Nieuwsuur

Hackteam AIVD gaf FBI cruciale info over Russische inmenging verkiezingen

Aangepast
Nieuwsuur
Geschreven door
Eelco Bosch van Rosenthal
verslaggever

De Nederlandse inlichtingendiensten hebben een belangrijke rol gespeeld bij het lopende FBI-onderzoek naar Russische beïnvloeding van de Amerikaanse verkiezingen. De inlichtingendiensten AIVD en de MIVD gaven de Amerikanen cruciale informatie door die zij hadden onderschept bij de Russische hackgroep 'Cozy Bear'. Dat blijkt uit gezamenlijk onderzoek van Nieuwsuur en de Volkskrant.

De Nederlandse diensten hebben ten minste een en maximaal tweeënhalf jaar unieke toegang gehad tot een groep Russische hackers die volgens westerse inlichtingendiensten in opdracht handelden van de Russische staat. Ze zagen hoe de Russen onder meer binnendrongen bij het Witte Huis, het Amerikaanse ministerie van Buitenlandse Zaken en de DNC, het dagelijks bestuur van de Democratische Partij.

De informatie die Nederland over hacks van de Democraten aan de Amerikaanse inlichtingendiensten verstrekte, stond aan de basis van het FBI-onderzoek naar Russische beïnvloeding van de Amerikaanse verkiezingen, dat momenteel geleid wordt door speciaal aanklager Robert Mueller.

Nederland kijkt mee met Russische hackers

In de zomer van 2014 gaat de Joint Sigint Cyber Unit (JSCU) van start, een gezamenlijke unit van de inlichtingendiensten AIVD en MIVD, die zich vanuit Zoetermeer onder meer gaat richten op het verzamelen van inlichtingen door cyberoperaties. Nog diezelfde zomer ontvangt de unit een aanwijzing over een groep Russische hackers die werken vanaf een universiteitscomplex nabij het Rode Plein in Moskou.

Een hackteam van de AIVD, opererend onder de vlag van de JSCU, slaagt er vervolgens in om het interne Russische computernetwerk binnen te dringen. De AIVD kan niet alleen meekijken in het computernetwerk, maar hackt ook een beveiligingscamera op de gang waardoor ze precies kunnen zien wie de hackersruimte in en uit lopen. De Nederlanders nemen alle Russische activiteiten waar. De Russische hackers - een groep van circa tien personen - hebben niets door.

Na een aantal maanden, in november 2014, zien de Nederlanders hoe de Russische hackers binnendringen tot het computernetwerk van het State Department, het Amerikaanse ministerie van Buitenlandse Zaken. In Washington wordt met groot alarm gereageerd op de Nederlandse informatie over "de grootste hack ooit" van de Amerikaanse overheid, zoals overheidsofficials de inbraak omschrijven tegenover Amerikaanse media.

Nederlandse inlichtingendiensten betrappen Russische hackers

Het duurt meer dan 24 uur totdat de Amerikanen de Russische aanval hebben afgeweerd, na een digitale clash die de onderdirecteur van inlichtingendienst NSA jaren later tijdens een discussieforum in het Amerikaanse Aspen zal omschrijven als "een vuistgevecht". Bij diezelfde gelegenheid zegt onderdirecteur Richard Ledgett verder dat zijn dienst de tactieken en methodes van de aanvallers kon bespioneren. The Washington Post schrijft op gezag van inlichtingenbronnen dat "een westerse bondgenoot" behulpzaam is geweest.

Na de hack op het State Department verschaffen de Russen zich in het najaar van 2014 ook toegang tot het computernetwerk van het Witte Huis. Hierdoor kunnen ze onder meer bij vertrouwelijke notities en informatie over het reisschema van president Barack Obama, en bij een deel van Obama's e-mailverkeer. Ook deze hacks worden blootgelegd door de Nederlandse inlichtingendiensten, die vervolgens de Amerikanen inlichten. Vermoedelijk worden ook hacks bij andere overheidsinstellingen door de Nederlanders aan de Amerikanen doorgegeven.

Onder controle van Russische veiligheidsdiensten

De Russische hackers behoren tot een collectief dat in de loop der jaren door inlichtingendiensten en cybersecurity-bedrijven afwisselend The Dukes en APT29 werd genoemd, maar sinds enkele jaren vooral bekend staat als Cozy Bear. Inlichtingendiensten gaan ervan uit dat de groep onder controle staat van de Russische buitenlandse veiligheidsdienst SVR. Westerse inlichtingendiensten en cybersecuritybedrijven maken al jaren jacht op de groep, die wereldwijd overheidsinstellingen en bedrijven heeft aangevallen. Ook in Nederland.

Samen met een andere groep Russische hackers (Fancy Bear, ook bekend onder de naam APT28) wordt Cozy Bear ook verantwoordelijk gehouden voor de hacks van de Democratische Partij. Fancy Bear verschaft zich in april 2016 toegang tot de servers van de Democraten in Washington; Cozy Bear krijgt die toegang al in de zomer van 2015. De groep wordt ook daarbij betrapt door de Nederlanders, die opnieuw alarm slaan bij hun Amerikaanse zusterdiensten. De Nederlandse informatie is één van de redenen dat de FBI - pas een jaar later - een onderzoek naar de Russische inmenging in de Amerikaanse verkiezingen begint.

