Op jacht naar de meest gezochte hacker ter wereld

Om cybercriminelen te vangen, werkt Nederland nauw samen met Rusland, het hackersland bij uitstek. Een uiterst ongemakkelijke samenwerking, blijkt uit de jacht op Bogatsjov.

Beeld Illustratie Nigel Buchanan

Tik. De meter in het halfopen elektriciteitskastje naast nummer 223 draait een slag verder. Het is het enige geluid in de onverlichte hal op de veertiende en hoogste verdieping van een gelige woontoren in de Russische kustplaats Anapa. De lift is schokkerig omhoog gegaan. Hoe hoger de verdieping, des te keuriger de etage en indrukwekkender het uitzicht over de Zwarte Zee. De bovenste woonlagen hebben een extra deur tussen overloop en hal. Rechtsboven ons kijkt een kokervormige bewakingscamera op ons neer.

Achter de zwarte deur met antieke zilveren deurgreep een meter verder zou de 33-jarige man zitten die zich al jaren verstopt voor de Amerikaanse FBI. Drie miljoen dollar hebben de Amerikanen over voor de tip die tot zijn aanhouding leidt; het hoogste bedrag ooit voor een dergelijke crimineel.

Beneden voor de woontoren, net buiten de slagboom, staat een zwartkleurige Jeep Grand Cherokee, kenteken O400YO. Precies het type waarin de 1 meter 75 kale man - hij scheert zijn bruine haar af - rijdt. Een bescheiden exemplaar gezien zijn enorme inkomsten. Schattingen komen uit op honderden miljoenen dollars.

De man die zich hier in Anapa schuilhoudt, heet Jevgeni Bogatsjov. Hij is de meest gezochte hacker ter wereld. Meer dan één miljoen computers drong hij illegaal binnen en gebruikte hij voor digitale bankovervallen. Bogatsjov is gespecialiseerd in financiële fraude: aan elk computersysteem ontfutselt hij financiële informatie. ABN Amro was een van zijn eerste slachtoffers, duizenden andere volgden zoals een politiekantoor in Massachusetts, ziekenhuizen en honderden willekeurige individuen die online werden afgeperst met gijzelingssoftware.

Maar Bogatsjov is niet alleen een slimme hacker. Hij is ook een buitengewoon goede ondernemer die een indrukwekkende organisatie leidt en zijn gestolen miljoenen investeert in vastgoed in de Russische regio Anapa. Door zijn macht en netwerk is hij een interessante partner geworden voor de Russische veiligheidsdiensten, die graag gebruikmaken van zijn kennis en vaardigheden. De Amerikanen beschuldigen hem van spionage.

Zo is Bogatsjov de spil geworden in een conflict tussen de Amerikanen en de Russen. Een conflict waarbij Nederland een tot nog toe onbekende hoofdrol speelt. In 2009 bracht de Nederlandse politie de Russische geheime dienst en de Amerikaanse FBI in een unieke samenwerking bijeen in Driebergen. Alles wees er toen nog op dat deze landen samen Bogatsjov wilden oppakken.

Wie is deze mysterieuze Rus precies? En waarom is hij nog steeds op vrije voeten? We drukken op de witte bel waarop met stift '223' is geschreven.

Beeld Illustratie Nigel Buchanan

Goede truc

Martijn van de Beek kijkt de zaal nog eens rond, vlak voor hij het podium opstapt. Het hoofd van de Russische veiligheidsdienst FSB heeft net de conferentie geopend. Daarna sprak de Russische president Poetin de zaal toe. Nu is Van de Beek aan de beurt.

De zaal zit vol. De CIA, FBI, de Israëlische Mossad, de Duitse en Zuid-Afrikaanse geheime dienst, bijna iedereen die er toe doet in de wereld van de inlichtingen- en veiligheidsdiensten is vandaag in de Russische stad Chabarovsk, nabij de Chinese grens.

