nieuws
Russen zaten ten tijde van MH17-onderzoek door hack diep in systemen politie
Russische hackers zijn in 2017 binnengedrongen in de systemen van de Nederlandse politie. De politie was op dat moment bezig met het strafrechtelijk onderzoek naar het neerschieten van MH17. ‘Er heerste grote paniek.’
Russische hackers hebben Nederland in 2017 een gevoelige klap toegebracht. De hackers bleken doorgedrongen tot diep in de systemen van de Nederlandse politie, die op dat moment ook bezig was met het strafrechtelijk onderzoek naar het neerschieten van vlucht MH17. De hack werd niet opgemerkt door de politie, maar kwam aan het licht dankzij inlichtingen van de AIVD, blijkt uit onderzoek van de Volkskrant waarvoor is gesproken met directbetrokkenen.
Dat de Russische hackers in de systemen van de politie zaten, zorgde voor grote paniek mede vanwege het lopende MH17-onderzoek. De beveiliging van de politie bleek niet in orde en is na de ontdekking met meer monitoring en het verbeteren van het Security Operations Center (SOC) opgetuigd. De succesvolle Russische hack is nooit eerder bekend geworden. De politie wil de hack ‘bevestigen noch ontkennen’.
Op 5 juli 2017 kondigden Nederland, Oekraïne, België, Australië en Maleisië een belangrijke volgende stap aan in het strafrechtelijk onderzoek naar MH17. De landen, die samen het Joint Investigation Team (JIT) vormen, besloten dat de verdachten van het neerschieten van vlucht MH17 in Nederland berecht zouden worden. In een Nederlandse rechtbank, onder Nederlandse wetgeving. ‘Daarmee wordt beoogd recht te doen aan de 298 slachtoffers en aan hun nabestaanden’, stelden de vijf landen.
Die stap veranderde niets aan de mogelijkheid dat Russische verdachten ook daadwerkelijk berecht worden. Rusland zal verdachten niet aan Nederland uitleveren en heeft eerder de oprichting van een internationaal tribunaal geblokkeerd. Het land probeert sinds de ramp met het vliegtuig de onderzoeken te saboteren en ondermijnen. Daarvoor zet Rusland allerlei middelen in: uitgebreide beïnvloeding via sociale media, het hacken van officiële betrokken instanties zoals de Onderzoeksraad voor Veiligheid (OVV), diefstal van gegevens van Nederlandse onderzoekers, het bewerken van andere landen die bij het onderzoek zijn betrokken en de inzet van militaire spionnen.
Ook de politie en het Openbaar Ministerie waren daarbij regelmatig doelwit. Medewerkers kregen phisingmailtjes, er waren diverse aanvallen op de politiesystemen, Russische hackers reden in een auto met hackapparatuur in de buurt van het Landelijk Parket in Rotterdam. Succesvol was Rusland voor zover bekend niet bij deze hackpogingen, zeiden leidinggevenden van de politie eerder op achtergrondbasis tegen de Volkskrant. Maar in september 2017, twee maanden na de aankondiging van de vijf landen, volgde een ontnuchterend bericht.
AIVD ziet vreemde activiteit
De AIVD alarmeerde de politie over een hack. De geheime dienst beschikte over inlichtingen over een geïnfecteerd Nederlands ip-adres. De AIVD zoekt structureel naar informatie over Russische hackgroepen en slaagt er volgens ingewijden regelmatig in om ‘mee te kijken’. Dat kan in zowel de aanvalsinfrastructuur, zoals bij command and control-servers, of dichterbij de bron.
Vanaf het voorjaar van 2014 zaten hackers van de AIVD jarenlang in het computernetwerk van Cozy Bear, een hackgroep die gelieerd is aan de buitenlandse veiligheidsdienst SVR. Daardoor zag de AIVD onder meer hoe Cozy Bear in de aanloop naar de Amerikaanse presidentsverkiezingen in 2016 de Democratische Partij hackte. Ook nadat die toegang verloren ging, bleef de inlichtingendienst met wisselend succes in staat om af en toe met Russische hackers mee te kijken, vertellen bronnen. ‘De AIVD zit continu in verschillende hackgroepen’, zegt een bron. Ook diensten waarmee de AIVD nauw samenwerkt, beschikken over waardevolle inzichten over Russische hackgroepen. Soms verkregen door een eigen hack, soms door informatie uit internettaps.
In september 2017 had de AIVD informatie over doelwitten van Rusland in Nederland. Daaronder een Nederland ip-adres van een server van de Politieacademie. Die bleek gehackt, waarna de Russen via de Politieacademie de politiesystemen in konden. Op verschillende plekken werden sporen van de aanvallers aangetroffen, vertellen vier bronnen die alleen anoniem hun verhaal willen doen.
Zwakke schakel: de Politieacademie
De hackers maakten daarbij slim gebruik van de verbindingen tussen de Politieacademie en de politie zelf. De academie is onderdeel van de politie en politiemedewerkers met een organisatie-account kunnen op het netwerk. Sommige bronnen zeggen dat het om hackers van de buitenlandse dienst SVR ging (Cozy Bear), andere beweren dat ze van de militaire dienst GROe waren (ook wel Fancy Bear genoemd). Hackers van de SVR richten zich doorgaans op langdurige spionage en doen er veel aan om niet op te vallen, anders dan hun Russische collega’s van de militaire veiligheidsdienst, die lomper en sneller werken. De SVR was onder andere verantwoordelijk voor de ingenieuze hack van talloze Amerikaanse overheden en bedrijven via gemanipuleerde software die eind 2020 aan het licht kwam.
