Ik bel via een versleutelde verbinding vier bronnen die me hopelijk meer kunnen vertellen. Ze zijn afhoudend en summier in hun informatie. Die ene goede bron is duidelijk geïrriteerd. Hij wil er niet over praten. Hij is boos dat anderen dat wel doen en dat de hack in de openbaarheid is gekomen. De berichtgeving schaadt ASML en het onderzoek naar de hack, vindt hij.
Zijn felle reactie verbaast me. Ik ken dit argument van inlichtingendiensten: ze willen niets zeggen over buitenlandse spionage om zo de vijand niet slimmer te maken. Maar dit is iemand die niet bij een geheime dienst werkt. Waarom is hij zo boos?
Er is iets wonderlijks aan de hand. Spionage via internet neemt drastisch toe. Het ene na het andere overheidsorgaan waarschuwt ervoor, het gonst van de geruchten over bedrijven die getroffen zijn, op congressen is het een hot topic. Maar gevraagd naar concrete gevallen wil niemand iets zeggen.
Zelfs wanneer een bedrijf getroffen is, zoals nu bij ASML, stuit ik op een dichte deur. ASML bagatelliseert de spionage. Eerst zegt de chipmachinefabrikant: ‘Wij reageren nooit op individuele beveiligingszaken.’ Een paar dagen later volgt een halve bevestiging: ‘Het lijkt er nu op dat slechts toegang is gekregen tot een kleine hoeveelheid gegevens.’
Als een bedrijf spionage ontdekt, huurt het beveiligingsexperts in. Die onderzoeken de spionage, werken de aanvallers eruit en herstellen de systemen. Die beveiligingsonderzoekers moeten bij het aangaan van de opdracht een geheimhoudingsverklaring tekenen: ze mogen niets zeggen over wat ze in het bedrijf aantreffen.
Is de spionage serieus, dan kijken specialisten van AIVD of MIVD mee. Zij willen er evenmin iets over zeggen: hun werk is geheim en ze vinden dat die geheimhouding de veiligheid van Nederland dient. Als buitenlandse staten weten dat de Nederlandse inlichtingendiensten hun spionage op het spoor zijn, passen ze hun werkwijze aan. Zo heeft iedereen een belang om te zwijgen.
Ik maak het ook mee als ik schrijf over de Chinese spionage bij defensiebedrijf Rheinmetall in Ede. Het bedrijf wil er niets over kwijt. Onderzoeker Yonathan Klijnsma, die de Chinese spionage analyseerde, wil niet bevestigen dat de Chinezen toegang hadden tot Rheinmetall. Als ik er bij andere bronnen naar vraag, houden die eveneens hun mond.
Via één contact lukt het om een summiere bevestiging te krijgen. Yes, een opening, denk ik, maar doorvragen lukt niet. Hoelang waren de Chinezen precies binnen? Wat hebben ze buitgemaakt? Het blijft stil.
Na publicatie van het artikel ‘Nederlands-Duits defensiebedrijf gehackt door Chinezen’ in de Volkskrant ontstaat publieke opwinding. Media nemen het bericht over, Kamerleden stellen er vragen over aan de minister van Defensie. Eindelijk: politieke discussie over spionage. Ik wacht de beantwoording van de Kamervragen door minister Hennis nieuwsgierig af. Zal ze zeggen wat de Chinezen hebben buitgemaakt? Zal ze ook ingaan op andere spionage?
Een paar weken later stuurt de VVD-bewindsvrouw haar antwoorden aan de Tweede Kamer. Eerste vraag: ‘Klopt het dat geheime data van het Nederlands-Duitse bedrijf Rheinmetall Defence is gestolen bij een cyberaanval door Chinese hackers?’ Antwoord minister: ‘Het is niet aan het ministerie van Defensie om dergelijke berichtgeving te ontkrachten of te bevestigen.’
Wéér niets. Ontkenningen, algemeenheden. Het is toch vreemd: de Nederlandse overheid laat geregeld weten dat digitale spionage de Nederlandse veiligheid bedreigt, maar houdt onder het mom van staatsgeheim of bedrijfsgevoelige informatie de kaken op elkaar als het gebeurt. Wanneer steeds meer juweliers in Nederland slachtoffer worden van groepen overvallers die met geweld deuren inslaan en sieraden stelen, ontstaat een publieke discussie. Dan eisen Kamerleden dat de minister van Justitie en Veiligheid maatregelen neemt. Ongeruste juweliers zullen zich verenigen en politiebescherming eisen. Burgers zullen zich onveilig voelen. Het zou vreemd zijn als de overheid in dat geval zou zeggen ‘we kunnen bevestigen noch ontkennen dat overvallers juweliers bestelen’. Waarom gaat het wel zo als het over digitale aanvallen gaat? De maatschappelijke schade is niet minder echt of minder groot. Als China bij ASML hoogwaardige technologie buitmaakt, zijn de gevolgen zelfs gigantisch.
‘Spionage is van alle tijden,’ werpt een wat oudere inlichtingenbron tegen als ik mijn verbazing uitspreek. ‘Maar dit gaat niet over één spion die in Nederland wordt ontdekt, zoals dat vroeger ging, dit gaat over systematische aanvallen,’ zeg ik op mijn beurt. Kijk naar het jaarverslag van de AIVD over 2014. Daarin staat dat ‘honderden organisaties doelwit’ zijn van digitale aanvallen. ‘De AIVD is van mening dat de waargenomen aantallen slechts het topje van de ijsberg zijn en dat het totale aantal digitale aanvallen vele malen groter is.’
De Amerikaanse NSA zit diep in een bedrijf dat internationale betalingen regelt. De Amerikanen kunnen bij honderden banken zien wie naar wie geld overmaakt. China breekt door de beveiliging van hotels van Marriott en steelt de data van 500 miljoen gasten. Russische hackers bestoken het Duitse parlement, het Franse televisiestation TV5 Monde, ze doen zich voor als Islamitische Staat en sturen doodsbedreigingen naar vrouwen van Amerikaanse militairen.
De technologie heeft omvangrijke spionage en beïnvloeding mogelijk gemaakt. De dreiging en de schaal zijn onvergelijkbaar met het spionnenwerk van twintig jaar terug. Dit zijn geen individuele gevallen, dit is maatschappelijke ontwrichting. Bedrijven kunnen failliet gaan, politieke processen beïnvloed worden, burgers gemanipuleerd.
Hij knikt aarzelend en zegt dat hij mijn ongemak begrijpt. ‘Maar als geheime diensten erover praten zijn ze hun informatiepositie kwijt.’ Dat is de paradox: de kwetsbaarheid neemt toe, maar erover praten vergroot de kwetsbaarheid.
Bovendien verandert de aard van de spionage. Het gaat niet enkel meer over het verkennen en exploiteren van vijandige computersystemen, soms is het doel het kapotmaken van computernetwerken, zoals Israël en de Verenigde Staten met hulp van Nederland deden met Stuxnet. Dit heet Computer Network Attack. Israël valt met computers het Syrische luchtverdedigingssysteem aan terwijl Israëlische vliegtuigen een bombardement uitvoeren. Iran zorgt er met een destructief virus voor dat 30.000 computers van het Saudische staatsoliebedrijf Saudi Aramco kapotgaan. Rusland legt met een online-aanval de energievoorziening in delen van Oekraïne plat.
De Amerikaanse journalist Kim Zetter beschrijft deze ontwikkeling van exploiteren naar kapotmaken als het verschil tussen de films Ocean’s Eleven en Die Hard: in Ocean’s Eleven overvallen elf kundige professionals op omzichtige wijze casino’s in Las Vegas, in Die Hard gaan twaalf terroristen met grof geweld op hun doel af. Die laatsten schromen niet om slachtoffers te maken. De digitale wereld volgt het scenario van Die Hard, en verandert langzaam in een slagveld waarbij bedrijven kapotgaan en echte slachtoffers vallen.
Hoe gaan de Nederlandse geheime diensten om met deze wapenwedloop? Kunnen zij de democratie beschermen en tegen welke prijs?
*
De AIVD heeft iets in handen. De geheime dienst is bij toeval op sporen van Russische spionage gestuit. Het is het voorjaar van 2014 en het is onrustig in het Oosten: Rusland heeft de Krim met militair geweld overgenomen van Oekraïne. In het oosten van Oekraïne wordt hevig gevochten. Ook digitaal laten de Russen zich gelden: hackgroepen bestoken westerse overheden, op sociale media proberen Russische trolaccounts het debat te sturen.