Waarom de hacks bij de DNC ondanks de Nederlandse waarschuwingen zo lang kunnen doorgaan, is niet duidelijk. Uiteindelijk concludeert ook het Amerikaanse internetbeveiligingsbedrijf Crowdstrike, dat onderzoek doet in opdracht van de Democratische Partij, dat Cozy Bear en Fancy Bear samen verantwoordelijk zijn voor de hacks. Volgens de Amerikaanse inlichtingendiensten spelen Russische officials de door Fancy Bear gehackte e-mails uiteindelijk door aan WikiLeaks, dat ze publiceert. De geopenbaarde e-mails veroorzaken een groot schandaal in de Amerikaanse verkiezingscampagne.

Lof over 'westerse bondgenoot'

De geschiedenis verklaart waarom Rob Bertholee, het hoofd van de AIVD, afgelopen zondag in het tv-programma CollegeTour zei "geen twijfel" te hebben dat het Kremlin direct verantwoordelijk is voor de Russische cybercampagne tegen Amerikaanse overheidsinstellingen. Bertholee en het toenmalige hoofd van de MIVD, Pieter Bindt, hebben de Nederlandse informatie over de Russische hacks in persoon besproken met James Clapper, destijds de hoogste baas van de Amerikaanse inlichtingendiensten, en Michael Rogers, die binnenkort afscheid neemt als hoofd van de inlichtingendienst NSA.

De hackers van de AIVD hebben niet langer toegang tot Cozy Bear. Waarom en wanneer die toegang precies is geëindigd, is niet duidelijk. De inlichtingendiensten houden er rekening mee dat de openheid van Amerikaanse inlichtingenbronnen, die in het voorjaar van 2017 tegenover Amerikaanse media hun lof uitspraken over de toegang van 'een westerse bondgenoot', de hackers wakker heeft geschud. Openheid die in Den Haag en Zoetermeer grote woede opwekte. Over inlichtingenwerk praat je niet - zeker niet over dat van een bondgenoot.

Minister Kajsa Ollongren van Binnenlandse Zaken wil desgevraagd niks zeggen over de rol van de Nederlandse diensten. "Op casuïstiek kan ik niet ingaan. In het algemeen heb ik niet voor niets gewezen op het risico van statelijke actoren die democratieën proberen te beïnvloeden, bijvoorbeeld via het verspreiden van desinformatie of door hacken. De AIVD waarschuwt daar ook voor in haar jaarverslagen."

Verantwoording

De afgelopen maanden deed Nieuwsuur samen met de Volkskrant onderzoek naar de Nederlandse betrokkenheid bij het FBI-onderzoek van speciaal aanklager Mueller. In Nederland en in de Verenigde Staten werd gesproken met circa vijftien bronnen uit diplomatieke en politieke kringen en de inlichtingenwereld. Zes van hen hadden directe kennis over de Nederlandse toegang tot Cozy Bear. Alle betrokkenen wilden alleen spreken op voorwaarde van anonimiteit, omdat het hier informatie uit de hoogste geheimhoudingscategorie betreft.

Voor reacties op dit onderzoek is Eelco Bosch van Rosenthal te bereiken via e-mail, Signal en via de versleutelde chat-app Wickr: eelcobvr.

Tijdlijn

Zomer 2014: hackers AIVD verschaffen zich toegang tot het netwerk van Cozy Bear, een hackgroep die ook bekend staat als APT29 en The Dukes

November 2014: Cozy Bear valt het Amerikaanse ministerie van Buitenlandse Zaken aan en dringt niet-geclassificeerde systeem binnen. AIVD en MIVD waarschuwen Amerikaanse inlichtingendiensten

November/december 2014: Cozy Bear dringt het computernetwerk van het Witte Huis binnen en krijgt onder meer toegang tot vertrouwelijke notities en agenda van president Obama. AIVD en MIVD waarschuwen opnieuw Amerikaanse zusterdiensten

Juli 2015: Cozy Bear dringt het computersysteem van de DNC binnen (partijbestuur Democraten), AIVD en MIVD waarschuwen de Amerikaanse diensten

Najaar 2015: de FBI waarschuwt de DNC dat er hackers in hun systeem zitten, de DNC onderneemt niets

Voorjaar 2016: Ook de Russische hackgroep Fancy Bear (ook bekend als APT28), die onafhankelijk opereert van Cozy Bear, dringt netwerken van het DNC binnen

Juni 2016: Het internetbeveiligingsbedrijf Crowdstrike bevestigt dat Fancy Bear en Cozy Bear in computersystemen zaten

Voorjaar 2017: FBI-directeur James Comey bevestigt dat de FBI onderzoek doet naar Russische inmenging in de Amerikaanse verkiezingsstrijd

Mei 2017: President Trump ontslaat Comey, speciaal aanklager Robert Mueller neemt het onderzoek naar de Russische inmenging over

Juni 2017: Voormalig FBI-directeur Comey zegt tijdens een hoorzitting voor het Congres dat er "geen enkele twijfel" is dat de Russische overheid achter de hacks op het DNC zat

Nederland stond aan basis FBI-onderzoek Russische inmenging

Per abuis heeft Nieuwsuur in een filmpje gemeld dat de Amerikaanse minister van Justitie Jeff Sessions ontslagen zou zijn.