Waarom zijn de hackers van de AIVD zo goed?

Vijf vragen

Al bijna twintig jaar investeert de AIVD in digitale spionage. Die kennis loont, maar er zijn meer redenen waarom Nederland bij de top zit.

Foto Myrthe van Gurp

1. Waarom zijn de hackers van de AIVD zo goed?

De AIVD was er al snel bij. Al rond 2000 had de dienst een eigen offensief hackteam, nog voordat YouTube, Twitter en Facebook bestonden. En nog voordat data massaal via glasvezelkabels gingen. Het is een van de verklaringen waarom de AIVD bedreven is in het binnendringen van vijandelijke netwerken.

Een ander is dat Nederland vooroploopt qua internetgebruik. Het aantal mensen met een internetaansluiting ligt internationaal gezien hoog. Met het Amsterdamse internetknooppunt AMS-IX heeft Nederland bovendien een van de grootste schakelpunten ter wereld: honderden grote internetproviders maken in de hoofdstad verbinding met elkaar en met partijen als Google, Facebook en Yahoo. Dit hechte netwerk van internetkabels zorgt ervoor dat veel digitale aanvallen, bewust of onbewust, via Nederland gaan. En dat is een kans voor de hackers van de AIVD.

Want aanvallers laten sporen na. En die sporen verraden soms wat iemands doel is, of beter: waar de aanval vandaan komt. De dienst heeft in al die jaren expertise opgebouwd in het bestuderen van kwaadaardige software. De Russen zijn de laatste jaren vrij actief Nederlandse doelwitten aan gaan vallen. De daarbij gebruikte malware kan nuttige informatie bevatten. Het is een kunst an sich om in die ingewikkelde codes aanwijzingen, zoals een certificaat of ip-adres, te vinden. Een aantal specialisten bij de AIVD is er bedreven in.

Vervolgens moet het mogelijk zijn om het computernetwerk binnen te dringen. Daarvoor is kennis over de zwaktes van systemen weer cruciaal. Een gelukje helpt ook. Bijvoorbeeld als het netwerk waarin je wilt zitten gebruikmaakt van een besturingssysteem waar bekende kwetsbaarheden in zitten.

Bronnen vertellen dat de Nederlandse hackers, anders dan bijvoorbeeld de Russen of Chinezen, erg zorgvuldig te werk gaan. Liever een paar dagen extra wachten, dan ontdekking riskeren. Het is een mogelijke verklaring waarom het niet opviel dat de Nederlandse hackers de Russen in hun eigen land bespioneerden.

2. Wat gebeurde er met de Nederlandse waarschuwingen?

Het is op het oog een raadsel: de Nederlandse hackers zien dat de Russen in juli 2015 de Democratische Partij binnendringen en toch duurt het nog bijna een jaar - tot juni 2016 - voordat ze uit de systemen gewerkt worden. Hoe kan dat?

De Nederlanders waarschuwen de Amerikanen al in de zomer van 2015. Via Amerikaanse media is bekend dat de FBI daarop ook de Democratische Partij alarmeerde. Maar die deden niets met de waarschuwing. Sowieso was er terughoudendheid om een federale opsporingsdienst toegang te geven tot de computersystemen van de politieke partij. Op de achtergrond speelde ook nog het FBI-onderzoek naar het e-mailgebruik van voormalig minister van Buitenlandse Zaken Hillary Clinton.

De Amerikaanse diensten die de Nederlandse info ontvingen konden weinig meer doen dan waarschuwen. Pas veel later, toen via WikiLeaks duizenden buitgemaakte e-mails en bestanden, publiek werden, werd de ernst duidelijk. Het beveiligingsbedrijf Crowdstrike deed daarna onderzoek naar de infiltratie en kon vrij nauwkeurig reconstrueren hoe twee Russische groepen, Cozy Bear en Fancy Bear, de Democratische Partij hadden aangevallen. Dit onderzoek is veel aangehaald en wordt gezien als belangrijk bewijs voor de Russische betrokkenheid.

De Britse geheime diensten, zo vertellen Amerikaanse bronnen, hadden redelijk goed zicht op Fancy Bear, de Russische groep die gelieerd is aan de Russische militaire veiligheidsdienst GROe. Die brachten een groot deel van de e-mails via WikiLeaks naar buiten. Het waren dus niet alleen de Nederlanders die waarschuwden en zicht hadden op de Russische hackers. Ze waren wel de eersten en de enigen met toegang tot het interne computersysteem van Cozy Bear, gelieerd aan de Russische SVR - de belangrijkste buitenlandse veiligheidsdienst van Rusland. In taakopvatting vergelijkbaar met de CIA.

Foto Myrthe van Gurp

3. Wat betekent de Nederlandse toegang voor het onderzoek van speciaal aanklager Mueller?

Het leidt geen twijfel, zeggen Nederlandse en Amerikaanse bronnen, dat het Nederlandse zicht op Cozy Bear een cruciaal bewijs vormt voor de Russische inmenging in de Amerikaanse presidentsverkiezingen. En dat het daarom ook, hoewel niet toegeschreven aan de AIVD en MIVD, in het eindrapport van speciaal aanklager Robert Mueller zal staan.

