Het is oorlog maar niemand die het ziet
Page 21
Waar bronnen en experts normaal een mogelijke verklaring hebben, zoeken zij nu ook koortsachtig naar antwoorden. Iedereen lijkt verrast. Een maand eerder gingen in 150 landen ook al computers op zwart. De Britse National Health Services werd zo hard geraakt dat ziekenhuizen alleen spoedeisende patiënten opnamen. Ambulances reden niet meer uit. Duizenden operaties werden uitgesteld. MRI-scanners functioneerden niet, koelingen voor bloedonderzoek waren ontregeld.
Is deze aanval afkomstig van dezelfde daders? Ook nu starten computers spontaan op en tonen een zwart scherm met de melding ‘Ooops, your important files are encrypted.’ In getroffen kantoren valt de ene na de andere computer uit, alsof ze elkaar aansteken. Beeldschermen op complete kantoorafdelingen gaan op zwart. Zwart, zwart, zwart, zwart. Medewerkers die het zien en wanhopig de stekker uit hun computer willen trekken, zijn te laat. Het gaat razendsnel. Opnieuw opstarten heeft geen zin; de computers zijn vergrendeld en doen niets meer.
De melding die op de tienduizenden computers verschijnt, duidt op gijzelsoftware: de aanvallers eisen 300 dollar. Na betaling kunnen de slachtoffers weer bij hun bestanden. Maar diegenen die geld overmaken, komen er al snel achter dat er helemaal niets gebeurt. Hun computersystemen liggen in gruzelementen.
Om te weten wat er in de Rotterdamse haven gebeurde, moet ik eerst op zoek naar het epicentrum van de aanval — de oorsprong van de wereldwijde ontwrichting.
*
Beveiligingsbedrijven die de besmettingen registreren, zien iets bijzonders: de meeste infecties zitten in Oekraïne. Meer dan 90 procent van de getroffen plekken ligt in dat land. Banken gaan er plat, pinnen is niet meer mogelijk, het metronetwerk valt uit, net als vliegvelden, postkantoren en zelfs de kerncentrale van Tsjernobyl.
Om te begrijpen wat daar gebeurt, vlieg ik met collega Tom Kreling naar Kiev. Daar treffen we de Schot Jock Mendoza Wilson. Hij werkt bij SCM, het grootste bedrijf van Oekraïne dat onder meer eigenaar is van telecomprovider Urktelecom en houdt kantoor bij het beroemde St. Michaëlsklooster. De guitige Schot vertelt hoe de 27ste juni verliep.
Vlak voor één uur ’s middags stormde zijn assistente Knesia de kamer binnen en gilde dat hij zijn computer uit moest zetten. Wilson twijfelde niet, helde naar links en trok met een ferme ruk de witte netwerkkabel eruit. Daarna bleef hij stil zitten. Alsof hij wilde luisteren of de indringer tot zijn computer was doorgedrongen of nog spartelend in de netwerkkabel hing.
Toen belde de IT-afdeling: ‘SCM is getroffen en niemand mag meer aan zijn computer zitten.’ Wilson denkt aan de e-mails die hij nog had willen sturen, de opdracht waar hij vier maanden mee bezig was en die hij nu misschien kwijt is. Toen hij daarna door de marmeren entree naar buiten liep, in de auto plofte en zijn chauffeur de Russische nieuwsberichten op de radio voor hem vertaalde, begreep hij dat heel Oekraïne platlag.
Op straat merkte Wilson direct dat er een vreemde stilte hing. Een kalmte die er gewoonlijk op een zondag is, niet op een doordeweekse dag zo vlak voor de nationale feestdag van 28 juni. Wilson was bezorgd. Kan ik nog bij m’n geld? Kunnen vliegtuigen nog opstijgen en landen? ging door z’n hoofd.
Thuis zocht hij naar berichten in westerse media. De BBC meldde dat verschillende bedrijven in Duitsland, Nederland en de Verenigde Staten zijn getroffen. Wilson belde ondertussen met vrienden en zakelijke relaties. Hij heeft nog nooit een digitale aanval meegemaakt. Het geeft hem nog altijd een gevoel van diepe onzekerheid. Hij realiseert zich hoe kwetsbaar hij is zonder elektriciteit, water en ziekenhuis. Hoe afhankelijk hij is van telefoon, computer, vliegveld en geld. Wat zal er straks nog meer uitvallen? vraagt hij zich vertwijfeld af.
