Het is oorlog maar niemand die het ziet
Page 18
De hevigste aanval is die op de Democratische Partij. Cozy Bear en Fancy Bear dringen het netwerk van het bestuur van de partij binnen. Ze observeren en zoeken naar belastende informatie over de Democratische presidentskandidaat Hillary Clinton. Fancy Bear steelt bijna 20.000 e-mails die later via WikiLeaks worden gepubliceerd. De e-mails zijn schadelijk voor de top van de partij en voor Clinton. De Amerikanen zijn volledig overrompeld door de Russische inmenging; geheime diensten kunnen de online-agressie niet stoppen. Een ‘digitaal Pearl Harbor’ volgens Amerikaanse media.
De Russische bemoeienis dreunt lang na. Wist presidentskandidaat Donald Trump dat de Russen hem hielpen? Of iemand in zijn directe nabijheid? Wat is er bekend van ontmoetingen tussen Trump-vertrouwelingen en Russen? Nieuwsuur-journalist Eelco Bosch van Rosenthal en ik proberen erachter te komen. Eerder werkten we samen bij het interview met Edward Snowden in Moskou. Nu doen we dat weer: hij heeft goede contacten in de Verenigde Staten, ik in de inlichtingenwereld.
De gesprekken die we voeren leveren lange tijd niets op. We vermoeden dat er een ontmoeting in Nederland is geweest met een Russische spion en een Trump-vertrouweling, maar het bewijs daarvoor is dun. Hooguit een paar vage geruchten en halve bevestigingen. Als ik in de zomer van 2017 een nieuwe poging waag bij een bron, lijkt die voor de zoveelste keer op niets uit te draaien. We spreken daarom maar over andere onderwerpen. Maar als het gaat over digitale spionage zegt deze bron tussen neus en lippen door dat Nederland iets heeft gezien van de hack op de Democratische Partij.
Mijn gedachten gaan naar de vele Nederlandse datacentra en het Amsterdamse internetknooppunt. Het zou niet vreemd zijn als de Russische hackgroepen bewust of onbewust hun aanval via Nederland lieten gaan: bijvoorbeeld doordat ze een VPN-server gebruikten die toevallig in Nederland stond. Nederlandse geheime diensten zouden die VPN-server dan weer kunnen tappen en zien waar de Russen mee bezig zijn. De bron wil er verder geen woord over loslaten.
Als ik erover begin bij andere bronnen, ontmoet ik vooral ongeloof. Het lijkt erop dat niemand dit gerucht heeft gehoord. Klopt de informatie wel? Of maak ik een denkfout?
Eelco probeert het ook bij Amerikaanse bronnen. Het houdt ons maanden bezig. Al die tijd ga ik ervan uit dat Nederland iets gezien moet hebben omdat de Russische hacks via Nederlandse datacentra gingen. Dat vermoeden wordt versterkt als ik op een ander opzienbarend verhaal stuit.
Het gaat over een ogenschijnlijk oninteressante computerserver bij hostingprovider Leaseweb. In 2011 stuurt de Amerikaanse FBI een verzoekje naar Nederland: kan de Nederlandse politie misschien een computerserver tappen die in een datacenter in de Waarderpolder staat, net buiten Haarlem op het industrieterrein bij IKEA? Er zouden belangrijke gegevens over een drugskartel op staan. Het Team High Tech Crime stuurt een specialist naar de Waarderpolder. Die sluit een tap aan en laat de data van de computerserver naar het politiekantoor in Driebergen gaan. Daar wordt de versleutelde communicatie weer doorgestuurd naar de FBI.
Anderhalf jaar lang gaat het zo. Elke vier weken wordt een nieuw verzoek gedaan — een wettelijke verplichting — en wordt de tap verlengd. Voor het Team High Tech Crime is het een peulenschil: een simpele handeling waarmee ze de data doorsturen naar de Amerikanen. De politie kent het belang van de afluisteroperatie maar ten dele. Ze weten dat de computerserver een zogeheten BES-server is waarop de communicatie van BlackBerry’s staat. Als de politie de tap afsluit bij Leaseweb krijgt een betrokkene te horen dat de BlackBerry-server bij het Sinaloa-kartel uit Mexico hoorde — de beruchtste drugsbende ter wereld. Leaseweb mag zelf beslissen of het de server afsluit of niet. Het Amerikaanse advies is om de server nog even operationeel te houden. ‘Anders gaan er wat mensen dood in Mexico,’ krijgt een Leaseweb-medewerker te horen.
