Russische hackers visten naar gevoelige documenten van de regering. Op deze afbeelding staan geen leden van de bewuste hackgroepen.
Russische hackers visten naar gevoelige documenten van de regering. Op deze afbeelding staan geen leden van de bewuste hackgroepen. © GETTY

Russen faalden bij hackpogingen ambtenaren op Nederlandse ministeries

De twee Russische groepen die achter de hack bij de Democratische Partij in de Verenigde Staten zaten, hebben ook geprobeerd bij Nederlandse ministeries binnen te dringen. Een daarvan was Algemene Zaken. Voor zover bekend is het ze daarbij niet gelukt om gevoelige informatie te bemachtigen. Dat blijkt uit onderzoek van de Volkskrant en uit gesprekken met verschillende experts.

De hackpogingen zijn in het afgelopen halfjaar gedaan en kunnen worden toegeschreven aan twee groepen, die APT28 en APT29 worden genoemd, in de Verenigde Staten ook wel Cozy Bear en Fancy Bear. De groepen proberen de inloggegevens van overheidspersoneel te achterhalen door gericht phishingmails te sturen en valse websites op te zetten waarop mensen kunnen inloggen.

Maatregelen

Digitale dreiging: is onze democratie in gevaar?

Met de Tweede Kamerverkiezingen in aantocht is ook Nederland is 'zeer alert' op cyberaanvallen, aldus minister van Buitenlandse Zaken Bert Koenders. Is er reden tot zorg? En is Den Haag wel voorbereid op de Russen? Hebben we behalve de Russen nog andere digitale spionnen te vrezen?

Een woordvoerder van het ministerie van Algemene Zaken wilde gisteren geen vragen beantwoorden over eventuele gevolgen of maatregelen.

Rob Bertholee, hoofd van de AIVD, zei gisteren in EenVandaag dat 'Rusland probeert door te dringen tot geheime regeringsdocumenten'. Dat hij met zo veel zekerheid kon melden dat Rusland achter de aanvallen zit, terwijl het vaak lastig is om digitale aanvallen aan een land toe te schrijven, betekent dat de AIVD zogeheten malware, kwaadaardige software, tegenkomt die voldoet aan de kenmerken van bekende Russische hackgroepen.

APT28 en APT29 zijn gelieerd aan de Russische overheid en verzamelen politieke en militaire inlichtingen. Bekende doelwitten van deze twee Russische groepen zijn onder meer de Franse omroep TV5Monde, de Duitse politieke partij CDU, de NAVO, de OVSE, de Poolse overheid en de Demo-cratische Partij. De Noorse geheime dienst PST maakte vrijdag bekend dat APT29 heeft geprobeerd de e-mail accounts van negen ambtenaren te hacken.

APT28 en APT29 werken apart van elkaar en hebben in het verleden vooral overheden, denktanks, universiteiten en bedrijven aangevallen. Ze werden in 2013 en 2014 ontdekt, maar de malware die ze gebruiken gaat terug tot 2008.

Martijn van Lom, directeur bij het digitale beveiligingsbedrijf Kaspersky Lab, zegt dat APT28 zich vooral richt op militaire doelwitten in NAVO-landen. Kaspersky volgt beide groepen al lange tijd. Dat de groepen ook in Nederland actief zijn, verbaast Van Lom niet. 'Gezien de doelwitten die ze in het verleden hebben gehad, kunnen ze overal opduiken.'

Wegsluizen

Ook het Nederlandse Fox-IT doet onderzoek naar dit soort groepen en houdt al langer zicht op APT28 en APT29. Over de verschillen tussen de groepen zegt directeur Ronald Prins: 'APT29 gaat veel voorzichtiger te werk dan APT28. We zijn recent APT29 nog tegengekomen bij een mediabedrijf ergens in Europa.'

Pim Takkenberg, directeur cyber security bij digitaal beveiligingsbedrijf Northwave, zegt over de werkwijze van de groepen: 'We weten dat ze vrij veel tijd steken in het uitkiezen van het geschikte doelwit en de juiste informatie daarover te verzamelen. Die bestoken ze vervolgens met een mail, lokken hem naar een goed lijkende website met als doel dat die inloggegevens achterlaat.' Het eerste doelwit is vaak een opstap naar verdere infiltratie. Wanneer de hackers binnen zijn, proberen ze documenten te bemachtigen en die weg te sluizen.

In EenVandaag zei AIVD-baas Bertholee dat hij zich zorgen maakt over de toename van dit soort aanvallen vanuit Rusland, China en Iran. Met name de Russen zouden proberen om gevoelige regeringsdocumenten buit te maken.

Gevoeligste documenten

Lees ook

AIVD: Russen zitten achter regeringsdocumenten aan, honderden digitale aanvallen
Aan de vooravond van de inhoudelijke behandeling van de nieuwe inlichtingenwet spreekt AIVD-baas Rob Bertholee zijn zorgen uit over digitale aanvallen vanuit Rusland, China en Iran. (+)

De AIVD schrijft al langer in zijn jaarverslag dat het aantal digitale aanvallen op Nederland toeneemt. Wat nu nieuw is, is de toename van de aanvallen en het feit dat de Russen specifiek op zoek zijn naar de gevoeligste documenten: stukken van de ministerraad. Bertholee: 'Dan praat je over verslagen uit de boezem van de regering, beraadslagingen in een overheidsinstelling. Ik vind dat een gevaar voor onze democratie.'

Er zijn verschillende gradaties in hacken, zoals er verschillende gradaties zijn in phishingmails. Die van criminelen richten zich vaak op een grote groep mensen, in de hoop dat ze zo veel mogelijk slachtoffers maken. Hackers van APT28 en APT29 gaan veel specifieker te werk. De kwaliteit van de mails bepaalt ook deels het succes.

Ook de malware die er vervolgens voor moet zorgen dat bestanden ongemerkt van een doelwit naar de hackers gaan, verschilt sterk. De Amerikaanse en Britse geheime diensten bleken in 2013 bijvoorbeeld heel diep geïnfiltreerd te zijn in de Belgische telecomprovider Belgacom en daar middels zeer kundige malware heimelijk gegevens uit te trekken. Het duurde jaren voordat deze infiltratie werd ontdekt.