De economische schade in Oekraïne is groot, vertelt Dmytro Sjymkiv verderop in zijn werkkamer van het presidentiële paleis. Hij is de voormalige CEO van Microsoft Ukraine en is nu de belangrijkste technisch adviseur van president Petro Porosjenko. Hij zegt dat het virus ‘10 procent’ van de systemen in zijn land heeft geraakt. Sommige banken moeten al hun computers vervangen. Omdat het virus zich na een infectie verspreidt in een netwerk, veroorzaakt het opstarten van computers telkens weer nieuwe ellende. Ukrsotsbank geeft noodgedwongen instructies via het brandalarm om te zorgen dat de duizenden werknemers hun pc’s niet opstarten.
Sjymkiv: ‘In de officiële cijfers staat iets van 12.000 geïnfecteerde pc’s, maar het is veel omvangrijker. Sommige bedrijven verliezen 60 tot 80 procent van hun ICT-infrastructuur.’
Terwijl presidentsadviseur Sjymkiv een das uit zijn bureaula grist — zijn baas, de Oekraïense president Porosjenko, heeft zo een conference call met Vladimir Poetin en de staf van de president dient er netjes uit te zien — reconstrueren we de aanval van 27 juni. Hij vertelt wat hij weet over de aanloop ernaartoe. Hopelijk zit daarin een aanwijzing naar de daders en hun motieven. En misschien wel een verklaring voor de stilgevallen Rotterdamse haven. Sjymkiv begint met uit te leggen dat het boekhoudprogramma M.E.Doc een populair programma in Oekraïne is. De software wordt door 80 procent van de bedrijven in Oekraïne gebruikt. Het is ontwikkeld door een klein familiebedrijf, Intellect Service, uit Kiev. M.E.Doc is nuttige software voor de boekhouding en voor het doen van belastingaangifte.
Sjymkiv vertelt dat hackers Intellect Service langdurig hebben aangevallen en wisten hoe ze binnen konden komen. Hoewel het bedrijf software levert die op een miljoen computers draait, is het familiebedrijfje lang niet zo robuust beveiligd als de bekende Amerikaanse softwaremakers.
In april, drie maanden voor de aanval van 27 juni, weten de aanvallers het updateproces van M.E.Doc te manipuleren. Dat biedt ze grote mogelijkheden: bij een nieuwe update kunnen de hackers eigen software toevoegen. Bijvoorbeeld om te spioneren. Bij een volgende update van M.E.Doc installeren gebruikers ongemerkt ook de spionagesoftware van de aanvallers. Sjymkiv: ‘400.000 bedrijven gebruiken M.E.Doc. Alle waardevolle informatie van een bedrijf staat in een accountantsysteem.’ Een ware goudmijn voor de aanvallers.
Twee maanden duurt de spionage. Dan wijzigen de aanvallers van koers. Ze kunnen nog maanden of jaren ongezien in het boekprogramma meekijken, maar kiezen voor een gewaagder plan. Via M.E.Doc lanceren ze, vlak voor de Oekraïense feestdag, een sabotagevirus. Het doel: chaos creëren bij de vijand. Door het virus via het boekhoudprogramma te verspreiden, zijn de aanvallers verzekerd van een groot aantal Oekraïense slachtoffers.
Dmytro Sjymkiv schuift zijn zware bureaustoel naar achteren, staat op en excuseert zich: hij moet nu echt naar de president. We vragen hem nog snel naar de daders. Sjymkiv: ‘Wie is er geïnteresseerd in onze financiële gegevens en wil bedrijven kapotmaken? Het is de klassieke Russische werkwijze: je verbrandt niet alleen het huis, maar meteen het hele dorp.’
De analyse van Sjymkiv wordt gedeeld door internationale beveiligingsbedrijven en verschillende overheden van getroffen landen: de aanval begon bij M.E.Doc en het virus verspreidde zich daarna razendsnel over de wereld. Maar wie zijn de veronderstelde Russische daders? En wat is hun motief?
*
Als de daders uit Rusland komen, dacht ik altijd aan twee groepen: of ze horen bij Cozy Bear — de spionagegroep waar de AIVD jarenlang meekeek — of bij Fancy Bear. Cozy Bear hoort bij de buitenlandse veiligheidsdienst van Rusland, de SVR, en Fancy Bear wordt aangestuurd door de militaire inlichtingendienst GROe. Twee hackgroepen, twee mogelijkheden.