Pas als de operatie afgelopen is, wordt het echte belang ervan duidelijk. Begin 2014 komen twee FBI’ers naar het Landelijk Parket in Rotterdam. In een presentatie leggen ze de top van de Nederlandse politie uit waarom ze per se die BES-server in het datacenter buiten Haarlem wilden tappen.
De FBI was in contact gekomen met een IT-specialist. Een man van eind twintig die de communicatie voor de top van het Sinaloa-kartel verzorgde. Hij gebruikte daarvoor BlackBerry-telefoons, die lang populair waren bij criminelen vanwege hun ogenschijnlijke veiligheid: berichten en gesprekken worden versleuteld en de encryptiesleutels zijn op te slaan op een eigen computerserver. Staat die computerserver buiten het zicht van opsporingsdiensten, dan staat de politie met lege handen.
De FBI krijgt deze IT’er in het vizier, weet de man naar een hotelkamer in New York te lokken en stelt hem voor de keus: samenwerken met de FBI én strafvermindering of een lange gevangenisstraf. Hij kiest het eerste en gaat undercover voor de FBI werken. De Amerikaanse opsporingsdienst heeft zo een voet tussen de deur: via de IT’er weten ze waar de BlackBerry-server staat en krijgen ze de sleutels om de communicatie van het Sinaloa-kartel te ontcijferen.
Er is nog één probleem: de BES-server staat in Canada. Dat land heeft behoorlijk strenge privacywetgeving. Het is niet mogelijk om zomaar de server te tappen en alle communicatie naar de FBI te sturen. De gerekruteerde IT’er moet het ding in een ander land neerzetten. De Verenigde Staten zelf is geen optie: dat zou op kunnen vallen en de Amerikanen kennen ook relatief strenge voorwaarden voor het tappen van computerservers. Voordat de FBI in de Verenigde Staten kan tappen moet duidelijk zijn wat die tap oplevert. Omdat de Amerikanen en Nederlanders intensief samenwerken en Nederland wat soepeler omgaat met tapverzoeken — een verdenking van een strafbaar feit is al voldoende — laat de FBI de server in het datacenter van Leaseweb, net buiten Haarlem, plaatsen.
Aan Nederland de vraag het ding te tappen en alle gegevens naar de FBI te sturen. Als de FBI de ontvangen data ontsleutelt, menen FBI-onderzoekers zelfs de stem van de baas van het kartel te horen. Dat is Joaquín Guzmán Loera, beter bekend als ‘El Chapo’ — de meest gezochte drugscrimineel ter wereld. In de afgeluisterde telefoongesprekken is te horen dat hij instructies geeft aan handlangers. De Amerikaanse en Mexicaanse opsporingsdiensten maken al sinds de jaren tachtig jacht op El Chapo. Hij is een obsessie voor ze: meerdere keren namen ze hem gevangen, even zo vaak wist hij te ontsnappen. Eenmaal dankzij een anderhalve kilometer lange tunnel die door handlangers op tien meter diepte was uitgegraven en uitkwam in de douche van zijn cel. De tunnel was van lampen en rails voorzien en middels een karretje op de rails zoefde El Chapo zijn vrijheid tegemoet.
De FBI vergelijkt de stem met een interview dat El Chapo op een schuilplaats heeft gegeven aan de Amerikaanse acteur Sean Penn. Er is een match. ‘Voor het eerst in minimaal vijf jaar horen de Amerikanen de stem van El Chapo,’ zegt een bron. Honderden telefoontjes van de drugscrimineel blijken door een datacenter in een polder bij Haarlem te gaan. Dankzij de Nederlandse hulp krijgt de FBI zicht op het leefpatroon van de drugsbaas. De afluisteroperatie verloopt na een tijdje zo soepel dat als El Chapo een handlanger belt de FBI een dag later de data uit Haarlem al heeft ontvangen, ontsleuteld en beluisterd.
Zoiets moet ook zijn gebeurd bij de Russische aanval op de Democratische Partij, ik zie geen andere optie. De AIVD of MIVD heeft een tip gekregen of is bij toeval op een computerserver in Nederland gestuit die werd gebruikt door Russische hackers. Maar bij wie Eelco en ik het ook navragen: niemand heeft ooit van zoiets gehoord. Het mysterie wordt er alleen maar groter door.
*
De Russische hackers merken de Nederlandse commandopost in hun netwerk niet op. Ook na een paar maanden kijken de AIVD-hackers nog mee in het computernetwerk van Cozy Bear. Ze zien dat de Russen zich opmaken voor een aanval. Dat ze mails schrijven in keurig Engels en die sturen naar Amerikaanse e-mailadressen die op @state.gov eindigen: die zijn van medewerkers van het Amerikaanse ministerie van Buitenlandse Zaken.
Een phishing mail vormt vaak de eerste fase van een aanval: de hackers weten welke personen ze moeten hebben en sturen mailtjes als lokaas. Klikt een doelwit op een bijlage, dan installeert een eerste vorm van malware zich. Zo stelen ze bijvoorbeeld inloggegevens. Het lukt de Russische hackers het niet-geclassificeerde deel van h
et computernetwerk van het Amerikaanse ministerie van Buitenlandse Zaken binnen te komen.
De Nederlanders zien de aanval en waarschuwen hun Amerikaanse partners. De AIVD informeert de NSA-contactpersoon op de Amerikaanse ambassade in Den Haag. Die alarmeert direct verschillende Amerikaanse diensten: NSA, CIA en FBI. Als speciale technisch experts van de Amerikaanse diensten proberen om de Russen uit het ministerie te krijgen, reageren de Russen door vanaf andere plekken aan te vallen.
Er volgt een digitale veldslag zoals niet eerder is vertoond. Russische aanvallers proberen het ministerie verder binnen te dringen en de verdedigers — teams van de FBI en de NSA — vechten terug met behulp van Nederlandse inlichtingen. Dit gevecht duurt 24 uur. De Russen zijn enorm agressief. Wat ze niet weten, is dat ze ondertussen worden bespied door de Nederlandse AIVD. De NSA en FBI kunnen dankzij de Nederlandse spionage vliegensvlug op de vijand reageren. De Nederlandse informatie is zo cruciaal dat de NSA een directe communicatielijn opent met Zoetermeer, om de inlichtingen zo snel mogelijk naar de Verenigde Staten te krijgen.
De Russen proberen via zogeheten command and control-servers, computerservers die een hack aansturen, een link te leggen met de malware in het ministerie, om zo opdrachten te geven. De Amerikanen, die van de Nederlanders de ip-adressen van deze commandoservers doorkrijgen, snijden telkens de toegang tot die servers af door elke verbinding vanuit het ministerie met zo’n ip-adres te blokkeren, waarna de Russen weer nieuwe commandoservers openen. Bronnen vertellen naderhand tegen CNN dat het de ‘ergste digitale aanval ooit’ is op de Amerikaanse overheid. Het ministerie moet een weekend lang de toegang tot het e-mailsysteem afsluiten om de beveiliging op orde te krijgen.
Uiteindelijk lukt het de Amerikanen de Russen uit het ministerie te werken, maar dan hebben de hackers hun toegang tot Buitenlandse Zaken al gebruikt om iemand in het Witte Huis te mailen. Diegene denkt dat hij een mail krijgt van iemand van Buitenlandse Zaken — het e-mailadres klopt. De link opent een website waarop de Witte Huis-medewerker zijn inlogcode invoert, die vervolgens in handen komt van de Russen.
De Russen dringen nu ook de computerservers van het Witte Huis binnen en bereiken zelfs de servers die mails van Barack Obama bevatten. Ze komen niet bij de communicatie van zijn persoonlijke BlackBerry waar staatsgeheimen op staan, vertellen bronnen later aan The New York Times, maar wel bij het e-mailverkeer met ambassades en diplomaten, agenda’s, notities over beleid en wetgeving. De hackers van de AIVD zien het allemaal gebeuren en wéér waarschuwen AIVD en MIVD hun Amerikaanse partners: let op, de Russen hacken jullie nog steeds.
De aanvallen houden aan. De hackers van Cozy Bear bestoken ook het belangrijkste militaire adviesorgaan van de Verenigde Staten, de Joint Chiefs of Staff. Daarin zitten de militaire leiders, zoals de hoogste officieren van marine, luchtmacht en landmacht. Deze digitale aanval is zo hevig en de Russen dringen zo diep door in de Amerikaanse servers dat delen van het netwerk moeten worden afgesloten. De belangrijkste Amerikaanse militaire adviseurs kunnen elf dagen niet bij hun werkmail.
