Reconstructie

Hoe de Democraten en de FBI blunderden, en Russische hackers profiteerden

Reconstructie Russische hacks

De Democratische partij, de FBI en president Obama hebben alle drie steken laten vallen toen Russische hackers zich met de Amerikaanse verkiezingen gingen bemoeien.

Clintons campagneleider John Podesta Beeld afp

Ergens in september 2015 nam Yared Tamene de telefoon op, op het hoofdkwartier van de Democratische partij in Washington. Hij was als ict-er parttime gedetacheerd bij de helpdesk van de Democraten, en beantwoordde vooral vragen van medewerkers over databases. Maar dit telefoontje kwam van buiten.

De FBI aan de lijn. Of althans: iemand die zei dat hij Special Agent Adrian Hawkins van de FBI was. Volgens hem was minimaal één van de computersystemen van de partij besmet met een spionagevirus. Een groep hackers met de naam 'The Dukes' zou zijn binnengedrongen. Een groep die volgens cyberanalisten gelieerd zou zijn aan het Kremlin.

Met die scène begint een gedetailleerde reconstructie van The New York Times waarin drie onderzoeksjournalisten in detail beschrijven hoe de Democraten het afgelopen jaar zijn gehackt, waardoor deze zomer en dit najaar via Wikileaks tienduizenden e-mails op straat kwamen te liggen. Enorme onthullingen stonden daar niet eens in, en of de hacks de verkiezingsuitslag hebben veranderd is onkenbaar, maar de onrust, de onzekerheid en het rumoer hebben de (al zwakke) kandidatuur van Hillary Clinton zeker verzwakt.

En Rusland kreeg vervolgens de Amerikaanse president die het wilde.

Serieus telefoontje of een grap

De toedracht is een verhaal van geblunder en onderschatting, van domme fouten en maandenlange laksheid. Maar bij herhaling, op elk niveau, stuitten de betrokkenen op de grote vraag van dit verkiezingsjaar: wat is waar? Moet ik dit geloven?

Tamene wist het niet. 'Ik kon met geen mogelijkheid horen of dat een serieus telefoontje was of een grap', schreef hij later in een interne memo aan zijn superieuren, die door The New York Times is gezien. Hij googlede op 'the Dukes' en zocht in het systeem naar aanwijzingen voor een digitale inbraak. Maar heel hard zocht hij niet, want heel serieus nam hij de beller ook niet. FBI-agent Hawkins probeerde de weken daarna Tamene nog een paar keer te pakken te krijgen, maar die nam niet meer op en retourneerde de telefoontjes ook niet. Hij had wel wat beters te doen. (Dat de Democraten trouwens niet terugbellen is een probleem dat ook veel journalisten kennen).

'Ik had niets te rapporteren', schrijft hij in een memo aan zijn chef, als reden waarom hij geen contact meer opnam met de FBI.

Hillary Clinton Beeld afp

Verdedigen

De reden dat hij niets zag was omdat de virusscanners van de Democraten nogal primitief waren. Ja, ze filterden spam en sommige phishing-mailtjes, maar waren geen partij voor geavanceerde aanvallers. The Dukes, zo blijkt uit een rapport van cyberbeveilingsbedrijf F-Secure, hadden al jarenlange ervaring met het aanvallen van voor Rusland interessante doelwitten. Ze begonnen met cyberaanvallen op Tsjetsjeense separatisten in 2009, en in de jaren daarna zijn verschillende landen in de voormalige Sovjet-Unie en het Midden-Oosten geïnfiltreerd. Ook Russische drugssmokkelaars waren slachtoffer van de hackers.

'We hadden nooit genoeg geld om te doen wat we moesten doen', zegt Andrew Brown, de ict-directeur van de Democratische partij, tegen The Times. Een politieke partij heeft nooit zo veel middelen als een bedrijf, is zijn excuus, en dan komt cyberbeveiliging achteraan (hoewel het ook een kwestie kan zijn van prioriteiten).

Maar het is niet alleen de software die niet goed is toegerust om de computers te verdedigen. Tamene, die de zaak probeert af te handelen, is volgens zijn linkedin-profiel vooral goed in databases en het Microsoft-mailprogramma. Cybersecurity staat er niet bij. En bij Brown, zijn chef, gingen ook geen alarmbellen rinkelen toen Tamene hem op de hoogte stelde van de aanhoudende telefoontjes van de FBI. Brown was te druk met andere dingen: Bernie Sanders had een kiezersbestand van Hillary Clinton achterover gedrukt. Sanders was een veel duidelijker vijand.

Wikileaksoprichter Julian Assange Beeld ap

Maandenlang rondkijken

Het was inmiddels november. Special agent Hawkins van de FBI had een nieuwe ontdekking gedaan: het spionagevirus in de Democratische computers begon 'naar huis te bellen', ofwel informatie te versturen naar een server in Rusland. Tamene, die eindelijk heeft gesproken met Hawkins, stuurt zijn baas een berichtje van de bevindingen van de FBI. 'Ze denken dat dit naar-huis-belgedrag het resultaat is van een door een ander land gesteunde aanval.'

Maar Brown deed niets, en de bestuursleden van de Democratische partij wisten van niets.

De FBI ging ook niet hogerop. Hawkins' contact bleef beperkt tot inhuurkracht Tamene. Wel hadden ze, zo tegen maart, elkaar inmiddels twee keer ontmoet. Tamene wist nu zeker dat Hawkins echt een FBI-agent was.