Bronnen zeggen dat het niet Cozy Bear was. En ze zijn ook niet zo zeker van Fancy Bear. Kennelijk klopt mijn beeld van Russische hackers niet meer. Daarom zoek ik contact met onder anderen (oud-)medewerkers van de MIVD. Zij zijn gespitst op de activiteiten van Fancy Bear. Wat weet de MIVD over de aanval op Oekraïne?
Bronnen leggen me uit dat de MIVD sinds 2014 de online acties van hackers van de militaire dienst GROe volgt. Lange tijd werden die hackers door beveiligingsbedrijven en geheime diensten Fancy Bear genoemd, maar dat was een te algemene benaming. Wie beter naar de verschillende acties ging kijken, ontdekte twee soorten militaire hackers. De hackers van unit 26165 en unit 74455. De eersten zijn van het spioneren, de laatsten van het saboteren en ontwrichten. Hun doelwitten vallen naadloos samen met die van de Russische over
heid: NAVO-landen, Oost-Europese regeringen, politieke tegenstanders van het Kremlin.
De MIVD is al langer ongerust over de agressievere 74455. In de eerste maanden van 2015 ontdekken specialisten van de dienst op een industriegebied in het Drentse Meppel een aanvalscomputer. Tussen weilanden en naast de spoorlijn Zwolle-Groningen staat een loods vol computers — een datacenter van een Nederlands bedrijf. De MIVD heeft verdacht verkeer gezien en is zo op het spoor gekomen van de computerserver. Als de specialisten een tap aansluiten en het internetverkeer bekijken, reageren ze ontsteld.
Via de computerserver sturen Russische hackers aanvallen in Oost-Europa aan. Ze proberen elektriciteitscentrales in Oekraïne binnen te komen om een sabotagevirus achter te laten. Ook vallen ze Oekraïense televisiestations binnen en laten een virus los dat alle bestanden overschrijft. Documenten, video- en audiobestanden worden gewist zodat journalisten niet over de lokale verkiezingen kunnen berichten. MIVD’ers zien voor het eerst de daadkracht van unit 74455: internet gebruiken om een land te destabiliseren en pogen te ontwrichten.
Later dat jaar merken bewoners in Oekraïne opnieuw de impact. In de koude namiddag van 23 december 2015 ziet een medewerker van een energieleverancier in West-Oekraïne de cursor op zijn beeldscherm in beweging komen. Zonder dat de man iets doet, klikt zijn muis een scherm open en haalt een elektriciteitsstation offline. Duizenden inwoners komen zonder stroom en water te zitten.
De medewerker rent naar zijn computer, zo beschrijft het Amerikaanse tijdschrift Wired later, en grijpt wanhopig zijn muis vast. Maar wat hij ook doet — de cursor reageert niet op zijn handelingen en gaat stoïcijns door met het offline halen van elektriciteitsstations. Elke keer als een station wordt uitgeschakeld, gaat bij duizenden inwoners het licht uit. De medewerker probeert te voorkomen dat weer een volgend station offline gaat, maar ziet hoe de computer hem uitlogt. Als hij weer in wil loggen, gaat dat niet meer: de onzichtbare aanvaller heeft zijn wachtwoord gewijzigd. Hij kan niets anders doen dan machteloos toekijken hoe de stroom wordt uitgezet.
Bijna zestig stations schakelt de aanvaller uit, een voor een. Meer dan 230.000 mensen hebben geen elektriciteit en water meer. Ook de vervangende stroomfaciliteiten worden onklaar gemaakt en callcenters van energiebedrijven worden overspoeld met duizenden automatische telefoontjes waardoor ze overbelast raken. In 103 steden en dorpen in Oekraïne is het pikdonker, in nog eens 186 steden valt gedeeltelijk de stroom uit. Zes uur lang zitten inwoners in het donker en de kou. Daarna lukt het technici om de stations handmatig weer aan te zetten. Maar de computersystemen geven nog wekenlang storingen doordat de aanvallers na hun daad ook nog computerprogramma’s hebben beschadigd.