Van de Beek, zo vertellen meerdere betrokken bronnen, is die septemberdag in 2007 op missie in Rusland. Hij is sinds kort teamleider van de High Tech Crime Unit van de Nederlandse politie en als hij met zijn nieuwe club iets wil bereiken, moet hij hier zijn. Hier begint de samenwerking met buitenlandse diensten. Handen schudden, kaartjes uitwisselen; het routineuze conferentiehandwerk. En vooral vertrouwen winnen van de Russen.

De Nederlandse politie wil gaan samenwerken met de Russen om cybercriminelen aan te pakken. Natuurlijk zijn er in Nederland ook hackers en cybercriminelen, maar dat is kruimelwerk. Het echte gevaar komt uit Rusland. En daarom houdt Van de Beek een opmerkelijke toespraak. Eerst prijst hij de capaciteiten van de Russische FSB, daarna bedankt hij ze uitvoerig voor de 'geweldige' samenwerking. Want zonder de Russen is Nederland nergens in de strijd tegen hackers.

Terwijl hij zijn verhaal houdt, ziet hij verbaasde gezichten bij vertegenwoordigers van andere landen. Heeft Nederland zo'n goede samenwerking met de FSB? De truc werkt. In de pauze komen meerdere FSB-agenten naar Van de Beek toe. Ze bedanken hem voor de mooie speech en wisselen contactgegevens uit. Want ook zij willen graag meer doen tegen digitale misdaad.

De contacten die Van de Beek in 2007 in Chabarovsk legt, vormen het begin van een goede samenwerking tussen de Nederlandse politie en de FSB. Het helpt daarbij enorm dat de Nederlandse politievertegenwoordiger in Moskou, Ludo Pals, het respect van de Russen heeft. Hij kent hun mores. Geen dure Porsche rijden, daar houden ze niet van. Wel de auto pontificaal op de stoep zetten. Pals weet definitief het vertrouwen van de Russen te winnen door ze te verslaan bij een schietwedstrijd met de Spetsnaz, de speciale eenheden van politie en leger. Dat hij geen wodka drinkt maar melk is daarna geen probleem meer.

Een belangrijke contactpersoon voor de Nederlandse politie wordt Sergej Michajlov, plaatsvervangend hoofd van de FSB-afdeling voor digitale criminaliteit. Die functie is bij de FSB voorbehouden aan de inhoudelijk sterkste persoon. Michajlov komt geregeld naar Driebergen, het hoofdkantoor van de politie, voor overleg. Zijn bezoeken worden voorbereid en afgestemd met de AIVD.

Bij de politie kunnen ze het goed met hem vinden. De Rus heeft veel interesse in het Westen en vindt het leuk om door Europa te reizen. Michajlov komt zo vaak langs dat hij weet hoe een echte Nederlandse stroopwafel het lekkerst smaakt: eerste even opwarmen op een kop koffie. Tijdens gesprekken deelt hij informatie uit hun dossiers, opgebouwd door ouderwets opsporingswerk. Onderzoekers zijn soms verbijsterd hoeveel persoonlijke informatie de Russen over verdachten weten te verzamelen. Alsof ze jarenlang bij hen thuis hebben gezeten.

Jevgeni Bogatsjov investeert zijn gestolen miljoenen onder meer in vastgoed inde Russische regio Anapa aan de Zwarte Zee.

Omdat veel digitale aanvallen en de communicatie van criminelen via Nederlandse servers gaan, is de Nederlandse rol cruciaal. Zo ontstaat een driemanschap: de FSB levert identiteitsgegevens, Nederland kan aftappen en de FBI infiltreert in online fora en helpt met de opsporing.

Niet iedereen is blij met de nauwe samenwerking die ontstaat tussen de Nederlandse politie en de Russen. De FSB is een gecombineerde dienst, die aan de ene kant politiewerk doet, zoals opsporing van criminelen, en tegelijkertijd een geheime dienst is. Als opvolger van de roemruchte KGB is de dienst ook verantwoordelijk voor spionage en het verzamelen van inlichtingen.

Dat vinden ze bij het ministerie van Buitenlandse Zaken en de Nederlandse geheime dienst AIVD geen fijne gedachte. Natuurlijk is er samenwerking met buitenlandse diensten en wordt informatie gedeeld, maar bevriende inlichtingendiensten bestaan niet. En FSB-agenten die naar de Hoofdstraat in Driebergen komen? Daar krijgen ze de zenuwen van. Want wie zegt dat die Russen hier niet komen spioneren?

Hier botsen twee werelden. De politie die pragmatisch denkt en voor opsporing in het buitenland samenwerking zoekt en de AIVD die contacten met de Russen veel politieker en vanuit risico's beoordeelt. Uit voorzorg worden de ruimtes waar Nederlandse agenten hun FSB-collega's spreken na afloop helemaal binnenstebuiten gekeerd, waarbij het systeemplafond er even uit gaat. Een 'sweep-team' van het Korps Landelijke Politiediensten kijkt of de Russen niet stiekem spionage-apparatuur hebben achtergelaten. Na 2012 is de afspraak dat alle politiemensen die FSB'ers spreken, vooraf én naderhand langs de AIVD gaan.

De politieonderzoekers die direct met de Russen werken, vinden die achterdocht onzin. De FSB'ers die zij kennen, zijn gewoon politiemannen. Die zijn niet geïnteresseerd in inlichtingen en spionage. Neem Michajlov, een echte agent die geniet van een mooi onderzoek 'draaien'. En waarom zouden Amerikanen meer te vertrouwen zijn dan Russen? Als Russen 'ja' zeggen, dan is het ook 'ja'. Die geven hun woord en houden zich daaraan. Amerikanen flikken nog weleens een kunstje.

Dat merkt ook iemand van het politieteam. Tijdens een overleg met de FSB en de Amerikaanse FBI in Driebergen komt een Russische collega naar hem toe. Hij wijst naar de man van de FBI. 'Hij is jullie data aan het kopiëren', waarschuwt de Rus. Als de onderzoeker gaat kijken, ziet hij inderdaad dat de Amerikaan een usb-stick in een politielaptop heeft zitten en stiekem Nederlandse informatie kopieert.

De witte bel van nummer 223 werkt eenvoudig. Geen gedoe met een intercom. Dat we bij 223 staan en niet verderop in de woontoren bij nummer 101, het adres waar Bogatsjov volgens de laatste informatie van de FBI zou wonen, heeft een simpele reden. Op de brievenbus staat een andere naam en buren zeggen dat hij er niet meer woont. Aanbellen leverde geen reactie op, kloppen ook niet.

Een jongeman verwijst ons naar nummer 223, op dat adres komen rekeningen van Bogatsjov binnen. Dit penthouse is bovendien een geschiktere plek voor iemand met geld. Geen bovenburen, majestueus uitzicht op de baai en heuvels rondom Anapa, een niet zo'n grote kustplaats die de laatste jaren een stevige groei kent door toenemend Russisch toerisme.

Een klein jaar nadat Martijn van de Beek actief op zoek is gegaan naar samenwerking met Russische collega's, begint zijn team met een uniek project. Iedereen die digitale misdaad onderzoekt, weet dat de meeste dreiging uit Rusland komt. Want Russen hebben een redelijk goede basisopleiding, weinig uitzicht op goed betaald werk, maar wel snel internet. En dat is hun toegang tot geld en macht.

En er is een concrete aanleiding. Bij ABN Amro verdwijnen grote sommen geld van de rekeningen van klanten. Het merkwaardige is dat alle signalen naar de klanten zelf wijzen: hun gebruikersnaam is gebruikt, hun wachtwoord en zelfs hun ip-adres. Hoe kan dat?

Beeld Illustratie Nigel Buchanan

ZeuS

Op de systemen van de bank is niets geks te zien. Maar de slachtoffers zeggen dat zij geen geld van hun rekening hebben gehaald. Als de onderzoekers vervolgens de computers van de rekeninghouders bekijken, schrikken ze. Ze zijn allemaal besmet met eenzelfde virus, genaamd ZeuS.

Het is berucht bij onderzoekers en bekend bij criminelen: een meesterwerk, een nieuwe standaard voor hackers. Het virus sluipt naar binnen via bijlages bij mails waarop onachtzame gebruikers klikken. Eenmaal binnen dan heeft de hacker vrij spel.

De malware is gemaakt om informatie te stelen, zoals inlognamen, wachtwoorden, adresgegevens en veiligheidsvragen. Daarvoor haalt het virus een ingenieuze truc uit. De malware maakt de inlogpagina van een bank exact na, op het moment dat een klant wil inloggen. Hij schuift dat extra venster in feite voor de inlogpagina van de bank. De klant denkt dat hij zijn gegevens invult op de website van de bank, maar vult alles in op de webpagina van de hacker. Die kan ook, met tussenpozen, om extra informatie vragen, bijvoorbeeld veiligheidsvragen, telefoonnummer of codes die banken toesturen ter verificatie. Die gegevens gebruiken de aanvallers om de rekeningen van slachtoffers leeg te halen.

Tegen deze vorm van criminaliteit is nauwelijks iets te doen: het virus is bijzonder effectief en de eigenaren verschuilen zich achter anonieme internetbrowsers. En vaak maken ze gebruik van de servers van de Nederlandse provider Leaseweb. In 2008 gaat 27 procent van het Europese dataverkeer via de servers van dit bedrijf uit Haarlemmermeer. De politie heeft hier wel een verklaring voor. 'Dit heeft vermoedelijk te maken met de combinatie van een zeer snelle internetverbinding, een relatief goedkoop productaanbod en een grote mate van vrijheid en anonimiteit bij het inrichten van de gehuurde faciliteiten', zo staat in een interne notitie.

Om onderling te communiceren, gebruiken de criminelen het chatprogramma ICQ, waarmee ze elkaar via internet berichten kunnen sturen. Wat de criminelen niet weten is dat dit ICQ-verkeer niet versleuteld is.

Het onderzoeksteam van de politie wil daarom iets bijzonders doen. Ze willen een korte periode bij Leaseweb al het ICQ-verkeer vanuit Rusland aftappen en onderzoeken. Het onderzoek krijgt de naam Roerdomp, naar de reigerachtige vogel die zich met zijn bruine schutkleur vaak verstopt tussen het riet. Om het onderscheppen van gegevens mogelijk te maken koopt de politie een peperduur apparaat van 600.000 euro. Dit systeem kan de inhoud van internetverkeer analyseren, zogeheten deep-packet-inspection. Het is een omstreden techniek, omdat het razendsnel de privécommunicatie van tienduizenden mensen kan scannen.

Op 14 oktober 2008 vragen onderzoekers aan buitenlandse diensten om hen te helpen met het ontrafelen van het ICQ-verkeer. Daarvoor hebben ze de ICQ-nummers nodig van bekende criminelen. De Oekraïense geheime dienst en de Amerikaanse Secret Service reageren snel, gevolgd door de Duitsers en Engelsen. Pas twee maanden later volgt de FBI en als allerlaatste, drie maanden na het verzoek, levert ook de FSB een lijst met unieke nummers aan. In totaal levert dat 436 ICQ-nummers op.

Nederlandse politie werkt nauw samen met Russische geheime dienst

Ondanks de politieke spanning met Rusland, de annexatie van de Krim en het neerschieten van MH17 blijkt de Nederlandse politie nauw samen te werken met de Russische geheime dienst FSB. FSB'ers komen sinds 2009 geregeld naar Nederland, waar ze ook met de Amerikaanse FBI om de tafel zitten.

Wie is Umbro?

Januari 2009 krijgt de politie toestemming van de officier van justitie. Van de Beek maakt het niet meer mee. Hij heeft inmiddels een andere functie bij de politie.

Het is nog wat pionieren met de nieuw aangeschafte apparatuur. Als die aangesloten is op de servers van Leaseweb, gaat al het verkeer van de provider door het apparaat. 50 gigabyte per seconde, vier tot tien miljoen websites worden gescand. Dat is niet de bedoeling. De politie zal eerst het ICQ-verkeer eruit filteren en later inzoomen op het ICQ-verkeer van de 436 personen. De tap duurt drie maanden.