De brokjes informatie die de AIVD heeft, gaan naar het hackteam. Vijf hackers van de Nederlandse geheime dienst proberen permanent om vijandige computersystemen binnen te dringen. Routers en firewalls zijn favoriet: daar zitten zoveel zwakke plekken dat ze er altijd wel in kunnen. Eén van die vijf gaat met de informatie aan de slag. Hij is iemand met buitengewone hackkennis, de Nederlandse troef. Hij weet diep door te dringen in Rusland en komt uiteindelijk in een universiteitspand aan het Rode Plein in Moskou terecht. Hij dringt het computernetwerk binnen en laat een bestandje achter, een implant.
Het binnendringen van een computernetwerk is precisiewerk: je wilt niet te veel lawaai maken. Daarom laten professionele hackers eerst een piepklein bestandje achter die een eerste verkenning doet: hoe ziet het netwerk eruit, hoeveel pc’s zijn erop aangesloten. Het bestandje stuurt alle informatie terug naar Zoeter
meer. De AIVD-hacker heeft dan nog geen idee waar hij zich bevindt: hij en zijn collega’s denken dat ze in een studentenruimte zijn beland.
Gek is die gedachte niet. Hoewel de AIVD en andere westerse diensten steeds vaker sporen van Russische spionage aantreffen, bestaat er geen eenduidig beeld van hoe de Russen werken. Het is bijzonder complex om uit virussen die in organisaties zitten de precieze werkwijze van hackers af te leiden. Soms bevat zulke software kleine aanwijzingen, zoals de taal waarin de eerste regels van het virus zijn geschreven. Ook kan de gebruikte methode — de wijze van binnendringen of de manier waarop informatie wordt weggesluisd — iets verraden over de herkomst van de hackers. Net als de Britten doen de Russen er bovendien veel aan om hun sporen te wissen en hun identiteiten te maskeren: ze maken gebruik van wisselende computerservers in allerlei landen en ook van ingehuurde hackers die namens Russische diensten aanvallen uitvoeren.
De AIVD denkt in zo’n ruimte te zijn gekomen: een plek waar Russische studenten soms aanvallen uitvoeren voor een Russische geheime dienst. Als de AIVD-hacker meer van het netwerk weet en zich veilig waant, kan hij een volgende implant plaatsen. Een groter bestand dat meer opdrachten kan ontvangen. Deze implant is als het ware een commandopost achter vijandelijke linies. Hij verstopt dit bestandje ergens in het computernetwerk, in het geheugen van een pc bijvoorbeeld. Geheime diensten zorgen ervoor dat ze wereldwijd duizenden van dit soort posten hebben. Die kunnen opdrachten ontvangen en versturen, zoals ‘meld mij eens per dag wat er is gebeurd op het netwerk’ of ‘geef een signaal als er een staatsgeheim document voorbijkomt’.
Deze implants zijn niet zonder risico: commandoposten kunnen ontdekt worden. Daarom kiezen sommige geheime diensten ervoor om elke keer handmatig — via buitgemaakte wachtwoorden bijvoorbeeld — toegang tot het computernetwerk te krijgen en daarna weer te vertrekken. Dan blijft er niets achter.
De AIVD ziet dat aan het computernetwerk ook een beveiligingscamera is gekoppeld. De AIVD-hacker benadert de camera en kijkt of het standaardwachtwoord werkt. Eventueel kan hij in de pc’s van de aangesloten gebruikers ook het wachtwoord zoeken. Als hij toegang krijgt tot de camera, ziet hij dat deze in een ronde gang hangt en gericht is op de toegangsdeur. Iedereen die de ruimte betreedt, wordt vastgelegd door de beveiligingscamera.
De AIVD-hackers zorgen ervoor dat de camera een screenshot kan maken. De kleine bestandjes met foto’s die dat oplevert, parkeren ze ergens in het netwerk en laten ze een voor een naar Zoetermeer sturen. Niet te veel tegelijkertijd, zodat het niet opvalt. Na een paar weken ‘observatie’ doen ze een ongelooflijke ontdekking.
Door de beelden van de beveiligingscamera te analyseren en het gedrag van de groep te bekijken, krijgen de AIVD’ers steeds meer zicht op waar ze zijn. Het is een ruimte in een groter universitair complex. De samenstelling van de groep varieert en ligt meestal rond de tien. Vanaf zes uur ’s ochtends zijn de eerste hackers actief, de meesten werken tot vier uur ’s middags, een paar tot in de avond. De AIVD’ers zien hoge Russische inlichtingenofficieren en bekende hackers het pand betreden. De werkwijze en de gebruikte virussen geven ook iets prijs van de aard van de groep. Het gaat niet zomaar om studenten met technische kennis, het blijkt een beruchte Russische spionagegroep: APT29, ook wel Cozy Bear genoemd.