Tientallen internationale specialisten onderzoeken het voorval. Pas na maanden kunnen ze een eerste reconstructie maken. De aanval blijkt goed te zijn voorbereid en is zorgvuldig gepland. Eerst werd er een phishing mail naar IT-medewerkers van elektriciteitsbedrijven gestuurd. Daarna installeerde zich ongezien de malware waarmee de aanvallers zich toegang verschaften tot de beheernetwerken. Vervolgens waren ze nog één stap verwijderd van de computers die de elektriciteitsstations aansturen.
Die systemen zijn zo cruciaal dat ze niet vanaf een gewoon kantoornetwerk zijn te bereiken. Om er toch te komen, bedachten de aanvallers een truc: ze zochten op de kantoornetwerken naar de gebruikersnamen en wachtwoorden van medewerkers die bij de systemen kunnen. Na maanden gegevens verzamelen, hadden ze de juiste inloggegevens. Toen was het voor de aanvallers een kwestie van wachten op het goede moment: een koude decemberavond.
Oekraïense en westerse geheime diensten wijzen naar Rusland. Ook MIVD’ers vertellen dat ze aan Russische hackers denken. Specifieker: de leden van unit 74455, die eerder dat jaar via Meppel al probeerden om elektriciteitscentrales binnen te komen.
De andere unit van de GROe, 26165, doet meer aan spionage. Ook hun hackers gaan lomp en gericht te werk en zijn druk in de weer met Oekraïne. Zo ontvangen meerdere ambassades in Den Haag op woensdagochtend 1 november 2017 een mail namens de Oekraïense ambassade. Urgent, staat bij het onderwerp.
Dear Sir/Madam!
Please, read the document about recent terrorist attack in New York.
Regards,
Ukraine Embassy.
Bijgevoegd is een Word-document met als onderwerp NewYork Attack By ISIS. Een dag eerder is in New York een man met een pick-uptruck ingereden op voetgangers waarbij acht doden zijn gevallen. De afzender van de mail is de Oekraïense ambassade: emb_nl@mfa.gov.ua, het e-mailadres hebben de aanvallers met een simpel trucje nagebootst.
Wie op het Word-document klikt, krijgt een Windows-melding te zien: This document contains files that may refer to other files. Do you want to update the files in this document? Wie daarna op ‘Yes’ klikt, start een programma dat toegang geeft tot functies van Windows. Die haalt onzichtbaar een bestandje op van een website die van de GROe is. Daarna installeert een backdoor zich en kunnen de hackers een ambassade in Den Haag binnenkomen.
Het domein waarvandaan ze hun aanval uitvoeren — netmediaresources.com — hebben de GROe-hackers op 19 oktober, dertien dagen voor het verzenden van de phishing mail, geregistreerd. Het Word-document met het virus is vier dagen voor de aanval opgesteld en vlak na de aanslag in New York geüpdatet. Klikt er iemand, dan is de GROe binnen. Klikt er niemand, dan beginnen ze de volgende aanval. Hoeveel ambassades besmet raken, is onbekend.
Deze hackers worden wereldberoemd als twee van hen een paar maanden later van Moskou naar Amsterdam vliegen. Ze zijn in het gezelschap van twee inlichtingenmedewerkers en worden door een diplomatiek medewerker van de Russische ambassade in Den Haag van Schiphol opgehaald. Dat alarmeert de MIVD, die bepaalde Russische diplomaten nauwlettend volgt — bijvoorbeeld door telefoons en auto’s van de ambassade te ‘tracken’. Onder de auto’s plaatst de MIVD nauwelijks zichtbare gps-trackers. Het uitlezen daarvan kan handmatig — door eens in de zoveel tijd het ding eraf te halen — maar ook geautomatiseerd door er een auto van de dienst naast te parkeren.
Er is een dwingende reden dat de vier Russen naar Nederland komen. De GROe staat onder druk: een paar weken eerder zijn in een park in het Britse Salisbury een zwaargewonde man en zijn dochter aangetroffen. Ze zaten stuiptrekkend naast elkaar op een bankje, hun ogen rolden, hun armen maakten schokkerige bewegingen. Voorbijgangers dachten aan drugsverslaafden maar de gewaarschuwde Britse politie begreep meteen de ernst van de situatie. De man — de Russische oud-spion Sergej Skripal — en zijn dochter waren besmet met een dodelijk zenuwgas. Ze raakten zwaargewond maar herstelden.