Ook in dit geval vonden de Russische hackers een zwakke plek. Op de besmette server van de Politieacademie draaide ‘exotische software’, aldus een ingevoerde bron. In die software hebben de Russen naar een kwetsbaarheid gezocht. Alle software bevat gaten en niet-ontdekte kwetsbaarheden. Hackers bij inlichtingendiensten proberen zo’n gat te vinden om zo ongezien organisaties binnen te komen. Ook diensten als de AIVD hebben dit soort zero days voor allerlei software en systemen op de plank liggen als gereedschap om snel ergens toegang te krijgen. Het voorkomt dat ze phisingmails moeten uitsturen die voor argwaan kunnen zorgen. Een server hacken met een zero day valt over het algemeen minder op.
Grote paniek
De ontdekking van de hack leidde tot ‘grote paniek’, zeggen diverse bronnen. Punt van zorg was het MH17-onderzoek maar ook de slechte beveiliging van de politiesystemen. De politie had de Russische infiltratie niet opgemerkt. De monitoring van de systemen werkte niet afdoende en de loggegevens waren niet in orde waardoor het zo goed als onmogelijk was om na te gaan waar de Russische hackers zaten of al waren geweest.
Complicerend was dat de politie vooral controle wilde houden, zeggen bronnen. De AIVD had Fox-IT bij het onderzoek betrokken maar er waren nog geen afspraken gemaakt over het uitwisselen van gevoelige gegevens. ‘Er was veel discussie over wie waar bij mocht en wie de leiding had.’ Daardoor ging kostbare tijd verloren.
Het complexe en zeer omvangrijke politienetwerk, met allerlei subnetwerken voor de tienduizenden medewerkers, zorgde bovendien voor een onoverzichtelijke situatie. ‘Het politienetwerk is zo groot, ze konden op verschillende plekken binnen zitten.’ Onderzoekers, van de AIVD, Fox-IT, het Team High Tech Crime, wisten niet waar ze allemaal moesten zoeken. Het enige wat ze zeker wisten: de Russen zijn binnen.
Ook ontstond discussie over de vervolgstappen: de aanvallers zo snel mogelijk uit de systemen halen of afwachten en hun gedrag registreren? Het kan nuttig zijn het gedrag van een andere inlichtingendienst te observeren, bijvoorbeeld om te zien in welke documenten ze geïnteresseerd zijn. Toch werd besloten de Russen zo snel mogelijk uit de systemen te werken, met als nadeel dat de impact van de hack onbekend zou blijven. ‘Er waren een hoop vraagtekens. Hoe lang zaten ze al binnen? Was dit de eerste keer? Hadden ze al data weggesluisd? Dat was niet duidelijk’, zegt een ingewijde. Een ander: ‘Het was onbekend welke data ze hadden meegenomen.’
Onenigheid AIVD en politie
Na de hack heeft de AIVD volgens bronnen aangedrongen op snelle beveiligingsmaatregelen bij de politie. Dat zorgde voor frictie met de politie die zeggenschap wilde over het eigen verbetertraject. ‘Zo lang het een incident is, kan de politie de bemoeienis niet weigeren en mag de AIVD interveniëren’, aldus een bron.
De politie moest onder meer de kroonjuwelen veiligstellen; de belangrijkste en meest gevoelige informatie. Ook werd een ‘weerbaarheidsprogramma’ geïnitieerd en een ‘roadmap’ naar een veiligere organisatie. De AIVD vond dat echter niet afdoende en wilde dat de politie direct zou starten met onder meer goede monitoring. Daarop is, zonder een officiële aanbesteding en voor ‘een flinke smak geld’, onmiddellijk een monitoringsproject begonnen met Fox-IT en Deloitte.
Ook heeft de politie samen met het Team High Tech Crime (THTC) het Security Operations Center (SOC) uitgebreid waarvoor ook personen van THTC werden geworven. Om hen te enthousiasmeren voor die functie en omdat de nood hoog was, kregen zij volgens bronnen een schaal hoger aangeboden terwijl het werk minder interessant is. Lang niet alle gewenste maatregelen konden meteen worden ingevoerd. Een aantal projecten ter verbetering loopt nog steeds.
De AIVD wilde niet ingaan op vragen over de hack. In het jaarverslag over 2017 schrijft de dienst dat het strategisch belang van de Nederlandse politiek en rechtspraak voor Rusland sterk zijn toegenomen ‘sinds het neerhalen van vlucht MH17’. Ook de politie wilde geen vragen beantwoorden, behalve dat het Security Operations Center na 2014 is opgezet en dat een aantal medewerkers van het Team High Tech Crime inderdaad is overgestapt.
UPDATE: Dit artikel is op 8 juni 2021 om 11.22 uur aangepast met nieuwe informatie. Sommige bronnen claimen dat de hack is uitgevoerd door hackers van de SVR, anderen beweren dat het om de GROe gaat. Die informatie is in het artikel verwerkt.