De AIVD-hackers kijken nu een jaar mee in het computernetwerk in het pand op het Rode Plein. Hun commandopost blijft al die tijd onopgemerkt. Dankzij de screenshots van de beveiligingscamera krijgt de AIVD een steeds beter zicht op de groep hackers. Het aantal leden wisselt maar het zijn er zelden meer dan tien. De AIVD herkent spionnen van Ruslands buitenlandse veiligheidsdienst SVR. De SVR voert militaire, strategische en economische spionage uit. Het hoofd van de SVR wordt benoemd door de Russische president. President Poetin kan geheime orders aan de SVR geven zonder het parlement in te lichten.
Voortdurend vallen de hackers van Cozy Bear de Amerikaanse overheid aan. De agressie neemt na de annexatie van de Krim en de Amerikaanse reactie daarop — het instellen van sancties — alleen maar toe. In de zomer van 2015 begint de aanval op de Democratische Partij. De AIVD-hackers zien het gebeuren. Live. Wéér waarschuwen AIVD en MIVD hun Amerikaanse collega’s.
Een FBI-agent belt in september het bestuur van de Democratische Partij. Hij wil waarschuwen dat de Russen in het netwerk zitten, maar wordt doorgezet naar de helpdesk. Daar krijgt hij Yared Tamene, een ingehuurde IT’er, aan de lijn. Deze Tamene heeft nauwelijks verstand van digitale aanvallen. Na het telefoontje van de FBI zoekt hij op Google informatie over ‘APT29’, ‘Cozy Bear’ en ‘Dukes’, zoals de groep Russische hackers ook wordt genoemd. Hij kijkt vluchtig in de logbestanden van het computernetwerk naar aanwijzingen van de hack. Echt goed zoeken doet hij niet, schrijft The New York Times later, zelfs niet als de FBI-agent in de weken daarna blijft terugbellen: Tamene twijfelt of hij wel een echte FBI-agent aan de lijn heeft of dat iemand een grap uithaalt.
Dus gebeurt er niets. De waarschuwende telefoontjes van de FBI krijgen geen vervolg: de Russen blijven in het netwerk en lezen e-mails en interne documenten van het bestuur van de Democraten. Vierenveertig jaar na de inbraak in het Watergatecomplex, het hoofdkantoor van de Democratische Partij, wordt er opnieuw ingebroken bij de Democraten. In 1972 worden de vijf inbrekers op heterdaad betrapt en twee jaar later treedt de Republikeinse president Richard Nixon, opdrachtgever van de diefstal, af. Nu betrapt Nederland de inbrekers, maar de Democraten doen niets. De Russen kunnen ongestoord hun gang gaan, tot ongeloof van de AIVD’ers.
Na het voorwerk en de uitgebreide spionage door Cozy Bear nemen hackers van Fancy Bear het negen maanden later over. Fancy Bear, gelieerd aan de Russische militaire veiligheidsdienst GROe, gaat ook het netwerk van de Democraten binnen, steelt tienduizenden e-mails en stuurt die via een tussenpersoon naar het klokkenluidersplatform WikiLeaks. Pas als de e-mails naar buiten komen en schadelijk blijken voor presidentskandidaat Hillary Clinton neemt de Democratische Partij de signalen serieus. Er volgt een uitgebreid intern onderzoek, maar het is al te laat: Rusland heeft zich succesvol gemengd in de Amerikaanse presidentsverkiezingen.
*
Bericht van Eelco. ‘Koffie?’
We hebben dagelijks contact. Mogelijke theorieën over wat Nederland heeft gezien van de hack bij de Democraten, ideeën, nieuwe afspraken: voortdurend sturen we elkaar berichten. Vaak bellen we in de avond ook nog even. Die gesprekken zijn een poging greep te krijgen op het verhaal: we doorlopen talloze scenario’s, vaak zonder concrete uitkomst.
Als er nieuwe informatie is treffen we elkaar op een vaste plek. Eelco heeft via Amerikaanse bronnen een bevestiging gekregen: Nederland heeft inderdaad belangrijke informatie over de hack bij de Democraten aan Amerikaanse inlichtingendiensten gegeven. Opgewonden gaan we na wat dit betekent. We maken een lijst met mogelijke nieuwe bronnen: diplomatieke bronnen, inlichtingenbronnen, Amerikaanse bronnen. Mensen die het kúnnen weten.