Het is een ontdekking van jewelste. De normaal vrij ingetogen AIVD’ers, die wel vaker lastige operaties uitvoeren, zijn dolenthousiast. Achter de afgedekte en verduisterde ramen klinkt gejuich. Cozy Bear is veelbesproken, de groep is gespecialiseerd in langdurige spionage en valt internationale organisaties en overheden aan. Verschillende beveiligingsbedrijven analyseren het gedrag en de aangetroffen malware van de groep. Ze ontdekken dat de slachtoffers van Cozy Bear in een aantal sectoren vallen: militair, diplomatiek, telecom, energie.
Hoe vaak Cozy Bear een ministerie of bedrijf aanvalt, blijkt als Kaspersky eerder in 2014 een van hun computerservers analyseert: 84 keer in Georgië, 61 in Rusland, 34 in de Verenigde Staten, 14 in Groot-Brittannië, 8 in India, 4 in Oekraïne. Cozy Bear gebruikt tientallen van dit soort computerservers die permanent wisselen. Hoewel experts en geheime diensten het gedrag van de groep in de gaten proberen te houden, weet niemand waar Cozy Bear zich schuilhoudt of wat de identiteit van de hackers is. Laat staan dat bekend is of ze worden aangestuurd door het Kremlin.
AIVD’ers zitten in het bedrijfsnetwerk en beginnen een eerste indruk te krijgen. Ze opereren zeer voorzichtig: een onbenullige fout kan betekenen dat de Russen de Nederlanders ontdekken. Hoofd van de dienst Rob Bertholee is op de hoogte van de unieke AIVD-toegang maar twijfelt of hij dit zal delen met zijn MIVD-collega Pieter Bindt. Nu beide organisaties samenwerken in de Joint Sigint Cyber Unit vallen de AIVD-hackers ook onder deze nieuwe eenheid. Bertholee is zoals altijd huiverig voor het delen van informatie. Het tekent zijn achterdocht dat het hem weken kost om Pieter Bindt te vertellen dat de AIVD in het computernetwerk van Cozy Bear zit.
Terwijl de AIVD Cozy Bear in Rusland begluurt, verschijnt bij het Russische persbureau Interfax in de middag van 17 juli 2014 een alarmerend bericht. Een passagiersvliegtuig dat onderweg is van Amsterdam naar Kuala Lumpur is boven het oosten van Oekraïne neergehaald. Het vliegtuig is om 15.18 uur van de radar verdwenen en neergestort. Op internet circuleren amateurbeelden van zwarte rookpluimen op een veld bij het Oekraïense plaatsje Hrabove. Kort daarna zijn de eerste smeulende brokstukken van het vliegtuig te zien met daartussen lichamen van passagiers. Al snel is duidelijk dat niemand de crash heeft overleefd: 298 inzittenden, onder wie 193 Nederlanders.
De tragedie leidt in Zoetermeer tot chaos. Inlichtingenmedewerkers haasten zich in de avond naar kantoor. AIVD’ers zoeken naarstig naar beschikbare informatie. De AIVD kampt door bezuinigingen en de aanhoudende dreiging van jihadisme met een tekort aan mankracht. Waardevolle Russisch sprekende analisten zijn wegbezuinigd. In Kiev blijkt geen AIVD-contactpersoon te zitten. In allerijl wordt een oud-werknemer die al met pensioen is naar Oekraïne gestuurd om gaten te dichten.
De ramp duwt de AIVD-toegang tot Cozy Bear naar de achtergrond, maar de AIVD-hackers blijven in het computernetwerk van de Russische spionagegroep zitten. Of ze bruikbare informatie over vlucht MH17 zien, is niet duidelijk. Een andere Russische spionagegroep, APT28 of Fancy Bear, zal zich later actief mengen in de informatieoorlog die ontstaat over MH17. De crash vormt voor Rusland geen aanleiding om de spionageactiviteiten in het buitenland te staken. Integendeel, het land voert de aanvallen verder op. Een paar maanden nadat een AIVD-hacker vanuit Zoetermeer het computernetwerk van Cozy Bear is binnengedrongen, ziet de Nederlandse geheime dienst hoe de Russen hun pijlen op de Verenigde Staten richten.