En dan zien de onderzoekers het helder: er is één duidelijke leider. Iedereen spreekt over hem, hij is op allerlei fora aanwezig en hij stuurt anderen aan. De politie geeft hem de naam 'Umbro', maar hij heeft verschillende aliassen. Lucky12345, Monster en Slavik.

Hij communiceert in de Russische taal, zegt op de Seychellen te wonen, heeft een vrouw en kind, een auto, hij 'runt' indirect een restaurant en is de leider van een omvangrijk netwerk. Hij laat anderen bij online winkels apparatuur kopen die op geheime plekken worden gedropt. Zoals laptops, camera's en nachtkijkers.

De belangrijkste ontdekking: deze man is de maker van de malware ZeuS die Europese en Amerikaanse banken treft. Hij heeft er drie jaar aan gewerkt, zegt hij in de ICQ-gesprekken.

Hij blijft bezig met het updaten ervan en verkoopt de software ook aan anderen. Deze persoon, zoveel is de politie duidelijk, zit achter de aanval op ABN Amro. Eén vraag blijft echter onbeantwoord: wie is Umbro?

Bogatsjov heeft een jacht in Anapa, waarmee hij geregeld over de Zwarte Zee vaart.

Vanaf de woontoren is het een kleine 15 kilometer naar de haven van luxe jachten nabij Anapa. Daar ligt waarschijnlijk ook de boot van Bogatsjov. Hij vaart geregeld over de Zwarte Zee, bezoekt ook de Krim aan de andere kant. Russen tonen hun rijkdom graag met dure auto's en boten.

In de ochtend is er bij de haven weinig levendigheid. Op een nabijgelegen pier zitten wat vissers met dichtgeknepen ogen naar het water te staren. Een vrachtwagen levert net Coca-Cola-koelkasten met de opdruk 'Sotsji 2014' af. Afgedankt na de Winterspelen. Als we verder de pier oplopen, komt een man met zonnebril, nette leren schoenen en polo achter ons aan. Hij houdt een afstand van dertig meter. Pal daarachter volgen van verschillende kanten ineens nog drie mannen en een vrouw. De vrouw neemt opzichtig foto's van ons. Ze blijven in een boog om ons heen lopen, blik op ons gericht.

We reageren wat nerveus. Wie zijn dit? En waarom staan ze om ons heen? Voorzichtig lopen we terug richting de haven, de pier af. De vier mannen en vrouw houden hun blik strak op ons gericht. Zwijgend blijven ze om ons heen staan, lopen nog een stuk achter ons aan, stappen dan in een auto en verdwijnen.

'Business Club'

Bogatsjov verkoopt zijn software via online fora op het darkweb, een internetdomein dat alleen toegankelijk is met een speciaal programma waarmee je anoniem blijft. Het zijn een soort kant-en-klare pakketten, waarmee hackers aan de slag kunnen om financiële gegevens en wachtwoorden te jatten van andermans computer.

Maar Bogatsjov doet meer. Als echte zakenman weet hij dat het belangrijk is om een goede relatie met klanten te onderhouden. Dus biedt hij technische ondersteuning aan zijn afnemers en levert hij met regelmaat nieuwe versies van zijn software. Hij is bereikbaar voor vragen en geeft snel antwoord als klanten vastlopen.

In 2010 hanteert Bogatsjov een nieuw businessmodel en een flink verbeterde versie van de software waarmee hij zijn digitale bankovervallen uitvoert; ZeuS 2.1.0.X. Dit softwarepakket is slechts voor een exclusief gezelschap beschikbaar, een klein groepje vertrouwelingen van Bogatsjov, jonge Russen en Oekraïners die hij door en door vertrouwt. Ze noemen zichzelf de 'Business Club'.

