Hoe slim (of dom) waren de Russische OPCW-hackers?
Het clichébeeld van de hacker: een slimme, misschien ietwat slonzig geklede nerd die met een paar muisklikken je computer of telefoon binnendringt. Maar in de praktijk blijken het ook maar mensen die een biertje drinken en soms fouten maken.
Zo ook de Russische overheidshackers die probeerden in te breken bij de OPCW, de organisatie tegen chemische wapens. Dankzij de fouten die ze maakten wist de MIVD ze in verband te brengen met andere hackoperaties.
Phishing
De vier opgepakte Russen zouden deel uitmaken van een hackersgroep van de Russische militaire inlichtingendienst GROe en die bekendstaat als APT28 en Fancy Bear. Die groep maakt net als zijn 'zustergroep' Cozy Bear gebruik van phishing: oftewel, het versturen van mailtjes die legitiem ogen, maar waarin wordt geprobeerd om bijvoorbeeld inloggegevens af te troggelen.
In veel gevallen lukte dat, maar niet altijd, en dan mochten de hackers van Fancy Bear op pad om ter plekke te onderzoeken of het wifi-netwerk van het doelwit kon worden aangevallen. Dat probeerden ze ook bij de OPCW, maar daarbij maakten ze de nodige fouten.
De MIVD kreeg de apparatuur van de hackers in handen voordat ze hun aanval succesvol konden uitvoeren. Daaruit konden ze behoorlijk wat data destilleren. Zo konden ze bijvoorbeeld zien dat de laptop van Jevgeni Serebrjiakov eerder verbinding maakte met een wifi-netwerk in de Zwitserse stad Lausanne, rond de tijd dat daar de laptop van een functionaris van dopingwaakhond WADA werd gehackt.
Zendmast
De geheime dienst heeft daarnaast onder meer kunnen achterhalen met welke zendmast de telefoon van een van de Russische officiëren verbinding heeft gemaakt, in de buurt van een GROe-basis. Bovendien zijn de laptop van Serebrjiakov foto's te vinden van een van de officieren op de Olympische Spelen in Rio de Janeiro, evenals zoekopdrachten naar het OPCW en de directe omgeving.
Slordig voor een inlichtingendienst, vindt Frank Groenewegen van beveiligingsbedrijf Fox-IT. "Je zou toch denken dat ze wel een nieuwe, lege laptop meekrijgen als ze een hackoperatie uitvoeren", zegt hij. Het duidt er volgens hem mogelijk op dat de aanvallers haast hebben gehad. "Misschien ging het om een spoedoperatie", zegt hij.
Ook werd door de MIVD een taxibonnetje van de GROe-basis naar het vliegveld van Moskou, op de dag van hun vlucht naar Nederland, aangetroffen. Hun paspoorten bleken opeenvolgende serienummers te hebben, wat verdacht is, en ze reisden als viertal rond in Den Haag.
Ze maakten daarbij meerdere foto's, ook van hun doelwit, het OPCW-gebouw. Bovendien namen ze elkaar ook op de foto: zo poseerde Oleg Sotnikov, die ondersteuning leverde aan de hackers, op station Den Haag Centraal.
Dat een van de Russen op het moment dat de MIVD de operatie verstoorde zijn telefoon kapot probeerde te stampen, vindt Groenewegen ook niet pleiten voor een goede persoonlijke cyberhygiëne. "Als die versleuteld was geweest, had hij zich waarschijnlijk minder zorgen gemaakt", zegt hij.
Bovendien heeft een telefoon kapotmaken weinig zin, denkt Groenewegen. "Je moet dan maar net meteen de juiste chip raken. Bovendien: als een telefoon drie weken op de bodem van de zee heeft gelegen, kan het Nederlands Forensisch Instituut er nog steeds data vanaf halen. De geheime diensten kunnen misschien nog wel meer."
Het lijkt soms of de Russen denken: ach weet je, als we gepakt worden, weten we wel hoe daarmee om te gaan.
"Ik heb zelf geen technische achtergrond, maar dat je op een spionage-operatie spullen meeneemt die je eerder al hebt gebruikt, klinkt als een beginnersfout", zegt Willemijn Aerdts, onderzoeker naar inlichtingendiensten aan de Universiteit Leiden. Net als Groenewegen denkt zij dat de slordigheid misschien aan tijdsdruk is te wijten.
Sico van der Meer van Instituut Clingendael heeft een andere mogelijke verklaring. "Het lijkt soms of de Russen denken: ach weet je, als we gepakt worden, weten we wel hoe daarmee om te gaan. Ze doen dit soort dingen vaak heel openlijk."
Aan de andere kant kan het achteraf amateurisme lijken, terwijl het op deze manier misschien ook wel vaak goed gaat. "We weten natuurlijk niet wat er niet opgemerkt wordt."
Bovendien mogen phishing-aanvallen en vier spionnen in een gehuurde Citroën C3 misschien weinig geavanceerd klinken, maar Fancy Bear zit wel degelijk achter ingewikkelde en indrukwekkende hacks. Zo heeft Fancy Bear meerdere zero-day exploits in handen weten te krijgen: beveiligingslekken die nog niet eerder zijn waargenomen, waardoor ze effectief zijn te misbruiken voor wie ze in handen heeft.
In de tech podcast van NOS op 3 ging het ook over de onhandige manier waarop de Russen te werk gingen: