Het is oorlog maar niemand die het ziet
Page 16
Ook het afluisteren middels onderzeeboten is een oude troef van de MIVD. Regelmatig varen Nederlandse onderzeeboten van de Walrusklasse uit om voor de kust van andere landen inlichtingen te verzamelen. Die brengen havens en luchtverdediging in bijvoorbeeld Iran in kaart. Een belangrijke activiteit van de MIVD omdat Britse en Amerikaanse onderzeeboten daar vanwege het gebrek aan diepte niet kunnen komen. Het inzetten van onderzeeboten is steeds weer onderwerp van discussie bij de top van Defensie: het is namelijk tijdrovend en kostbaar. ‘Even afluisteren’ in Iran kost makkelijk een half jaar door alle voorbereidingen en wekenlange reis naar de regio.
Maar in 2011 gaat communicatie steeds vaker digitaal. Andere diensten die net als de MIVD communicatie uit de lucht haalden, zoals de NSA, de GCHQ en de Israëlische Unit 8200, zijn wél overgegaan op digitaal inlichtingen verzamelen. In de maand dat marineman Pieter Bindt aantreedt als nieuwe directeur MIVD staat het personeelsblad van de MIVD vol met waarschuwingen over de nieuwe digitale dreiging. ‘Onderschat digispion niet!’ En over sociale media: ‘Wist u dat als u uw “smartphone” koppelt aan uw account van uw sociale netwerksite, bijvoorbeeld Facebook, deze exact laat zien waar u zich bevindt op elk willekeurig tijdstip?’ Het beveiligingsadvies van de MIVD: ‘Discreet omgaan met uw gegevens op internet is geboden.’
De veeleisende Bindt wil de digitale achterstand snel inlopen. Al langer is er een politieke wens om de afluistercapaciteiten van de AIVD en de MIVD samen te voegen tot een grote nieuwe afluistereenheid. Dit project — Symbolon gedoopt — loopt door onderlinge agitaties stroef, maar Bindt wil het vlot trekken. Hij ziet er een kans in voor de MIVD om te profiteren van de digitale kennis van de AIVD. Niet voor niets schrijft hij bij zijn aantreden aan het MIVD-personeel: ‘Een partner waar we in het bijzonder aandacht aan zullen geven is de AIVD. De wereld is groot en onrustig, terwijl beide diensten relatief klein zijn. Eén plus één moet ten minste drie worden.’
Net als het Zoetermeerse pand van de AIVD is het kantoor van de MIVD een ondoordringbaar fort. De MIVD huist in de Frederikskazerne aan de rand van Den Haag in een veertien verdiepingen hoog gebouw. Medewerkers moeten eerst langs een door militairen bewaakte slagboom. De entree van het gebouw zelf is afgesloten met drie tourniquets. MIVD’ers hebben een pasje nodig en een vijfcijferige persoonlijke code om binnen te komen. Buiten de poortjes bevindt zich een lockerruimte voor telefoons: smartphones mogen het gebouw niet in. Met liften komen de medewerkers op hun eigen etage waar ze nogmaals met pasje en code doorheen moeten. MIVD’ers kunnen alleen op etages komen waarvoor ze zijn geaccrediteerd.
De geheimhouding wordt zeer serieus genomen. Als oud-MIVD-medewerker Jaap van Tuyll een boek schrijft, moet hij zich melden bij het hoofd van de dienst. Van Tuyll is twaalf jaar eerder na een dienstverband van ruim dertig jaar uit dienst gegaan. Hij was een gewaardeerde crypto-analist: hij ontcijferde onderschepte berichten, onder meer van buitenlandse ambassades. Over zijn tijd bij de dienst gaat zijn boek, waarin hij vooral ingaat op verschillende vercijferingstechnieken. Hij schrijft niets over geheime operaties.
Maar bij de MIVD zijn ze er niet gerust op. Van Tuyll mag dan al twaalf jaar weg zijn, zijn kennis is nog steeds waardevol, denken ze. Het hoofd van de MIVD geeft Van Tuyll in een persoonlijk gesprek twee opties: óf hij zet publicatie door, waarna de MIVD naar de rechter zal stappen om een verbod te eisen, óf hij laat het boek in eigen beheer uitgeven door de MIVD. Van Tuyll kiest voor het laatste. Hij mag zijn boek presenteren in het gebouw van de AIVD in Zoetermeer. Een exemplaar krijgt hij niet mee: het wordt staatsgeheim verklaard en moet binnen de muren van het pand blijven. Van Tuyll kan zijn eigen boek niet thuis in de kast zetten.
