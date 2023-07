Beeld van een beveiligingscamera in Oekraïne die een explosie bij het Amstor winkelcentrum in Kremenchuk vastlegde. Beeld Telegram

Het is een aanmerkelijk militair succes voor Rusland: in de vroege ochtend van 16 mei raakt een Russische raket een verdekt opgesteld Amerikaans luchtverdedigingssysteem in Kyiv. Deze Patriot, waarvan Oekraïne er op dat moment twee in bezit heeft, staat tussen flatgebouwen in de Oekraïense hoofdstad en haalt het ene na het andere inkomende Russische projectiel uit de lucht. Totdat het systeem zelf wordt geraakt door een hypersonische Kinzjal-raket. Er volgt een lichtflits en gigantische knal.

Na de aanval vraagt de bekende Oekraïense oorlogsverslaggever Joeri Boetoesov zich op Facebook verbaasd af hoe de Russen het afweersysteem zo nauwkeurig konden treffen. ‘Russische satellieten beschikken niet over de mogelijkheid om voortdurend de impactgebieden van raketten te scannen’, schrijft hij. Hij heeft een mogelijke verklaring: ‘Haast onmiddellijk na het afvuren (van Russische rakketten, red.) verschijnen videobeelden online. Niet van telefoons, maar van beveiligingscamera’s die het resultaat van een aanval direct in hoge kwaliteit laten zien.’

Over de auteur

Huib Modderkolk is onderzoeksjournalist bij de Volkskrant, met bijzondere aandacht voor cybersecurity en inlichtingendiensten. Hij won meerdere journalistieke prijzen en is onder meer auteur van het boek Het is oorlog, maar niemand die het ziet. Eerder werkte hij bij NRC.

Op videobeelden van die nachtelijke aanval op Kyiv, gedeeld in Russische Telegramkanalen, is inderdaad te zien dat een afweersysteem in verschillende barrages raketten afvuurt op inkomende Russische projectielen. Voor wie bekend is met Kyiv, zal het niet lastig zijn de locatie te herkennen. Terwijl de surveillancecamera blijft opnemen, volgt enige tijd later de Russische voltreffer. ‘Middels die camera’s valt te achterhalen welk type luchtverdedigingssysteem wordt ingezet, net zoals het waarschijnlijke lanceergebied.’ Ze vormen daarmee een gevaar voor de Oekraïense verdediging, stelt Boetoesov. ‘Er is geen twijfel dat videocamera’s met een internetverbinding worden gebruikt door Ruslands inlichtingendiensten.’

Paard van Troje

Het is een verontrustende theorie, die ook de 42-jarige Oekraïense ondernemer Oleksi Koeprijenko onder ogen komt. Zijn de videocamera’s, die overal in Oekraïne op gebouwen en straathoeken hangen, een zwakke plek die de Russen uitbuiten? Koeprijenko staat grote bedrijven bij in zakelijke conflicten, maar sinds de Russische invasie van zijn land is hij tevens als vrijwilliger verbonden aan ‘Don’t Fund Russian Army’. Zijn zakelijke kennis zet hij samen met Oekraïense overheidsorganisaties in om internationale technologiebedrijven die actief zijn in Rusland onder druk te zetten om hun activiteiten daar op te geven.

Dat het Nederlandse investeringsfonds Prosus zijn belang in de Russische online marktplaats Avito vorig jaar voor miljarden van de hand deed, kwam onder meer door zijn werk, zegt hij. ‘Het Facebookbericht van Boetoesov’, vertelt Koeprijenko telefonisch vanuit Kyiv, ‘schudde ons wakker. Het maakte duidelijk dat de alomtegenwoordige videosystemen in ons land een bedreiging zijn.’ En toen hij ging opzoeken wie die vele duizenden camera’s in de openbare ruimte levert, nam zijn verontrusting verder toe. ‘Ze hebben één ding gemeen: ze zijn bijna allemaal afkomstig uit China.’

Beeld Telegram

Beelden van de surveillancecamera die de aanval op Kyiv op 16 mei vastlegde, gedeeld in Russische Telegramkanalen. Op het eerste beeld is te zien dat een afweersysteem raketten afvuurt op inkomende Russische projectielen. Op de tweede foto de Russische voltreffer enige tijd later, te zien achter de flatgebouwen. Beeld Telegram

Oekraïne had voor de oorlog flink geïnvesteerd in Chinese apparatuur. Door het hele land werd ‘Safe City’ uitgerold, een omvangrijk netwerk van videosurveillance dat kentekens kan scannen en auto’s kan volgen. Handig om criminaliteit tegen te gaan. Het land koos daarbij voor videocamera’s van de Chinese staatsbedrijven Hikvision en Dahua, op het moment dat die vanwege veiligheidszorgen werden verbannen uit Amerikaanse en Britse overheidsgebouwen. Ook het Europees Parlement verbood het gebruik van Hikvision camera’s op officiële locaties. In de hoofdstad Kyiv hangen ze wel, met de mogelijkheid om gezichten te herkennen. ‘Een geweldig hulpmiddel voor de politie’, zegt Koeprijenko. Maar nu in oorlogstijd is hij die camera’s heel anders gaan bezien. ‘Rusland en China halen nuttige informatie uit die surveillancesystemen’, zegt hij. ‘We hebben een paard van Troje binnengehaald.’

Chinese staat

Koeprijenko staat niet alleen in zijn zorgen. Een maand geleden plaatste de Oekraïense overheid Hikvision en Dahua op een lijst van ‘internationale sponsors van de oorlog’. De bedrijven leveren volgens onderzoek van Koeprijenko onder meer drones, infrarood-apparatuur en anti-dronewapens aan Rusland. Ze maken daarmee volgens Oekraïne duidelijk waar hun prioriteit ligt. De verkoop van Chinese camerasystemen aan Rusland is sinds het begin van de oorlog geëxplodeerd. Hikvision zag de omzet in 2022 in Rusland met liefst 1.500 procent toenemen.

Wat de vrees voor de Chinese apparatuur verder vergroot, is de invloed van de Chinese overheid bij beide bedrijven. Hikvision en Dahua zijn deels eigendom van de Chinese staat. Chinese bedrijven hebben een verplichting om op verzoek informatie te verstrekken aan de staat. De bemoeienis met Hikvision en Dahua gaat nog een stuk verder. Ook de bijdrage van beide bedrijven aan de onderdrukking van de Oeigoeren in Xinjiang draagt bij aan hun bedenkelijke reputatie – Hikvision levert bijvoorbeeld gezichtsherkenningscamera’s die China op moskeeën plaatst om de moslimbevolking minutieus vast te leggen. Zie je wel, zeggen critici: winst maken gaat bij die twee boven ethiek. Koeprijenko: ‘Ik geloof dat bedrijven die het onderdrukken van Oeigoeren steunen, ook geen probleem zullen hebben met de genocide van het Oekraïense volk.’

Maar de zorgen in Oekraïne betreffen ook de apparatuur zelf. Wie naar ‘Hikvision’ in Oekraïne kijkt in de zoekmachine Shodan, die registreert welke apparaten via het internet vindbaar zijn, krijgt een lijst met liefst 60 duizend publieke videocamera’s. Huizen, koffietentjes, lantaarnpalen en op bedrijventerreinen – zowel particulieren als overheden hebben er Chinese camera’s geplaatst én aan het internet gekoppeld. Ze zijn op wegen gericht, op knooppunten, bruggen en woonwijken. Handig voor de veiligheid in vredestijd, maar een veiligheidsrisico tijdens een oorlog. Want die camera’s zijn voor anderen makkelijk online vindbaar.

Bewuste ‘achterdeur’

‘Er zijn sowieso exploits (die een specifieke kwetsbaarheid in software misbruiken, red.) en standaard wachtwoorden voor die systemen online te vinden’, zegt beveiligingsexpert Pim Takkenberg van Northwave. ‘Daarmee wordt het relatief eenvoudig om ze over te nemen.’ Op Russische internetfora worden de wachtwoorden en gebruikersnamen van duizenden Chinese camera’s aangeboden. En ook de exploits zijn op diezelfde fora te vinden, zegt John Fokker, hoofd digitale operaties bij het beveiligingsplatform Trellix.

Onderzoekers hebben al meerdere keren een serieuze kwetsbaarheid aangetroffen in Hikvision. In 2017 ontdekte een anonieme beveiligingsexpert een ernstig veiligheidslek, waardoor een kwaadwillende volledige toegang tot de camera’s kon krijgen. Omdat het gat al drie jaar bestond en gemakkelijk te misbruiken viel, kon de expert zich niet voorstellen dat het al die tijd onopgemerkt was gebleven bij Hikvision. Hij noemde het daarom een bewuste ‘achterdeur’ – een ernstig verwijt.

De Nederlandse onderzoeker Matthijs Koot begrijpt die woordkeuze. ‘Het is een duidelijk opzettelijk aanwezige functionaliteit die alle toegangscontroles omzeilt.’ Ook bij concurrent Dahua zijn dit soort serieuze kwetsbaarheden aangetroffen die het mogelijk maken om de authenticatie te manipuleren. De Amerikaanse afluisterdienst NSA merkt daarnaast dat Russische hackers geïnteresseerd zijn in videosystemen. De directeur van die dienst, Rob Joyce, zei daarover in april: ‘Er zijn creatieve dingen gaande. We zien dat Russische hackers inloggen op webcams die aan internet hangen, om westerse hulpkonvooien en treinen te monitoren.’ Daarmee versterkte hij de Oekraïense zorgen over de camera’s in het land. Koeprijenko: ‘En een bron bij de Oekraïense veiligheidsdienst vertelde me dat Russische hackers goed op de hoogte zijn van de kwetsbaarheden in Hikvision.’

Software updates

Maar dat de Russen kwetsbare apparaten hacken is nog geen hard bewijs van de kwade opzet van China. Want kwetsbaarheden zijn in alle soorten apparaten te vinden. Daarvoor hoeven de Russen niet bij China aan te kloppen. Toen de ‘achterdeur’ in Hikvision in 2017 aan het licht kwam, zorgde het bedrijf er bovendien met een update voor dat het gat werd gedicht. Een gebruikelijke werkwijze voor softwareleveranciers.

Het probleem is alleen, vertellen experts, dat veel bedrijven dat soort updates niet onmiddellijk uitvoeren. Waardoor hun videosystemen tijdenlang kwetsbaar blijven. ‘Ik werd eens gebeld door een sportbond’, vertelt een oud-medewerker veiligheid bij Hikvision aan de Volkskrant, ‘die vertelde dat er al zeven jaar lang geen update was geweest.’ De kwetsbare camera hing al die tijd in de bestuurskamer. Bedrijven zijn afhankelijk van leveranciers die de updates moeten uitvoeren. Zeker bij systemen met meerdere camera’s is dat een flinke klus. ‘Hoe groter het netwerk, des te ingewikkelder een update is.’

Bijkomend probleem is dat de videosystemen vaak aan internet zijn gekoppeld. ‘Als je Chinese camera’s niet vertrouwt, moet je ze zeker niet aan het internet hangen’, zegt de oud-medewerker. Die behoefte ontstaat vaak uit gemak. Een Nederlandse olie- en gasproducent wilde vanuit kantoor en huis afgelegen locaties van het bedrijf kunnen waarnemen. Daarvoor had hij wel op afstand toegang nodig tot de videosystemen van Hikvision. ‘Ik zou dat anders inrichten’, adviseerde de Hikvision-medewerker hem.

Zoals bijvoorbeeld NS deed. Het vervoersbedrijf bestelde duizenden camera’s van Hikvision en Dahua. Maar NS nam wél voorzorgsmaatregelen: de camera’s zijn volgens het bedrijf niet aan internet gekoppeld, zitten in ‘aparte segmenten’, achter een firewall en de toegang is beperkt tot geselecteerde gebruikers.

Geheime Amerikaanse documenten

Voor Oleksi Koeprijenko is de optelsom duidelijk: Oekraïne loopt door de Chinese camera’s gevaar, schreef hij in een opiniestuk in de Kyiv Post. Zijn redenatie volgt de lijn van westerse veiligheidsdiensten: we weten dat China op allerlei manieren informatie probeert te stelen. We weten óók dat Chinese bedrijven worden gedwongen om met de staat samen te werken én dat sommige producten, zoals videosystemen, op gevoelige plekken hangen. Het zou raar zijn, is dan het argument, als China daar géén gebruik van zou maken. Koeprijenko: ‘En het is inmiddels algemeen bekend dat China informatie over Oekraïne deelt met Rusland. De Chinese positie jaagt me angst aan.’

De Oekraïense grensbewaking vroeg het Amerikaanse ministerie van Buitenlandse Zaken alvast te helpen om alle Chinese videocamera’s bij de grens te vervangen door Westerse apparatuur. Maar is er echt bewijs voor Chinese spionage via videosystemen? En komt die informatie vervolgens terecht bij Rusland, dat daar militair van profiteert? Koeprijenko: ‘Het eerlijke antwoord is dat ik geen hard bewijs heb.’

In de Pentagon Leaks, geheime Amerikaanse documenten die dit voorjaar uitlekten en ook in bezit zijn van de Volkskrant, staan nieuwe aanwijzingen. De Amerikaanse militaire dienst (DIA) constateert daarin dat producten van Hikvision, ondanks een officieel verbod, nog steeds in Amerikaanse defensiebedrijven zitten. Dat komt, schrijft de DIA, doordat Hikvision – ‘dat samenspant met Chinese inlichtingenpartijen’ – zijn producten vermomt, en zo mogelijkheden creëert voor Chinese spionage. De naam ‘Hikvision’ wordt door leveranciers van apparaten gehaald, waardoor defensiebedrijven zich niet realiseren dat ze een verboden product in huis halen. Een woordvoerder van Hikvision, dat net als Dahua alle beschuldigingen van spionage tegenspreekt, reageerde bij de BBC dat het nooit iets heeft gedaan of zal doen ‘dat tegen de wet indruist’. Op de relatie met de Chinese veiligheidsdienst ging het bedrijf niet in.

Beveiligingsonderzoeker Matthijs Koot begrijpt het Oekraïense wantrouwen. ‘Uiteindelijk is het land waar het product vandaan komt cruciaal.’ Dáár wordt de firmware in chips gezet, inclusief eventuele verborgen functies. En apparaten zoals videosystemen worden steeds complexer. ‘Door verregaande minimalisering zie je tegenwoordig chips, die weer bestaan uit meerdere chips – die allemaal hun eigen firmware hebben. Zonder peperdure laboratoriumapparatuur vallen die niet meer te doorgronden.’