Van sommigen kennen we alleen de functie. Een liaison op een ambassade bijvoorbeeld. Om toch een naam te vinden, maken we ook een lijst van mensen die zo’n naam kunnen weten. Met een paar personen voeren we in de weken daarop ‘schijngesprekken’: een gesprek over een ander thema. Terloops vragen we naar de naam van de bron. Van één iemand hebben we een roepnaam. Dat werkt: een persoon slaat erop aan en kent zijn volledige naam. Maar de persoon die we zoeken, blijkt niet te vinden via Google, sociale media, of openbare registers. Dan, na weken zoeken, levert het toch een hit op in een heel oud register, waarna we een adres kunnen vinden. Omdat deze mogelijke bron niet in Nederland woont, vragen we een goed contact om een brief bij hem te bezorgen.
Maandenlang sukkelt het voort. Gesprekken leveren nauwelijks nieuwe informatie op, bronnen zijn op hun hoede. Na vier maanden nemen we de gok en gaan we naar Washington. Een helder plan hebben we niet, we bellen zo veel mogelijk Amerikaanse oud-inlichtingenmedewerkers en digitale experts en maken afspraken. We spreken zo’n tien personen en gaan zelfs naar het huis van James Clapper, de net-afgetreden director of national intelligence — de machtigste inlichtingenman van de Verenigde Staten. Als de Nederlandse diensten nuttige inlichtingen aan de Amerikanen hebben verstrekt, moet Clapper het weten, is onze gedachte. De imposante Clapper, in tuinkleding, staat stomverbaasd in de deuropening als we vertellen dat we journalisten uit Nederland zijn. Witheet blaft hij ons
toe dat hij ‘in vijftig jaar’ nog nooit journalisten aan zijn deur heeft gehad en dat hij er ook niet erg van gediend is. ‘Get out!’ schreeuwt hij. We lopen vlug zijn erf af.
De gesprekken in Washington leveren uiteindelijk twee nieuwe inzichten op. Het eerste: de AIVD en MIVD konden meekijken bij de Russische hackgroep Cozy Bear. Het tweede: de Nederlandse inlichtingendiensten zagen daardoor ook Russische aanvallen op het Amerikaanse ministerie van Buitenlandse Zaken, het Witte Huis en de Joint Chiefs of Staff. De Nederlandse hulp was zo waardevol dat de Amerikanen ‘taart en bloemen’ naar de AIVD in Zoetermeer stuurden. Ook kregen de Nederlandse diensten er nuttige inlichtingen voor terug: onder meer over Mali, Noord-Korea en Iran.
Met die informatie gaan we verder in Nederland. Via een versleuteld kanaal krijgen we uiteindelijk meer details. Na zeven maanden is ons verhaal rond. Net als we de publicatie voorbereiden en ik contact wil opnemen met de AIVD en Amerikaanse ambassade voor weerwoord, krijg ik een verontrustend sms-bericht.
10
Porno en Rolls-Royce
Ineens is-ie weg. Floep. Drie jaar blijft de commandopost van de AIVD in het computernetwerk van Cozy Bear ongezien, tot de AIVD-hackers op een dag geen verbinding meer kunnen leggen. Abrupt komt een einde aan de Nederlandse spionage op het Rode Plein.
De oorzaak: een adjunct-directeur van de NSA, Richard Ledgett, heeft in april 2017 op een veiligheidscongres verteld dat de Amerikanen dankzij een ‘westerse bondgenoot’ de Russen uit het ministerie van Buitenlandse Zaken konden werken. De Nederlanders zijn woedend. MIVD-hoofd Pieter Bindt en AIVD-hoofd Rob Bertholee beklagen zich bij Amerikaanse collega’s. ‘Heel vervelend’, ‘ergerlijk’, ‘typisch Amerikaanse arrogantie’, zeggen bronnen later over de Amerikaanse loslippigheid. Waarom zou je zo’n waardevolle operatie verknallen door er openlijk op een congres over te vertellen? Het zet de relatie met de Amerikanen — die door de Snowden-onthullingen en de verkiezing van Donald Trump toch al een knauw kreeg — nog meer onder druk.