De leden van de club leveren allemaal specifieke technische kennis, zoals kennis over software, bankzaken, valse paspoorten, verspreiding van mails. Zo ontstaat een geoliede machine die over de hele wereld bankrekeningen van personen en bedrijven leeghaalt. Ze vallen bijvoorbeeld Amerikaanse ziekenhuizen aan, net op het moment dat de payrollbetalingen verwerkt moeten worden. Vervolgens manipuleren ze het systeem zo dat ze het geld eraf kunnen halen.

Om hun buit binnen te halen, hebben ze heel veel bankrekeningen nodig. Daar ronselt de Business Club katvangers voor: mensen die met valse paspoorten bankrekeningen openen, het geld eraf halen en doorsturen naar Bogatsjov en zijn vrienden. Om die mensen te rekruteren heeft Bogatsjov iets ingenieus bedacht. Net zoals hij inbreekt in computers van slachtoffers om de inlogpagina's van hun banken te manipuleren, breekt hij in op vacaturewebsites, zoals CareerBuilder.com. Hij manipuleert de website zo, dat zijn eigen oproep te zien is, zonder dat hij echt op de vacaturesite staat. Administratie functie, flexibele werktijden, startsalaris 2.000 dollar per maand.

ZeuS gedraagt zich anders

Het is een relaxed baantje. De werknemers krijgen van de organisatie een paar valse paspoorten, zoals de 22-jarige Rus IIja Karasev. Hij komt met een studentenvisum de Verenigde Staten binnen en opent met een vals Belgisch paspoort bankrekeningen, waar vervolgens duizenden dollars op binnenkomen. Daar haalt hij 10 procent af voor zichzelf, de rest maakt hij over naar bankrekeningen van de Business Club. Zoals IIja zijn er nog tientallen katvangers die voor Bogatsjov werken.

In 2013 zien Nederlandse teams die Bogatsjov en zijn misdaadsoftware onderzoeken nog iets vreemds. ZeuS gaat zich anders gedragen. Het virus zoekt nog steeds naar financiële informatie, maar ineens ook naar heel specifieke informatie over Turkse, Georgische en Oekraïense geheime diensten. Het scant systemen op bestanden waar bijvoorbeeld mailadressen van Georgische en Turkse functionarissen van de geheime dienst en het ministerie van Binnenlandse Zaken in voorkomen. Ook doorzoekt de software computers op bestanden waarin in het Turks bijvoorbeeld de woorden 'algemene directie van veiligheid' en 'huurlingen' voorkomen, of 'Russische soldaten' en 'Syrië'. Eenmaal binnen in een computer is het alsof de malware zich in tweeën splitst.

Heel gek, vindt het politieteam. Waarom gaat een hacker die jarenlang met zijn kwaadaardige software alleen maar bezig is zo veel mogelijk geld binnen te harken ineens op zoek naar informatie van geheime diensten? En hoe komt hij überhaupt aan de namen van medewerkers van buitenlandse inlichtingendiensten?

Het valt op dat de eigen software rommelig is, maar dat het stukje software met de namen van buitenlandse spionnen juist heel gestructureerd is. Het zijn er honderden. En de zoekopdrachten vallen samen met belangrijke politieke momenten, zoals de inval in de Krim en de toenemende spanning met Turkije. Voor Nederlandse onderzoekers en de FBI is er geen twijfel: Bogatsjov doet dit voor de Russische geheime dienst. Michael Sandee, een onderzoeker van beveiligingsbedrijf Fox-IT die jarenlang de malware onderzocht, denkt ook aan Russische veiligheidsdiensten: 'De informatie is te specifiek, te geordend en normaal gesproken te oninteressant voor een financieel crimineel.'

Bij de politie kennen ze dit soort patronen. Bij cybercriminaliteit komt op zeker een moment de afweging: is het nationaal belang wel gediend bij de aanpak van een grote en slimme hacker? Of kun je hem beter voor je laten werken? Zo doen alle landen grote landen dat, van de Russen tot de Amerikanen, van de Israëliërs tot de Chinezen.

Het contact met Michajlov van de FSB is zo goed dat de politie het wel aandurft om er grappen over te maken. Zeker als de FBI beloningen gaat uitdelen voor tips die tot de aanhouding van Bogatsjov leiden. Gekscherend informeren Nederlandse politiemensen weleens bij Michajlov of hij een idee heeft wat hij gaat doen met de miljoenen die hij van de FBI zal krijgen? Of hij een luxe boot zal kopen? Een buitenhuis in Italië en of hij in Londen of in Madrid zal onderduiken?

Protech

De bel geeft geen gehoor. Zou hij het wel doen? Misschien beter om bij de zwarte deur aan te kloppen.

De twee jongemannen van internetprovider Protech zijn eerder op de middag opvallend eerlijk. In tegenstelling tot veruit de meeste bewoners van Anapa - die ongeïnteresseerd en afwijzend reageren op vragen over Bogatsjov. Een enkeling heeft weleens wat opgevangen, maar verder geen idee wie of wat. Dat kan wel kloppen, zeggen Nikolaj en Sergej. 'Mensen praten hier niet over politiek, het interesseert ze niet. En Bogatsjov is weinig in het nieuws geweest in Rusland.' Maar zij kennen hem wel. Hij is klant bij hen.

Op 4 april heeft hij de maandelijkse internetrekening nog betaald. 1.000 roebel, ongeveer 16 euro, voor 60 mb per seconde. Het contract stamt uit begin 2014. Afgesloten door Bogatsjov zelf, hij heeft ter plekke een kopie van zijn paspoort laten maken.

Het is Bogatsjovs tweede contract bij Protech, het eerste was in 2012 al afgesloten. En daar was iets mee. Agenten waren langsgekomen bij het kantoor van de internetprovider, een kelder onder tien verdiepingen beton. Nikolaj en Sergej moesten alle gegevens over hun klant Bogatsjov laten zien. Ze snappen wel wat dat betekende. Nikolaj: 'Onze geheime diensten hebben hem waarschijnlijk opgespoord en tegen hem gezegd: of we brengen je naar het politiebureau, of je werkt met ons, want je bent best wel slim.'

Zo gaat dat in Rusland, internetcriminelen worden bijna nooit opgepakt. Nikolaj en Sergej pasten het trucje zelf ook toe toen hun betalingssysteem gehackt werd. Ze traceerden de hacker, een jonge wiskundige die via internet had leren programmeren. Hij kon kiezen: een aangifte bij de politie of bij Protech komen werken. Bogatsjov hebben ze nooit meer gezien. Ze denken er niet aan om hem op te sporen in ruil voor de 3 miljoen dollar van de FBI. Sergej: 'Als onze dienst met hem werkt, zullen ze benieuwd zijn waarom we hem zoeken.'

Vanaf medio 2014 komt de samenwerking met de fsb onder politieke druk te staan. Er is de annexatie van de Krim, in begin juli. Kort erna volgt het neerschieten van MH17. Bij Buitenlandse Zaken groeit de scepsis over de innige samenwerking met de Russen. Politiemensen delen die aarzeling niet. Ja, ze merken dat Bogatsjov in de armen van de FSB is gedreven, maar dat betekent niet dat het delen van informatie ophoudt. Sterker: het lijkt er zelfs op dat de samenwerking verbetert. Over criminelen, ook Russische, zijn goede gesprekken mogelijk.

Het laat zien hoe ambivalent het contact met de Russen is. Op persoonlijk vlak goed, innig zelfs, maar politiek ingewikkeld. De politie besluit om de ontmoetingen met FSB'ers niet langer in Driebergen te houden. Daar vindt namelijk ook het strafrechtelijk onderzoek plaats naar MH17. Om te voorkomen dat FSB'ers een kamer verder zitten, verplaatst de politie de ontmoetingen naar Amsterdam en Rotterdam.

Jevgeni Bogatsjov is gespecialiseerd in financiële frause. ABN Amro was zijn eerste slachtoffer. De Amerikanen beschuldigen hem bovendien van spionage.