Maar er gebeurde verder niets, en op die manier konden de Russen maandenlang in de Democratische systemen rondkijken. Hoe langer zo'n verkenning kan duren, hoe hardnekkiger zo'n virus zich nestelt: de aanvallers kunnen allerlei informatie (wachtwoorden, privézaken) vinden waarmee ze verder kunnen doordringen in het systeem.

Phising-mailtje

Het waren de hackers die de volgende stap zetten. Want in maart 2016 sloeg een tweede virus toe. Verschillende medewerkers van de Clinton-campagne kregen een phishing-mailtje, ogenschijnlijk van Google, dat hen waarschuwde dat iemand in Oekraïne had geprobeerd in te loggen op hun Gmail-account. Of ze maar even op een link wilden klikken en hun wachtwoord wilden veranderen.

Sommige campagnemedewerkers deden dat meteen, anderen twijfelden. Ook campagneleider John Podesta kreeg op 19 maart zo'n mailtje. Een van zijn helpers, die toegang had tot zijn mail, vertrouwde het niet en vroeg een ict-er, Charles Delavan, om hulp. Die schreef terug: 'Deze mail is legitimate. John moet onmiddellijk zijn wachtwoord veranderen.'

Nu, door de Times-verslaggevers gevraagd naar de reden waarom hij groen licht gaf, zegt Delavan dat hij een tikfout maakte. Hij wist dat het een phishing-mail was, want hij had hetzelfde mailtje bij tientallen andere medewerkers gezien. Hij had willen schrijven: 'Deze mail is illegitimate.' Maar op de een of andere manier, zegt hij, schreef hij het tegenovergestelde. Hij is er nog steeds kapot van.

Wachtwoorddiefstal

Met de klik van Podesta kwam in één klap zijn hele gmail-correspondentie van de laatste tien jaar (zestigduizend mailtjes) bij de hackers terecht. Via een andere route kwamen de hackers ook in het systeem van de Democratische partij zelf, waar ze de elektronische correspondentie van bestuursleden zoals voorzitter Debbie Wasserman Schultz tegenkwamen. Wat ze er precies mee zouden doen wisten ze waarschijnlijk toen nog niet. Hackers improviseren voortdurend, en zien wel wat ze tegenkomen - het is eens soort schatgraven. Hoe veel de schat waard is weet je pas als je hem aan de markt biedt.

De FBI zag het gebeuren, maar hun waarschuwingen waren nog steeds aan dovemansoren gericht. In april schaften de Democraten wel software aan om hun systemen beter te monitoren. Door dit systeem merkte Tamene eind april dat er iets geks aan de hand was - en toen gingen de alarmbellen rinkelen. 'De DNC is wellicht serieus gehackt deze week', schreef hij. 'Met wachtwoorddiefstal etc.'

De partij richtte een noodcommissie op en schakelde de cybersecurityfirma CrowdStrike in. De analisten ontdekten de vingerafdrukken en voetsporen van twee beruchte hackersgroepen, zogeheten Geavanceerde Hardnekkige Dreigingen, APT-28 en APT-29, met de codenamen Cozy Bear en Fancy Bear. In hun hardnekkigheid en organisatiegraad schuilt de verdenking dat ze door een staat worden gesteund. En die verdenking richt zich op Rusland, om precies te zijn de Russische geheime diensten GRU en FSB.

Te laat

Waterdicht zijn de bewijzen nooit. Attributie, zoals dat heet, is per definitie lastig in cyberkringen. Omdat een hack puur met nullen en enen wordt uitgevoerd kan iedereen zich als iemand anders voordoen. De reden dat CrowdStrike de hacks toch tpot de Russen herleidt heeftv te maken met de locatie van de servers waar de informatie naar toe ging, de Moskouse kantoortijden van de hackers, de Russische codenaam van een van de daders die zich in eerste instantie als Roemeen voordeed, en andere doelwitten waarin eerder sporen van de twee Bears werden aangetroffen: het zijn doelwitten die interessant zijn voor Rusland.

Maar goed: een hacker kan dat in theorie ook allemaal nadoen. (Dat is de reden dat bijvoorbeeld The Intercept van Glenn Greenwald het bewijs gisteren 'goed, maar niet goed genoeg' vond). De FBI, de DNC, het Witte Huis, het Kremlin en het team-Trump gaven woensdag geen commentaar op de bevindingen van The New York Times.

Hoe dan ook: het was te laat. De mails kwamen bij Wikileaks terecht, die ze in twee golven publiceerde (in juli en in oktober). Er stond niet eens zo heel veel nieuws in, maar ze gaven een inkijkje in de werking van de Democratische partij. De relletjes en details waren voor Amerikaanse media hapklaar genoeg om er eindeloos over te publiceren.

Twijfel

Of de hacks Clinton over de rand hebben geduwd kunnen we niet weten. Ook zonder de hacks was Clinton een zwakke kandidaat: hoe sterk ze inhoudelijk ook was, ze sleepte haar verstrengelde ambities en de last van een dynastieke macht met zich mee, terwijl het electoraat op de gewichtsloosheid van een outsider zat te wachten - wat voor verleden die ook had.

De regering-Obama dreigde met vergelding, maar wachtte eindeloos en deed uiteindelijk niets, of althans niets zichtbaars - volgens de Times uit angst dat de Russen nog harder zouden terugslaan, misschien op verkiezingsdag zelf. In een reactie zegt het Witte Huis dat het nog een maand de tijd heeft voor revanche.

Maar ook voor het Witte Huis geldt dat attributie lastig is. Hoe zeker moet je van je zaak zijn voordat je terugslaat? Obama, de aartstwijfelaar, twijfelt misschien nog steeds.

Intussen richten de Russen zich op Europa, zo waarschuwde de baas van de Duitse geheime dienst twee weken geleden.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.