Na de aanslag ontkent Rusland meteen elke betrokkenheid maar in de weken daarna stapelt het bewijs zich op. De Britse regering toont overtuigend aan dat medewerkers van de GROe achter de aanslag zitten. Als Groot-Brittannië de OPCW, de internationale organisatie die het gebruik en verspreiding van chemische wapens tegengaat, vraagt om assistentie bij het onderzoek naar het zenuwgas, wordt Rusland zenuwachtig. Poetin wil niet worden verrast. Daarom richten GROe-hackers hun pijlen op de OPCW, dat in Den Haag is gevestigd.
Ze versturen mailtjes naar tientallen medewerkers, zowel naar mailadressen van de OPCW als privéadressen. De mails gaan over onderwerpen die raken aan het werk van de OPCW en bevatten linkjes naar externe websites of bijgevoegde bijlages. De hackpogingen falen en dus gaan twee GROe-medewerkers en twee hackers zelf naar Den Haag. Een haastklus. Een paar dagen eerder zochten ze via Google naarstig naar informatie over de OPCW. Na aankomst op Schiphol huren de vier een Citroën C3 waarmee ze de dagen erop de omgeving van de OPCW in Den Haag verkennen. Op vrijdag 13 april zetten ze hun auto op de parkeerplaats pal naast het OPCW-gebouw. In de kofferbak ligt specialistische apparatuur om wifiverbindingen te hacken, waaronder een antenne die internetverkeer aantrekt. Omdat de OPCW geen gebruik maakt van extra beveiliging, zoals tweestapsverificatie, zouden de Russen met die gegevens op het netwerk komen. De MIVD, die de vier Russen dagenlang heeft gevolgd, grijpt daarop in.
MIVD’ers die naar de verbouwereerde Russen rennen, zien dat een van hen onmiddellijk zijn smartphone grijpt en kapot probeert te slaan. Dat lukt m
aar half: alleen het beeldscherm raakt beschadigd. De MIVD voorkomt verdere schade aan de telefoon en neemt die direct met alle andere spullen van de Russen in beslag. Stapels bankbiljetten ter waarde van 40.000 euro, telefoons, laptops waarop belastende inlichtingen staan en treintickets naar het Zwitserse Bern. De Russen worden nog dezelfde dag op het vliegtuig naar Moskou gezet.
Een half jaar later treden het hoofd MIVD en minister Ank Bijleveld (Defensie) naar buiten met de details van de operatie. Het is een zeer ongebruikelijke stap voor Nederland om zo open te zijn over een verijdelde hackpoging. Die openheid komt mede door druk van de Verenigde Staten: de Amerikanen klagen GROe-hackers aan voor verschillende hackacties, waaronder de poging bij de OPCW. De Nederlandse persconferentie met camerabeelden van de Russen die aankomen op Schiphol gaat de wereld over. ‘How the Dutch foiled Russian “cyber-attack” on OPCW’, kopt BBC. Washington Post: ‘Russian hackers were caught in the act’.
Wat de MIVD tijdens de persconferentie niet vertelt is dat de Russen niet alleen voor de OPCW naar Den Haag kwamen. Ze verbleven ook een nacht in een hotel in Noordwijk, waar het Europese ruimtevaartcentrum ESA is gevestigd. Tevens gingen ze met hun hackapparatuur naar Rotterdam en hielden zich op in de buurt van het Landelijk Parket. Daar vindt het strafrechtelijk onderzoek naar de crash met MH17 plaats. De MIVD volgde de vier Russen maar greep niet in toen de hackers in de buurt bij het Landelijk Parket kwamen — waarschijnlijk omdat ze met hun afluisterapparatuur op afstand bleven.
De MIVD merkt vanaf 2015 een verandering bij Russische hackers: hun gedrag is sinds de annexatie van De Krim lomper en onvoorspelbaarder geworden. Unit 74455 gebruikt het internet voor militaire aanvallen op elektriciteitscentrales, media en spoorwegen. Als Rusland achter de aanval van 27 juni zit, dan moeten de daders uit deze hoek komen. Sinds de militaire spanningen met Oekraïne is het land vaker doelwit van zware digitale aanvallen. Op strategische momenten is de stroom uitgezet of het ministerie van Financiën aangevallen op het moment dat de eindejaarsuitkeringen zouden worden uitgekeerd.