Reconstructie: hoe een grote Russische hackoperatie in ons land voorkomen werd

De Russische militaire inlichtingenofficieren werden in Nederland geobserveerd Ministerie van Defensie
Geschreven door
Wim Kopinga en Joost Schellevis

Vandaag werd bekend dat de militaire inlichtingendienst MIVD een Russische cyberoperatie op 13 april in Den Haag heeft verstoord. Doelwit van de operatie was de OPCW, de Organisatie voor het Verbod op Chemische Wapens. De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) maakte vandaag opvallend veel over die operatie bekend. Wat is er die dag, en de dagen daarvoor precies gebeurd?

Op dinsdag 10 april reizen er vier Russen op een diplomatiek paspoort van Moskou naar Amsterdam. Een Russische ambassademedewerker vangt ze in Nederland op. Een dag later huren de mannen een Citroën C3. Mede door informatie van Britse inlichtingendiensten wordt dan duidelijk wat de vier mannen in Nederland komen doen: ze bereiden een hackaanval op de OPCW voor. Zo'n aanval is op dat moment gevoelig, omdat er onderzoek gedaan wordt naar de chemische aanval in de Syrische stad Douma en de gifaanval op Sergej Skripal.

De vier mannen blijken onderdeel van een Russische inlichtingendienst en heten Aleksei Sergejvitsj Morenets, Jevgeni Michajlovitsj Serebrjiakov, Oleg Miajlovitsj Sotnikov en Alexej Valeryvitsj Minin. Twee van hen worden door de MIVD 'cyberoperator' genoemd. De andere twee bieden ondersteuning. Opvallend: uit de paspoortgegevens blijkt dat de twee cyberexperts opeenvolgende paspoortnummers hebben. Die paspoorten zijn dus na elkaar geregistreerd.

1/5De Russische inlichtingenofficiëren komen aan in Nederland, vergezeld door ambassadepersoneel. MIVD
2/5Aleksei Morenets MIVD
3/5Evgenii Serebriakov MIVD
4/5Oleg Sotnikov MIVD
5/5Alexey Minin MIVD

Op 13 april wordt de Citroën op het parkeerterrein van het Marriott Hotel geplaatst, zo dicht mogelijk bij de OPCW. De auto staat met de achterkant richting het pand. Dat is belangrijk, want in de kofferbak ligt hackapparatuur die dichtbij moet staan. Doel is om daarmee de wifi-verbindingen van de OPCW binnen te kunnen dringen. Gebruikers kunnen daarmee geïdentificeerd worden en inloggegevens van werknemers kunnen worden onderschept.

Om 16.30 uur activeren de vier de hackapparatuur. Voor de MIVD is dat hét moment om in te grijpen. Onno Eichelsheim, directeur van de MIVD, zegt dat de operatie 'verstoord' is. Hoe dat is gebeurd, zegt hij niet. Wel wil hij kwijt dat de vier mannen nog dezelfde dag zijn uitgewezen.

Details onbekend

Hoe de aanval er precies uitzag, is onduidelijk. Het zou gaan om een aanvalstechniek waarvan de MIVD nog niet 'op de hoogte was', maar wat dat precies betekent, is onbekend. De aanvalsmethode die ze gebruikten, is namelijk niet nieuw: ze probeerden met een signaalversterker en een commercieel verkrijgbaar hackapparaat, de Wi-Fi Pineapple, in de nabijheid van het wifi-netwerk te komen.

"Hoe ze daar vervolgens toegang toe probeerden te krijgen, weten we niet", zegt onderzoeker Groenewegen van beveiligingsbedrijf Fox-IT. "Het kan zijn dat ze op een andere manier al het wifi-wachtwoord hebben achterhaald, of dat ze het probeerden te raden." Het kan ook zijn dat ze een zero day-exploit in handen hadden om in te breken op de wifi-router. Zo'n zero day-exploit is een soort digitaal wapen in de vorm van een beveiligingsprobleem dat nog niet eerder is waargenomen. Dat zou verklaren dat de MIVD er niet van op de hoogte was. "Maar dat is speculeren", zegt Groenewegen.

Bij de operatie wordt de apparatuur van de Russen in beslag genomen. "Hierdoor weten we zeker dat deze mannen niet in Nederland op vakantie waren", zegt Eichelsheim. De mannen hebben verschillende telefoons bij zich van verschillende merken, ook beschikken ze over twintigduizend euro en twintigduizend dollar in contanten.

Serebrjakov had bovendien specifieke apparatuur bij zich om hackoperaties uit te voeren. Ook opvallend: de heren namen hun afval mee uit het hotel. "Dat is niet omdat ze zo milieubewust zijn", legt Eichelsheim uit. Inlichtingendiensten zijn juist 'veiligheidsbewust'. Door het afval uit hun hotelkamers mee te nemen laten ze geen sporen achter. Dat is ook waarom Morenets tijdens de actie van de MIVD zijn telefoon kapot probeert te maken.

In andere spullen die de MIVD confisqueert worden sporen aangetroffen die aantonen dat de vier mannen waarschijnlijk van een specifieke Russische inlichtingendienst zijn: de GROe.

De gehuurde auto, de apparatuur en het contant geld van de Russen:

1/5Deze huurauto stond vlak bij het gebouw van de OPCW Ministerie van Defensie
2/5De apparatuur van de Russen in een gehuurde Citroën C3 MIVD
3/5De Russische inlichtingenofficieren namen afval mee uit hun hotelkamers Ministerie van Defensie
4/5Apparatuur die door de Russen werd gebruikt Ministerie van Defensie
5/5Cash geld: 20.000 euro en 20.000 dollar Ministerie van Defensie

De GROe is de meest geheimzinnige Russische inlichtingendienst. De Glavnoje Razvedyvatelnoje Oepravlenije werd in 1918 opgericht onder Lenin en legt direct verantwoording af aan president Poetin en de minister van Defensie. De dienst richt zich vooral op het buitenland en werd in de afgelopen jaren in verband gebracht met de strijd in Syrië en Oekraïne, het neerhalen van de MH17 en de moordpoging op oud-spion Skripal.

De MIVD ziet op een van de telefoons dat hij op 9 april in Moskou in de buurt van de GROe-kazerne is geactiveerd. Een andere aanwijzing in de richting van de GROe is een taxibonnetje dat Morenets bij zich had. Daarop is te zien dat hij op 10 april is gereisd van de achteringang van de GROe-Kazerne naar het vliegveld. Waarschijnlijk hield hij het bonnetje bij zich om de kosten te kunnen declareren, denkt Eichelsheim.

Ook toont de in beslag genomen apparatuur dat Serebrjakov op een aantal opvallende locaties is geweest op cruciale tijdstippen. Op de laptop is te zien dat hij aanwezig was in Lausanne, in Zwitserland in de periode 20 tot 22 september 2016. In die exacte periode werd daar een Canadese WADA-official gehackt. In de periode 16 tot en met 22 december was hij bovendien aanwezig in een hotel in een district in Kuala Lumpur in Maleisië, waar veel organisaties zitten die onderzoek doen naar MH17.

De MIVD ziet ook dat op de laptop gezocht is naar het Zwitserse lab dat onderzoek doet naar chemische wapens. Uit papieren die de mannen bij zich hebben blijkt bovendien dat ze geïnteresseerd zijn in diplomatieke faciliteiten in Bern en Genève. Op 16 april zouden ze daarheen met de trein vertrekken vanaf station Utrecht Centraal. Iets dat door ingrijpen van de MIVD voorkomen is.

STER Reclame