*
De eerste keer dat ik een snipper informatie krijg over de AIVD-operatie in Moskou, heb ik niet door wat de werkelijke betekenis is. Ik zit met een bron op het terras en vraag naar actuele onderwerpen.
Het is de zomer van 2017 en bekend is dat Rusland zich met digitaal geweld in de Amerikaanse verkiezingsstrijd heeft gemengd. De Russen hebben de Amerikaanse presidentsverkiezingen beïnvloed en kandidaat Donald Trump geholpen. Vanachter computers in Rusland bestookten ze Amerikaanse burgers, stemcomputers en de Democratische Partij. Ze hoefden daarvoor niet naar de Verenigde Staten: het verkeersnetwerk bracht ze met één klik van Moskou naar Washington.
De Russen zetten een arsenaal aan digitale wapens in. Via sociale media wakkeren ze maatschappelijke tegenstellingen aan. Honderden veelal jonge Russen werken daarvoor in shifts van twaalf uur in een kantoorgebouw in Sint-Petersburg. Ze ontvangen opdrachten om berichten, afbeeldingen en video’s te plaatsen. Soms creëren ze zelf ophef, soms haken ze erop in. The New York Times beschrijft hoe geraffineerd de Russen te werk gaan.
Bewoners van een plaatsje in Louisiana ontvangen op een ochtend in 2014 zorgwekkende sms-berichten. ‘Giftige stof vrijgekomen. Waarschuwing actief. Zoek dekking en check updates bij lokale media.’ Wie op Twitter kijkt, ziet dat de melding serieus is. Honderden accounts rapporteren een explosie van een chemische fabriek in de buurt. ‘Krachtige explosie paar kilometer verderop,’ tweet ‘Jon Merrit’. Een ander tw
eet een foto van vlammen. Weer een ander plaatst een video waarop de explosie zelfs te zien is. Lokale en landelijke journalisten krijgen meldingen van de explosie. Ze worden ‘getagd’ in berichten. Het nieuws verspreidt zich razendsnel. Iemand post een ‘screenshot’ van de homepage van CNN: de nationale nieuwszender heeft de explosie ook opgemerkt en er landelijk nieuws van gemaakt. Op YouTube verschijnt een video waarin een man naar Arabische zenders kijkt, waarna een verklaring volgt van gemaskerde IS-leden die de verantwoordelijkheid opeisen. Wikipedia heeft al een eigen pagina over de ramp, lokale en regionale media berichten er op sociale media eveneens over.
Het is allemaal nep. In een paar uur versturen tientallen nepaccounts honderden tweets, afbeeldingen en in scène gezette video’s. Het is een gecoördineerde desinformatiecampagne vanuit de trollenfabriek in Sint-Petersburg. De berichten veroorzaken paniek: bewoners bellen hulpdiensten en vertegenwoordigers van de chemische fabriek. Het is de taak van de jonge Russen om onrust te veroorzaken en tweespalt te zaaien.
Zoiets gebeurt ook na het neerhalen van MH17. De twee dagen na de crash zijn nog steeds de drukste dagen van de trollenfabriek ooit met meer dan 100.000 verstuurde berichten. De ochtend na de ramp begint de duidelijke beïnvloeding, laat onderzoek van De Groene zien. Dan lanceren de trollen drie Russischtalige hashtags — #kiev-heeft-boeing-neergeschoten, #kiev-provocatie en #kiev-spreek-de-waarheid — die de schuld van de ramp bij Oekraïne leggen.
Ook tijdens de Amerikaanse presidentsverkiezingen zetten Russische trollen deze methode in. Met nepadvertenties en opruiende berichten mengen ze zich in de verkiezingsstrijd. In twee jaar tijd plaatsen Russische accounts tachtigduizend berichten op Facebook die het Amerikaanse volk op het spoor van Donald Trump moet zetten, een man die minder vijandig tegenover Rusland staat dan andere kandidaten. 40 procent van de Amerikanen ziet deze Russische berichten. Tegelijk vallen Russische hackers de Amerikaanse kiessystemen in twintig staten aan. In Illinois stelen ze de gegevens van 90.000 Amerikaanse kiezers, in Arizona dringen ze een lokaal kieskantoor binnen, in Tennessee een overheidswebsite en in Florida een IT-bedrijf.
Het is oorlog maar niemand die het ziet Page 17