Gebruikten Russische hackers een simpele truc of een krachtig wapen?
We weten hoe ze Nederland binnenkwamen, welke auto ze huurden, wat hun tweede namen zijn en welke fouten ze maakten. Maar hoe probeerden de Russische spionnen in te breken op het netwerk van de OPCW in Den Haag? Hoe geavanceerd was hun aanval, en wat wilden ze op 13 april nou precies doen?
Daarover heeft de Militaire Inlichtingen- en Veiligheidsdienst, die de operatie donderdag aan het licht bracht, weinig informatie naar buiten gebracht. Sowieso is niet met de volle zekerheid te zeggen wat het Russische aanvalsplan was, omdat de inlichtingenofficieren het nooit ten uitvoer hebben kunnen brengen.
Amerikaanse aanklacht
Toch is op basis van de Amerikaanse aanklacht tegen de hackende spionnen en gesprekken met ethisch hackers wel een inschatting te maken van hoe hackers van de Russische inlichtingendienst GROe te werk gaan.
Wat we sowieso weten, is dat de spionnen probeerden in te breken bij de OPCW, de internationale organisatie die chemische wapens moet uitbannen en zetelt in Den Haag. De OPCW deed op het moment van de hack onderzoek naar de vergiftiging van de Russische oud-spion Sergej Skripal in Engeland. Ook onderzocht de OPCW toen een gifgasaanval in het Syrische Douma.
De Russen hadden het specifiek gemunt op de wifi-verbinding van de OPCW. Maar hoe de aanvallers daar precies op probeerden in te breken, hangt af van de wifi-versie die de OPCW gebruikte ten tijde van de aanval. Die organisatie wil daarover geen vragen beantwoorden.
"Als het gaat om de meest onveilige versie van wifi, dan is het zo gepiept. Maar dat lijkt mij onwaarschijnlijk", zegt ethisch hacker Wesley Neelen van Dearbytes. Hij wordt als 'ethisch hacker' door bedrijven gevraagd om de veiligheid van netwerken te testen - ook die van wifi.
Bij de veiliger versies is het lastiger, maar zeker niet onmogelijk. "Als ze de wifi-versie gebruiken die vooral vaak thuis wordt gebruikt, moeten ze verkeer onderscheppen en dat vervolgens kraken." Dat kan door verkeer op te vangen, waarna het op een ander moment kan worden gekraakt. "Als je een computer met stevige videokaarten hebt, dan kan dat op zich redelijk snel gekraakt worden", zegt Neelen.
Maar het hoeft niet zo geavanceerd te zijn. "Het kan ook zijn dat ze het wifi-wachtwoord al wisten, bijvoorbeeld door een medewerker onder druk te zetten", zegt Frank Groenewegen van beveiligingsbedrijf Fox-IT.
Als de OPWC de zakelijke, veiligere versie van wifi gebruikte, zijn die scenario's minder waarschijnlijk. Maar er zijn manieren om ook zulke netwerken, met betere beveiliging, te omzeilen, bijvoorbeeld door wachtwoorden voor dergelijke netwerken op te vangen met een zogenoemde Wifi Pineapple.
Een ander scenario is dat de aanvallers kennis hadden van een beveiligingsbug in de software van de wifi-router of in wifi zelf, en daarmee konden inbreken. Daarbij kan het gaan om een zogenoemde zero day-exploit, een hackwapen dat nog niet eerder is waargenomen en daardoor heel effectief is.
MIVD-directeur Onno Eichelsheim hintte daar op toen hij zei dat de aanvalsmethode van de Russen nog niet bekend was. Of Eichelsheim dat inderdaad bedoelde, of dat de MIVD nooit eerder vier hackende Russen in een Citroën C3 heeft gezien, wil de MIVD niet zeggen. "Dat geeft te veel vrij over onze modus operandi", aldus een woordvoerder.
Feit is wel dat de GROe-hackafdeling, Fancy Bear, eerder met zero day-aanvallen heeft gewerkt. Het is dan ook goed mogelijk dat de hackers beschikten over zo'n krachtig hackwapen, en dus konden inbreken op wifi-netwerken zonder het wifi-wachtwoord te kennen.
Als de Russen het wifi-protocol kunnen kraken, moeten vergelijkbare internationale instellingen zich wel zorgen maken.
"Het is speculatie, maar als de directeur van de MIVD zegt dat ze iets hebben aangetroffen wat ze nog niet eerder hebben gezien, dan denk ik wel aan zoiets", zegt Groenewegen van Fox-IT. "Het moet wel heel spannend zijn, als ze het zo benadrukken. En als de Russen het wifi-protocol kunnen kraken, moeten vergelijkbare internationale instellingen zich wel zorgen maken."
Voor de gemiddelde consument valt het risico mee, benadrukt hij. "Die zijn niet in het vizier van de inlichtingendienst."
Belastende documenten
Uit de Amerikaanse aanklacht tegen de Russische inlichtingenofficieren weten we dat de Russische overheidshackers, als ze eenmaal binnen zijn gedrongen op het wifi-netwerk, in de meeste gevallen op zoek gaan naar belastende documenten. Of dat in dit geval ook de bedoeling was, weten we dus niet.
In september 2016 kraakten dezelfde twee hackers die ook de OPCW probeerden te hacken, het wifi-netwerk van een Zwitsers hotel waar op dat moment medewerkers van anti-dopingorganisaties verbleven. Die waakhond kwam op de hitlist van Rusland terecht nadat Russische sporters en sportofficials door dopingwaakhond WADA waren geschorst. Of dat in dit geval ook had gekund, hangt af van de manier waarop het OPCW-netwerk is ingericht.
Niet alleen buitmaken, ook vernietigen
Fancy Bear heeft in zijn hack-arsenaal een programma waarmee de aanvallers van apparaat naar apparaat kunnen 'hoppen'. Dat kan zowel op telefoons als op laptops, waarna de aanvallers bijvoorbeeld documenten op een laptop kunnen buitmaken.
Maar ook tekstberichten, contactpersonen en foto's op telefoons kunnen worden buitgemaakt. Ook zou de malafide software de microfoon van telefoons kunnen activeren, om zo af te luisteren.
In het geval van anti-dopingautoriteiten is Fancy Bear volgens de Amerikaanse autoriteiten op zoek gegaan naar belastende informatie over niet-Russische sporters, om die vervolgens naar buiten te brengen - soms op een misleidende manier, aldus de Amerikanen. Technisch zou het voor de aanvallers echter ook mogelijk zijn om documenten te vernietigen.
Wat precies het doel van de overheidshackers in dit geval was, is onbekend. De MIVD wil daar niets over zeggen, en van de Russische overheid hoeven ook weinig duidelijkheid te verwachten: het is immers allemaal onzin, aldus het Kremlin.