Reconstructie Russische cyberaanvallen

Hoe wist de MIVD een Russische hackpoging te verijdelen? Een reconstructie van aankomst tot aanhouding

10 april 2018 - De Russische hackers komen aan op Schiphol. Beeld Ministerie van Defensie

Op 10 april 2018 arriveren vier Russen op Schiphol. Van daaruit gaan ze naar Den Haag, waar ze een klus hebben te klaren. Wat ze niet weten, is dat ze dan al in het vizier zijn van de Nederlandse MIVD.

10 april 2018

Aleksei Morenets opent het portier, groet de taxichauffeur en stapt in. ‘Naar luchthaven Sjeremetjevo, graag.’ Morenets, een hacker van de Russische militaire inlichtingendienst GROe, moet een vlucht naar Nederland halen. Hij is op weg naar Den Haag, met de opdracht de Organisatie voor het Verbod op Chemische Wapens (OPCW) te hacken.

De internationale chemische-wapenwaakhond is bezig met een onderzoek naar de vergiftiging van de voormalige Russische dubbelspion Sergei Skripal in het Britse Salisbury. Ook de chemische aanval op de Syrische stad Douma door president Bashar al-Assad van Syrië, een bondgenoot van Rusland, is onderwerp van onderzoek. Het zijn twee zaken met een gigantisch Russisch belang. En dus wordt de militaire inlichtingendienst aan het werk gezet om het OPCW-gebouw in Den Haag digitaal binnen te dringen.

De rit van de GROe-kazerne op Komsomolsky Prospekt 20 naar Sjeremetjevo duurt ruim een uur, maar dan ziet Morenets eindelijk de luchthaven opdoemen. Hij betaalt de chauffeur, bewaart de factuur als betaalbewijs en loopt de vertrekhal in. Morenets reist samen met Evgenii Serebriakov, met wie hij de OPCW moet hacken. Ook mee gaan Oleg Sotnikov en Alexey Minin, die de twee hackers tijdens de operatie zullen ondersteunen.

Na een vlucht van zo’n drieënhalf uur landt het vliegtuig met daarin de vier Russen op Schiphol. De inlichtingenofficieren worden er opgewacht door een vertegenwoordiger van de Russische ambassade in Den Haag. Met zijn handen in zijn zakken begeleidt de ambassademedewerker zijn bezoek nonchalant naar de auto. De spionnen zet hij, zo lijken wifigegevens van Serebriakovs laptop later aan te duiden, af bij het Palace Hotel in Noordwijk.

Klik op de graphic om te vergroten. Beeld de Volkskrant

11 april 2018

Ze hebben een auto nodig. Niet alleen om de hackpoging van zo dichtbij mogelijk te kunnen uitvoeren, maar ook om boodschappen te doen. De Russen huren een Citroën C3. Ze hebben een druk schema: vanaf de 17de moeten zij in Zwitserland zijn voor een volgende opdracht. Een onderzoekscentrum voor chemische wapens in Bern is dan het doelwit. De treintickets zijn al gekocht.

Maar eerst is het OPWC aan de beurt. In een watersportwinkel kopen de Russen een accu met bijbehorende lader, die de laptop tijdens het hacken draaiende moet houden. Dat kost 220 euro, maar geld is geen probleem – Sotnikov is goed voorbereid op reis gegaan en heeft 20 duizend euro en 20 duizend dollar in contanten bij zich. Later zullen ze nog inkopen doen bij de Aldi en de Albert Heijn.

Minin maakt foto’s om de omgeving van de OPCW in kaart te brengen. Met een zogeheten close access-hackoperatie willen ze het wifinetwerk van de organisatie van dichtbij binnendringen. Wat Minin niet weet, is dat de Nederlandse Militaire Inlichtingen- en Veiligheidsdienst (MIVD) hen reeds op het spoor is. Uit eigen informatie en die van de Britse geheime dienst is duidelijk dat de Russen inlichtingenofficieren zijn. De vraag is alleen nog wat hun doel is. En nu brengen de spionnen zichzelf met elke stap verder in het nauw.

Een van de Russische hackers voor het OCPW-gebouw in Den Haag. Beeld REUTERS

12 april 2018

De spionnen verhuizen naar het Marriott Hotel in Den Haag, dat pal naast het OPCW-gebouw ligt. Dichterbij kun je niet komen. Minin neemt meer foto’s van de omgeving, onder meer vanuit een raam in het hotel. De spionnen hebben alles wat nodig is voor de hack in huis, waaronder een laptop, een wifi-antenne, een transformator, de in Den Haag gekochte accu en een ruime hoeveelheid telefoons. Voor de zekerheid neemt Serebriakov nog meer specialistische hackapparatuur mee in zijn rugtas. Ze zijn er klaar voor. Morgen moet het gebeuren.

