Reconstructie: hoe een grote Russische hackoperatie in ons land voorkomen werd

• Wim Kopinga en Joost Schellevis

Vandaag werd bekend dat de militaire inlichtingendienst MIVD een Russische cyberoperatie op 13 april in Den Haag heeft verstoord. Doelwit van de operatie was de OPCW, de Organisatie voor het Verbod op Chemische Wapens. De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) maakte vandaag opvallend veel over die operatie bekend. Wat is er die dag, en de dagen daarvoor precies gebeurd?

Op dinsdag 10 april reizen er vier Russen op een diplomatiek paspoort van Moskou naar Amsterdam. Een Russische ambassademedewerker vangt ze in Nederland op. Een dag later huren de mannen een Citroën C3. Mede door informatie van Britse inlichtingendiensten wordt dan duidelijk wat de vier mannen in Nederland komen doen: ze bereiden een hackaanval op de OPCW voor. Zo'n aanval is op dat moment gevoelig, omdat er onderzoek gedaan wordt naar de chemische aanval in de Syrische stad Douma en de gifaanval op Sergej Skripal.

De vier mannen blijken onderdeel van een Russische inlichtingendienst en heten Aleksei Sergejvitsj Morenets, Jevgeni Michajlovitsj Serebrjiakov, Oleg Miajlovitsj Sotnikov en Alexej Valeryvitsj Minin. Twee van hen worden door de MIVD 'cyberoperator' genoemd. De andere twee bieden ondersteuning. Opvallend: uit de paspoortgegevens blijkt dat de twee cyberexperts opeenvolgende paspoortnummers hebben. Die paspoorten zijn dus na elkaar geregistreerd.

Op 13 april wordt de Citroën op het parkeerterrein van het Marriott Hotel geplaatst, zo dicht mogelijk bij de OPCW. De auto staat met de achterkant richting het pand. Dat is belangrijk, want in de kofferbak ligt hackapparatuur die dichtbij moet staan. Doel is om daarmee de wifi-verbindingen van de OPCW binnen te kunnen dringen. Gebruikers kunnen daarmee geïdentificeerd worden en inloggegevens van werknemers kunnen worden onderschept.

Om 16.30 uur activeren de vier de hackapparatuur. Voor de MIVD is dat hét moment om in te grijpen. Onno Eichelsheim, directeur van de MIVD, zegt dat de operatie 'verstoord' is. Hoe dat is gebeurd, zegt hij niet. Wel wil hij kwijt dat de vier mannen nog dezelfde dag zijn uitgewezen.

Bij de operatie wordt de apparatuur van de Russen in beslag genomen. "Hierdoor weten we zeker dat deze mannen niet in Nederland op vakantie waren", zegt Eichelsheim. De mannen hebben verschillende telefoons bij zich van verschillende merken, ook beschikken ze over twintigduizend euro en twintigduizend dollar in contanten.

Serebrjakov had bovendien specifieke apparatuur bij zich om hackoperaties uit te voeren. Ook opvallend: de heren namen hun afval mee uit het hotel. "Dat is niet omdat ze zo milieubewust zijn", legt Eichelsheim uit. Inlichtingendiensten zijn juist 'veiligheidsbewust'. Door het afval uit hun hotelkamers mee te nemen laten ze geen sporen achter. Dat is ook waarom Morenets tijdens de actie van de MIVD zijn telefoon kapot probeert te maken.

In andere spullen die de MIVD confisqueert worden sporen aangetroffen die aantonen dat de vier mannen waarschijnlijk van een specifieke Russische inlichtingendienst zijn: de GROe.

De gehuurde auto, de apparatuur en het contant geld van de Russen:

De MIVD ziet op een van de telefoons dat hij op 9 april in Moskou in de buurt van de GROe-kazerne is geactiveerd. Een andere aanwijzing in de richting van de GROe is een taxibonnetje dat Morenets bij zich had. Daarop is te zien dat hij op 10 april is gereisd van de achteringang van de GROe-Kazerne naar het vliegveld. Waarschijnlijk hield hij het bonnetje bij zich om de kosten te kunnen declareren, denkt Eichelsheim.

Ook toont de in beslag genomen apparatuur dat Serebrjakov op een aantal opvallende locaties is geweest op cruciale tijdstippen. Op de laptop is te zien dat hij aanwezig was in Lausanne, in Zwitserland in de periode 20 tot 22 september 2016. In die exacte periode werd daar een Canadese WADA-official gehackt. In de periode 16 tot en met 22 december was hij bovendien aanwezig in een hotel in een district in Kuala Lumpur in Maleisië, waar veel organisaties zitten die onderzoek doen naar MH17.

De MIVD ziet ook dat op de laptop gezocht is naar het Zwitserse lab dat onderzoek doet naar chemische wapens. Uit papieren die de mannen bij zich hebben blijkt bovendien dat ze geïnteresseerd zijn in diplomatieke faciliteiten in Bern en Genève. Op 16 april zouden ze daarheen met de trein vertrekken vanaf station Utrecht Centraal. Iets dat door ingrijpen van de MIVD voorkomen is.