Twee jaar na het aantreden van Bindt is de samenwerking met de AIVD nog amper van de grond gekomen. Dat heeft deels te maken met AIVD-baas Rob Bertholee, die in hetzelfde jaar aantreedt als Bindt. De stugge Bertholee is een rechtlijnige man die intern de nadruk legt op het volgen van jihadverdachten. Hij heeft minder gevoel voor de andere taken van de AIVD, zoals digitale spionage en het ontwaren van trends op lange termijn. Hij komt uit de landmacht, moest de tanks afschaffen en is iemand die loyaal is naar politieke bazen. De rijzige Bertholee, een fanatiek hardloper die uit veiligheidsoverwegingen nooit hetzelfde rondje loopt, protesteert nauwelijks tegen bezuinigingen die de AIVD krijgt opgelegd. Bovendien laat hij zich de dominantie en de niet geringe ijdelheid van zijn politieke baas Ronald Plasterk welgevallen. Dat maakt hem bij medewerkers van de AIVD niet geliefd. Zijn hoekige karakter helpt ook niet; collega’s stappen niet makkelijk op hem af.
MIVD-baas Bindt is in zekere zin een tegenpool van Bertholee: opgeleid bij de marine, durfal, iemand die het conflict niet schuwt. De sigaar rokende schout-bij-nacht kan zich flink kwaad maken, maar is ook benaderbaar. Hij staat bekend als een slimme officier die oog heeft voor de lange termijn. Hoewel het generatiegenoten zijn — beiden geboren in de jaren vijftig — schuren de karakters van Bindt en Bertholee regelmatig. Na jarenlang gesteggel is het een oude bekende van de AIVD die de samenwerking tussen beide diensten een impuls moet geven: Paula Wiegers, die lang bij de AIVD werkte en later topambtenaar werd bij het ministerie van OCW en Algemene Zaken. Het is aan haar om de partijen samen te brengen in een nieuwe eenheid: de Joint Sigint Cyber Unit.
Hoe moeizaam het proces gaat, blijkt wanneer tientallen MIVD’ers als onderdeel van de nieuwe unit in het gebouw van de AIVD in Zoetermeer gaan werken. De AIVD eist dat deze MIVD’ers eerst een uitgebreid veiligheidsonderzoek ondergaan voordat ze het pand in mogen. De militairen voelen zich daardoor geschoffeerd: ze beschikken al over een veiligheidsverklaring. Maar de AIVD houdt voet bij stuk — tot ergernis van de MIVD.
Meer dan drie jaar nadat Bindt directeur MIVD is geworden, gaat de gezamenlijke eenheid van AIVD en MIVD in 2014 schoorvoetend van start. Beide diensten leveren specialisten: de AIVD hackers, de MIVD’ers experts in het onderscheppen van communicatie door de lucht. Alles bij elkaar telt de afluistereenheid zo’n 350 personen. Ongeveer honderd van hen zitten in een ‘digitale business unit’, waarvan de digitale operaties deel uitmaken. Onder deze unit hangen weer enkele teams: voor het aftappen of het runnen van bronnen. Weer een ander team houdt zich bezig met Computer Network Exploitation (CNE). Deze AIVD-hackers mogen offensieve operaties uitvoeren: vijandige netwerken aanvallen en binnendringen. Als de nieuwe eenheid van start gaat, blijkt dat de AIVD een voorsprong heeft op de MIVD. Hackers van de AIVD zijn bezig met een uiterst geheime operatie die ze diep in Rusland brengt.
*
De afloop van de Nederlands-Amerikaanse operatie tegen Kaspersky is ongewis. AIVD-bronnen vertellen dat de dienst zeker één keer een laptop uit een hotelkluis haalt en naar een kamer brengt waar een technisch team van de CIA zit. De AIVD’ers kijken vervolgens jaloers toe hoe de CIA’ers razendsnel de wachtwoorden en encryptiesleutels uit het geheugen halen en de inhoud van de laptop kopiëren op een usb-stick. De Nederlanders stoppen de laptop daarna snel terug in de kluis. Operatie toch nog geslaagd.