De hackapparatuur in de achterbak van de huurauto. Beeld EPA

13 april 2018

De vier Russen stappen in de Citroën en parkeren de auto zo dicht mogelijk bij het OPCW, de achterbak met daarin de hackapparatuur naar het gebouw gericht. Van de buitenkant is niet veel te zien, de wifi-antenne is afgedekt met een jas. Toch weet de MIVD precies wat er in de Citroën gebeurt. Met haar eigen technologie ziet de inlichtingendienst dat de apparatuur in de auto actief wordt. Een directe dreiging voor het OPCW, weet Onno Eichelsheim, directeur van de MIVD. Hij grijpt in.

Om 16.45 uur ‘verstoren’ MIVD’ers de hackpoging op een onbekende manier. Het gebeurt zo snel dat Eichelsheim zich nauwelijks voor kan stellen dat de Russen gegevens hebben buitgemaakt, al kan hij een half jaar later op de persconferentie geen zekerheid bieden. Nog diezelfde avond zet de MIVD de Russen op het vliegtuig naar Moskou. Volgens defensieminister Ank Bijleveld houdt Nederland de mannen niet vast, omdat Nederland hun apparatuur met waardevolle informatie anders minder makkelijk had kunnen confisqueren.

De MIVD treft naast alle wifi-apparatuur zelfs de taxifactuur van Morenets uit Moskou aan. Daarmee is de hackpoging direct te linken aan de GROe-kazerne. Een van de in beslag genomen telefoons biedt nog meer bewijs: deze maakte op 9 april, de dag voor de vlucht, contact met de gsm-mast die het dichtst bij de GROe staat. In de zoekgeschiedenis op de laptop ziet de Nederlandse geheime dienst verder hoe de Russen informatie zochten over het OPCW, het Marriott en de volgende hacklocatie in Zwitserland.

Hoe konden de Russen zo amateuristisch te werk gaan? Het inlichtingenleger van de GROe bestaat niet uit prutsers, verzekert Eichelsheim maanden later, als de operatie van de MIVD bekend wordt. ‘Ze verwachtten gewoon niet dat ze gepakt werden.’

In een eerdere versie stond dat de spionnen op 10 april bij het Marriott Hotel in Den Haag werden afgezet. Gegeven de gegevens op de in beslag genomen laptop van Serebriakov is het echter waarschijnlijker dat zij de eerste dagen in het Palace Hotel in Noordwijk verbleven, en pas later naar het Marriott verhuisden.

Lees meer over de Russische cyberaanval: 

Dit weten we over de verijdelde hackaanval op de OPCW in Den Haag
De Russische militaire inlichtingendienst GROe heeft in april geprobeerd om de Organisatie voor het Verbod op Chemische Wapens (OPCW) in Den Haag te hacken. Dit is wat er bekend is over die hackpoging, de daders en de nasleep.

Mislukte GROe-operatie tegen OPCW in Den Haag levert Moskou zware politieke schade op
‘Het waait wel over, denk ik. Hoe eerder, hoe beter’. Die hoop sprak de Russische president Poetin woensdag uit, toen hem gevraagd werd naar de politieke gevolgen van de Skripal-zaak. Maar na de spectaculaire onthulling van de Nederlandse en Britse autoriteiten over de mislukte computerinbraak van de Russische militaire inlichtingendienst GROe bij de OPCW, de Organisatie voor het Verbod op Chemische Wapens in Den Haag, is de kans daarop erg klein geworden.

Is dat nou moeilijk, zo'n close-access-hack-operatie van de Russen?
Niet eerder kreeg het publiek zo’n gedetailleerde inkijk in een cyberoperatie. Wat was de Russische militaire inlichtingendienst GROe precies van plan en waarom was het nodig om dit vanuit Den Haag te doen? En hoe sterk is het bewijs tegen de Russen?

Amerika klaagt Russische spionnen toch aan, maar wat houdt de aanklacht in?
Justitie in de VS heeft donderdag zeven Russische inlichtingenofficieren aangeklaagd wegens een ‘criminele samenzwering’. Onder hen zijn de vier Russische spionnen die op 13 april werden betrapt bij hun poging tot een cyberaanval in Den Haag.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 de Persgroep Nederland B.V. - alle rechten voorbehouden