets.
De groep Chinezen is binnen, krijgt updates over het systeem en plaatst na een tijd een virus in het bedrijfsnetwerk. Om niet op te vallen verstopt het zich achter bekende antivirusprogramma’s zoals McAfee, Symantec en Norman. Voor de besmette werknemer van Rheinmetall lijkt het daarmee of een antivirusprogramma aan het updaten is. In werkelijkheid sluipt een Chinees virus het netwerk in.
Om informatie vanuit Rheinmetall naar China te krijgen, communiceert het virus met websites die sprekend lijken op echte websites. De groep gebruikt domeinen als mail.upgoogle.com en support.outlook-microsoft.com, en ook een valse pagina van de Amerikaanse krant The New York Times. Malware ‘praat’ met de makers via tussenstations. Om niet op te vallen, kiezen de makers daarom ogenschijnlijke legitieme websites. Zo verhullen ze hun spionage. De vijf Chinezen hebben jarenlang toegang tot Rheinmetall en daarmee ook tot de technologische kennis van de Nederlandse tak van het bedrijf in Ede. Niemand merkt daar de spionage op. Pas als onderzoeker Klijnsma het werk van de groep blootlegt en Rheinmetall informeert, ziet het bedrijf de schade. In drie jaar sluipen de vijf hackers zeker 24 organisaties binnen, waaronder een Canadees bedrijf gespecialiseerd in zonneceltechnologie.
Zoals deze hackers bestaan er tienduizenden Chinese hackers die dagelijks inloggen en op afstand bedrijven leegplunderen. Ze passen hun werkwijze voortdurend aan en gaan agressief en doortastend te werk. Angst om gepakt te worden, kennen ze niet: de identiteit van hackers wordt zelden bekend. Bovendien genieten ze bescherming van de Chinese overheid.
Dit is de situatie in 2013 als N. het verzoek van de CIA ontvangt: digitale spionage neemt een gigantische vlucht. China zet flatgebouwen vol hackers in om westerse kroonjuwelen te stelen, Groot-Brittannië en de Verenigde Staten trekken VN-organisaties en telecombedrijven zoals Belgacom leeg. En Rusland? Dat speelt zijn eigen spel, waar de AIVD in 2013 de eerste signalen van opvangt.
De onderzoekers van Kaspersky die naar Amsterdam komen, zijn de slimste specialisten van het bedrijf — diegenen die de analyse van malware doen. Nerds die naar verbanden speuren en de ingewikkeldste virussen ontleden. Zoals Mandiant Chinese spionage blootlegt, zo doet Kaspersky dat ook. Door die onderzoeken houdt Kaspersky klanten veilig: antivirussoftware dient bestand te zijn tegen nieuwe spionage. De specialisten van Kaspersky die malware bestuderen, werken over de hele wereld in een analyseteam. In oktober 2013 komen ze, een paar dagen voor een grote conferentie, voor een teambijeenkomst naar de hoofdstad. Ze verblijven in een hotel vlak bij Amsterdam CS.
Het is een buitenkans voor de CIA: zo vaak zijn deze specialisten niet fysiek op één plek. Sommigen gaan daarna nog naar de RSA Conference, in de RAI aan de zuidkant van Amsterdam. De Roemeen Costin Raiu, hoofd v
an het analyseteam van Kaspersky, zal daar in een kleine zaal — G107 — in debat gaan over een nieuw en ‘controversieel’ onderwerp in de informatiebeveiliging: Advanced Persistent Threats. Hoe serieus is hun dreiging? Zijn APT’s een hype?
Maar voor de conferentie trekken twaalf onderzoekers van Kaspersky eerst drie dagen met elkaar op. De AIVD en CIA overwegen microfoons in de hotelzaal te plaatsen waar de medewerkers zijn om ze af te luisteren, maar ze zien daar uiteindelijk van af. Te ingewikkeld.
N. overlegt met H. — de CIA-man in Nederland die de contacten met de AIVD onderhoudt. Met zijn smalle hoofd, grijzige haar, brilletje en ruimvallend pak had de CIA-man zo de ambtenaar uit de televisieserie Flodder kunnen zijn. Ze komen tot een plan: een observatieteam van de AIVD zal de onderzoekers volgen als ze het hotel uit gaan, een ander team zal proberen hun laptops uit de hotelkamer te halen en in handen van de CIA te geven.
Maar al tijdens de eerste dag van hun teambijeenkomst kijken onderzoekers van Kaspersky vreemd op. Op verschillende plekken in het hotel komen ze dezelfde mensen tegen: in het restaurant of in de hal. Die personen gedragen zich opvallend — er komt zelfs iemand ongevraagd een meeting in gelopen. Besloten wordt om de activiteiten van die dag uit voorzorg eerder af te breken. De onderzoekers voelen zich bekeken. De laptops, die de specialisten al met hun leven bewaken, klemmen ze nu nog dichter tegen de borst. Eén Kaspersky-medewerker besluit een Nederlands contact te bellen.
*
Waar de AIVD een heuse afdeling digitale spionage heeft en actief hackers rekruteert, loopt de militaire MIVD digitaal hopeloos achter. De dienst teert op de gave om inlichtingen uit de lucht te halen, via bijvoorbeeld de afluisterschotels in het Friese Burum.
Anders dan de AIVD is de MIVD hoofzakelijk geïnteresseerd in communicatie door de lucht. Voorheen waren dat de diplomatieke berichten tussen ambassades en hun thuislanden, tegenwoordig is het de communicatie van bijvoorbeeld de Taliban in Afghanistan of jihadistische strijders in Mali. Om die te onderscheppen volstond de traditionele manier van inlichtingen verzamelen. Toen de Verenigde Staten Afghanistan binnenvielen, bleek de Taliban nog met ouderwetse portofoons en veldradio’s te communiceren. En de MIVD, dat in het Achterhoekse dorp Eibergen een antenneveld heeft dat hoogfrequent radioverkeer onderschepte, kon zo nuttige inlichtingen verzamelen.