Kaspersky vindt dat ‘ongeloofwaardig’, zegt het bedrijf jaren later. Hun onderzoekers hadden immers op de eerste dag al door dat er iets niet in orde was. Bovendien zijn de medewerkers bijzonder voorzichtig met hun laptops en is het beleid van Kaspersky om die niet in hotelkluizen te bewaren. De medewerker die iets vermoedde belde een bevriend Nederlands contact, die vervolgens de AIVD verwittigde. De dienst zou hem zeggen dat het een misverstand was: de onderzoeker dacht dat hij vanaf Amsterdam CS gevolgd werd, maar daar was het observatieteam van de AIVD niet geweest.
In twee jaar spreek ik vijf bronnen over de spionage in het Amsterdamse hotel. Een aantal vragen blijft onbeantwoord. Waarom wilde de FBI per se toegang krijgen tot de laptops van deze Kaspersky-medewerkers? Welke inzichten over het bedrijf moest dat opleveren?
Ik worstel lang of ik het verhaal zonder antwoorden in dit boek kan opnemen. De interesse van de FBI in Kaspersky hoort bij de online strijd tussen de Verenigde Staten en Rusland. De AIVD kiest daarbij de kant van de Amerikanen. Het is opmerkelijk dat die diensten zich al in 2013 op Kaspersky storten — pas jaren later wordt
dat een publiek thema. Aan de andere kant: kan ik de werkelijke betekenis van deze operatie wel duiden als ik niet alle informatie heb?
Deze twijfel hoort ook bij het schrijven over geheime diensten. Het is lang niet altijd mogelijk om op alle vragen antwoorden te krijgen. Soms durven bronnen niet meer te vertellen, soms weten ze niet meer, soms kan ik er net niet bij. Publiceren of toch nog even wachten op meer informatie? Het blijft een permanente afweging.
Zo’n journalistiek dilemma speelt ook als ik via een betrouwbare bron hoor dat de AIVD eind 2016 Russische malware aantreft op de netwerken van de Oosterscheldekering. Potentieel groot nieuws: de Oosterscheldekering behoort tot de kwetsbaarste Nederlandse infrastructuur. De bron is nerveus en wil geen verdere details geven.
Een jaar later krijg ik een summiere bevestiging van een andere bron. ‘Ja, dat heb ik ook gehoord.’ Je zou kunnen zeggen: publiceren maar. Twee bronnen die onafhankelijk van elkaar de informatie bevestigen. Ik vind het alleen te dun. Hoe trof de AIVD de malware aan? Hoelang zat het er al? Wat voor soort malware was het? Hoe zeker is het dat die uit Rusland kwam?
Driekwart jaar later heb ik een gesprek met een betrokkene. Als het klopt, moet deze persoon het weten. Hij ontkent ten stelligste ooit iets dergelijks te hebben gehoord. Als ik terugga naar mijn eerste bron houdt deze echter vol. Details wil of kan hij ook nu niet geven. Net als een paar andere betrokkenen die het zouden kunnen weten. Ik kan er niet over publiceren.
Nog een voorbeeld. De AIVD en CIA proberen samen een Iraanse student van een Nederlandse universiteit te rekruteren. De student beschikt over buitengewone technologische kennis. Een buitenkans, maar het loopt niet goed af: de student wil niet voor de geheime diensten werken.
Prima verhaal. Het wordt ook nog eens bevestigd en ik heb de naam van de student en weet hoe hij eruitziet. Omdat ik hem niet in gevaar wil brengen, laat ik hem via een versleuteld bericht weten dat ik graag zijn kant van het verhaal hoor. Ik zeg hem dat ik geïnteresseerd ben in de werkwijze van de AIVD en CIA: wat hadden zij hem te bieden? Waarom kwamen ze bij hem uit?
Hij reageert niet. Ook niet op twee uitgebreide mails waarin staat dat ik zijn identiteit wil beschermen. Wat te doen? Het verhaal klopt, daar twijfel ik niet aan. Ik snap ook dat hij niet wil reageren. Ik wil zijn naam, de universiteit waar hij werkt en zijn achtergrond niet zomaar openbaar maken. Alleen: zonder die informatie blijft er wel heel weinig van het verhaal over. Ik besluit niet te publiceren.