Attributie is verschrikkelijk lastig als het gaat om digitale aanvallen. Aanvallers laten geen handtekening achter. Alleen de gekozen route, het tijdstip van de hack en de gebruikte malware kunnen iets verraden over waar het vandaan komt. Al is dat ook te manipuleren. De CIA gebruikt bijvoorbeeld software om bij aanvallen de afkomst te maskeren door net te doen alsof de code bijvoorbeeld in een cyrillisch schrift of tijdens Russische werktijden is geschreven.

Daarom is de Nederlandse toegang zo bijzonder: meekijken vanaf de bron is uniek en levert onomstotelijk technisch bewijs over de Russische betrokkenheid.

Speciaal aanklager Robert Mueller. Foto Myrthe van Gurp

4. Hoe zeker is het dat de Russische overheid achter de hacks zat?

Bij alle betrokkene inlichtingendiensten bestaat daarover geen twijfel. De CIA, FBI en NSA zeggen dat ze er 'groot vertrouwen' in hebben dat de Russische overheid achter de hacks op de DNC zaten. Die zekerheid ontlenen ze onder andere aan de Nederlandse toegang tot Cozy Bear. Dat het de hackers van de AIVD tevens lukte om een beveiligingscamera te hacken waardoor van elke bezoeker een foto bestaat, heeft de zekerheid over de bemoeienis door het Kremlin verder vergroot.

5. Had de Nederlandse toegang met MH17 te maken?

Nee. Rusland en het onderkennen van Russische spionage is sowieso topprioriteit voor de Nederlandse geheime diensten. Waar tijdens de Koude Oorlog inlichtingen werden geworven door informanten, gebeurt dat nu veel meer digitaal. De techniek maakt het mogelijk om vanuit Zoetermeer vijandelijke computernetwerken binnen te dringen. De AIVD richt zich daarbij vooral op activiteiten van de binnenlandse veiligheidsdienst FSB en de buitenlandse SVR, de MIVD meer op de militaire GROe. De hackers van de AIVD waren al vóór het neerhalen van MH17 bezig om toegang tot het computernetwerk van Cozy Bear te krijgen. Zo'n mogelijkheid kan de dienst niet onbenut laten. Inlichtingen verzamelen vanaf de bron is een ongekende luxe, zeker waar het Rusland betreft.

Het is wél mogelijk dat de toegang tot Cozy Bear inlichtingen opleverden over Russische pogingen om alternatieve theorieën over MH17 de wereld in te helpen. Het zou ook kunnen dat de AIVD en MIVD in ruil voor inlichtingen over Cozy Bear informatie over MH17 van de Amerikanen kregen.


Zo zag de AIVD hoe Russische hackers Amerika aanvielen

Hackers AIVD leverden cruciaal bewijs over Russische inmenging in Amerikaanse verkiezingen
Digitale agenten van de AIVD infiltreren in de zomer van 2014 in de beruchte Russische hackgroep Cozy Bear. Ze zien zo als eersten hoe de Russische hackers in verkiezingstijd doelen in de VS bestoken: de Democratische Partij, het ministerie van Buitenlandse Zaken en zelfs het Witte Huis. Het is cruciaal bewijs en aanleiding voor de FBI om een onderzoek te beginnen.

Zo kwam het verhaal over het cruciale werk van de AIVD in het onderzoek naar Russische beïnvloeding van de Amerikaanse verkiezingen tot stand
De directe aanleiding voor het onderzoek naar de jarenlange Nederlandse toegang tot de bekende Russische hackgroep Cozy Bear was een tip in de zomer van 2017. Tijdens een zeven maanden durend onderzoek lukte het Volkskrantjournalist Huib Modderkolk en Nieuwsuurjournalist Eelco Bosch van Rosenthal om in totaal vijftien personen - in Nederland en daarbuiten - te spreken. Soms door bij mensen aan te bellen, soms door via-via een gesprek op te zetten, soms met hulp van versleutelde communicatie. Lees hier hoe het hele onderzoek in zijn werk ging.

Hoe de Democraten en de FBI blunderden, en Russische hackers profiteerden
Dankzij de hack bij de Democraten vorig jaar kwamen via Wikileaks tienduizenden e-mails op straat te liggen. Enorme onthullingen stonden daar niet eens in, maar de onrust, de onzekerheid en het rumoer hebben de (al zwakke) kandidatuur van Hillary Clinton zeker verzwakt. En Rusland kreeg vervolgens de Amerikaanse president die het wilde. Lees hier hoe de Democratische partij, de FBI en president Obama alle drie steken lieten vallen toen Russische hackers zich met de Amerikaanse verkiezingen gingen bemoeien.

Russen faalden bij hackpogingen ambtenaren op Nederlandse ministeries
De twee Russische groepen die achter de hack bij de Democratische Partij in de Verenigde Staten zaten, hebben ook geprobeerd bij Nederlandse ministeries binnen te dringen. Een daarvan was Algemene Zaken. Voor zover bekend is het ze daarbij niet gelukt om gevoelige informatie te bemachtigen, bleek uit onderzoek van Volkskrantjournalist Huib Modderkolk.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.