De spionageklus in het Amsterdamse hotel laat ik lang liggen. Ik probeer nieuwe bronnen te vinden en zoek naar extra informatie. Aanvankelijk zonder veel succes. Tot ik op een dag iemand spreek die vertelt over een andere AIVD-missie. Een geheime operatie die verband lijkt te houden met de klus in het hotel. De AIVD is nog niet klaar met Kaspersky.
Maar eerst 2013. Het is een zwaar jaar voor de AIVD. De strijd tegen islamitisch terrorisme vergt veel van de dienst. De ongekende bloedstrijd van Islamitische Staat in Syrië en van Al-Qaida in Afrika en het Midden-Oosten heeft directe invloed op de gemoedstoestand in Nederland. Over de digitale Russische spionage rapporteert de AIVD dat jaar amper. Ook in het jaarverslag 2013 wordt niet éénmaal gerept over spionage door Rusland. Een jaar later zal dat 37 keer zijn. Kortom, 2013 is voor de AIVD een kanteljaar.
Dat betekent niet dat de AIVD niets ziet. Russische internetcriminelen hebben met hun kennis en infrastructuur de weg geëffend voor de Russische veiligheidsdiensten. Het internet in Rusland is snel en goedkoop. Het heeft een grote aantrekkingskracht op werkloze Russische jongeren. Op online-fora bieden Russische criminelen hackmiddelen aan. Hacken van een Facebook-account: 200 dollar. Een Gmail-account: 117 dollar. Een middel om malware op Windows-computers te zetten: 600 dollar.
De Russische geheime diensten kennen dit potentieel ook. Daarom is de AIVD niet dol op de bezoeken van Sergej Michajlov, de tweede man van de digitale eenheid van de Russische FSB, aan de politie in Driebergen: Russen wíllen hun internetcriminelen helemaal niet oppakken. Ze willen ze gebruiken en voor ze laten werken. Russen, zeker van de gecombineerde dienst FSB, zijn niet te vertrouwen, is de stellige overtuiging in Zoetermeer.
Kijk maar naar de hack van de Amerikaanse zoekmachine Yahoo. Hackers stelen de wachtwoorden, e-mailadressen, telefoonnummers en instellingen van liefst 500 miljoen gebruikers — de grootste dataroof uit de geschiedenis. De dader is een 23-jarige man uit Kazachstan die in Canada woont.
Maar de echte opdrachtgevers, ontdekt de FBI, komen uit Rusland. Het zijn twee hooggeplaatste inlichtingenmedewerkers van de FSB die bij digitale opsporing werken. Directe collega’s van het Nederlandse politiecontact Sergej Michajlov. Deze FSB’ers staan, net als Michajlov, in nauw contact met buitenlandse opsporingsdiensten om te helpen bij het vinden van cybercriminelen. In plaats daarvan stuurden ze zelf hackers aan die Yahoo kaalplukten. De gestolen e-mailgegevens gebruikten ze om te spioneren: medewerkers van het Witte Huis, militairen, CEO’s uit allerlei Oost-Europese landen en ook Russen, zoals journalisten, overheidsmedewerkers en activisten. ‘De betrokkenheid en leiding van FSB’ers die verantwoordelijk zijn voor wetshandhaving maken dit gedrag extra wrang,’ aldus de Amerikaanse aanklager Mary McCord.
Ook Michajlov wordt uiteindelijk veroordeeld — maar dan in Rusland. Hij krijgt 22 jaar gevangenisstraf wegens hoogverraad omdat hij in ruil voor geld informatie aan de FBI zou hebben doorgespeeld.
Dat Russische spionage in 2013 nog nauwelijks wordt onderkend, heeft hier ook mee te maken. De Russen spelen hun eigen ondoorzichtig spel. Ze verschuilen zich achter criminele netwerken. Rusland heeft als een van de eerste landen door welke mogelijkheden het internet biedt voor spionage. In 1998 zitten ze al in het Amerikaanse ministerie van Defensie en ruimtevaartorganisatie NASA.
Dat de Russen desondanks lange tijd amper in de gaten lopen, toont hun kracht. Ze opereren een stuk geavanceerder dan de Chinezen, die massaal aanvallen en ongedurig bedrijven bestoken. Russen werken slimmer, gedisciplineerder en zijn beter in staat hun sporen te maskeren. Ze zijn extreem goed in het volledig leegtrekken van een geïnfecteerd systeem. Ze blijven lang binnen zitten en zoeken geduldig naar de gevoeligste informatie.
Precies op het moment dat de Oekraïnecrisis in 2014 uitbreekt en Rusland het schiereiland de Krim annexeert, ontdekt België een virus in het ministerie van Buitenlandse Zaken. Dit professionele spionagevirus kopieert diplomatieke berichten, waaronder een vertrouwelijk diplomatiek rapport over Oekraïne. Hoewel alle sporen naar Rusland wijzen, is niet te achterhalen welke Russische hackers precies achter de aanval zitten.
Dat de Russen nauwelijks opvallen, heeft ook met het Westen te maken. Dat is meer bezig met Chinese en Iraanse spionage dan met Russische. De MIVD heeft in 2014 een ‘Ruslanddesk’ waar zes mensen werken. Vijf jaar later zal dat team vertienvoudigd zijn. Bij het Ruslandteam van N. bij de AIVD werken zo’n vijf mensen. Die kunnen maar een beperkt aantal operaties uitvoeren.
De politieke verhoudingen tussen Nederland en Rusland zijn in 2013 nog relatief goed. Illustratief is het ‘vriendschapsjaar’ van Nederland en Rusland om de goede relaties te vieren. President Vladimir Poetin komt naar Amsterdam om de opening van de Hermitage bij te wonen. Koning Willem-Alexander en Máxima bezoeken omgekeerd de Russische president in Moskou.
Tijdens de Olympische Winterspelen in Sotsji, voorjaar 2014, hebben de Nederlandse koning en koningin wederom een geplande ontmoeting met Poetin. Ditmaal in een uitgelaten Holland Heineken House. Een foto van een breed lachende Willem-Alexander die een biertje drinkt met Poetin gaat de wereld over. Premier Rutte zegt later tegen Nederlandse media dat het ‘prima’ is dat de koning proost met Poetin. De contacten zijn immers goed. De premier is ‘zonder meer positief’ over de goede relaties tussen het koningshuis en het Kremlin.
Achter de façade is de kentering dan al gaande. Poetins militairen staan op het punt Oekraïne binnen te vallen. De verhoudingen tussen Rusland en het Westen bekoelen snel. Russische hackgroepen voeren hun aanvallen in ongekend tempo op. Omgekeerd probeert N. de intenties en gedragingen van Rusland nauwlettend te volgen. Door een ‘gelukje’ komt de AIVD bij een onde
rzoek Russische spionage op het spoor. Als hackers van de dienst dat spoor volgen, eindigen ze in een universiteitsgebouw in Moskou en zien ze iets wat ze niet voor mogelijk hadden gehouden.
9
Betrapt op het Rode Plein
‘Waarom wil je dit weten? Waarom praten mensen hierover?’ Geërgerd hangt een goede bron, met wie ik al jaren contact heb, op. Ik heb deze man niet eerder zo woedend gehoord. Het is zaterdagmiddag en de redactieruimte van de Volkskrant is verlaten. Een schoonmaker loopt tussen bureaus door en kiepert prullenbakjes leeg in een grote blauwe vuilniszak. Ik heb weekenddienst: samen met een collega houd ik het binnenlandse nieuws in de gaten.
Technologiewebsite Tweakers heeft een mooie scoop: Chinese hackers hebben ingebroken bij de Nederlandse chipmachinefabrikant ASML. Het bedrijf uit het Brabantse Veldhoven is marktleider in het maken van machines die chips fabriceren voor bijvoorbeeld mobiele telefoons en computers. Afnemers van die machines zijn onder meer Intel en Samsung. ASML is in een permanente wapenwedloop verwikkeld met concurrenten om de beste te blijven. De kunst is om steeds kleinere chips te maken waarop steeds meer rekenkracht past. Door miljarden te besteden aan onderzoek en dankzij zeer kostbare en unieke technologie blijft ASML de concurrentie voor.
Dat het Chinese overheidshackers lukt om dit miljardenbedrijf binnen te komen, is groot nieuws. Het kan enorme gevolgen hebben: als China erin slaagt de technologie van ASML te stelen, kan het zelf chips maken en op de Chinese markt brengen. ASML levert veel chipmachines aan klanten in Azië. Hoe is de spionage ontdekt? Hoe kwamen de Chinezen ASML binnen? Hoelang zaten ze in het bedrijf? Wat is de schade?