In de loop van 2016 komt een aantal dramatische ontwikkelingen samen. De Democratische Partij in de Verenigde Staten wordt aangevallen door Russische hackers. In de nasleep daarvan neemt de Amerikaanse president Obama een stevig besluit: hij zet een aantal Russen die als een bedreiging worden gezien voor de nationale veiligheid op een sanctielijst. Een van hen is Jevgeni Bogatsjov. Officieel staat hij op de lijst vanwege de enorme sommen geld die hij van Amerikaanse organisaties stal (meer dan 100 miljoen dollar), maar bronnen van de Amerikaanse regering zeggen tegen The New York Times dat zijn relatie met de Russische veiligheidsdiensten de eigenlijke reden is. 'Terwijl Mr. Bogatsjov bankrekeningen plunderde, lijkt het erop dat de Russische overheid over zijn schouder meekeek in dezelfde computers, op zoek naar bestanden en e-mails.'

Ook Sergej Michajlov komt in het nauw. De contactpersoon van de Nederlandse politie bij de FSB reageert vanaf december nergens meer op. De politie heeft geen idee wat er aan de hand is, totdat in januari via Russische media uitlekt dat Michajlov is gearresteerd op verdenking van 'hoogverraad'. Met groot machtsvertoon is hij in december uit een bijeenkomst van de FSB getrokken. Met een zak over zijn hoofd werd hij afgevoerd, schrijft de Russische onderzoekskrant Novaja Gazeta.

De schok in Nederland is groot. Sommige onderzoekers slapen er slecht van. Zij weten wat dit betekent: dat Michajlov waarschijnlijk nooit meer aan het werk zal zijn, misschien wel nooit meer zijn kinderen zal zien. Hij kan in een werkkamp zitten, ergens in Siberië. Dan heeft hij geluk. Hij kan ook al dood zijn. En waarom? Heeft zijn arrestatie te maken met het Nederlandse onderzoek naar Bogatsjov? Heeft hij gelekt? Bij de politie bedenken ze allerlei scenario's. Ze komen er niet uit.

Wat het mysterie nog groter maakt, is dat tegelijkertijd Ruslan Stojanov wordt vastgezet. Hij is een gerespecteerde hackexpert van het digitale beveiligingsbedrijf Kaspersky Lab die in het onderzoeksteam naar computerincidenten zit. Volgens enkele Russische media hebben de arrestaties te maken met het onderzoek naar de Russische hack van de Democratische Partij. Michajlov en Stojanov zouden gelekt hebben naar Amerikaanse diensten.

De eerste gesprekken met FSB'ers na de verdwijning van Michaijlov zijn wat bevreemdend. Toch gaan de zaken gewoon verder. Wat de Nederlandse politie in 2007 op een inlichtingencongres forceerde, is na jaren verder geformaliseerd. Gert Ras, sinds 2014 hoofd van het Team High Tech Crime: 'De samenwerking met de Russen is met de jaren professioneler en beter geworden, ondanks de politieke spanningen. In 2016 hebben we informatie verstrekt over Russische cybercriminelen. Die zijn aangehouden.'

Sommige politiebronnen vinden dat het team vroeger grotere zaken durfde aan te pakken en nu meer naar binnen gekeerd is. Zij wijzen bijvoorbeeld op het neerhalen in 2010 van het Russische Bredolab botnet, een netwerk van computers dat op het hoogtepunt 3,6 miljard e-mails kon versturen. Ras spreekt dat tegen. 'We hebben vorig jaar nog een groot netwerk van versleutelde telefoons van criminelen ontmanteld. Dat was een gigantische klus en internationaal. Veel buitenlandse partners zijn daarvan onder de indruk.'

Loopt er iemand door het huis? Of komen de geluiden van buiten? De zwarte deur blijft dicht, ook na drie keer kloppen. De oudere, wat gezette onderbuurvrouw in kleurige jurk vertelt dat ze al een tijd niets heeft gehoord in het appartement boven haar. Ze weet dat er ergens een 'wereldberoemde' hacker in het gebouw woonde. Ze heeft geen idee waar.

Sinds de FBI zijn adres publiceerde, is Bogatsjov op de vlucht, waarschijnlijk in de regio Anapa. Politiebronnen twijfelen er niet aan dat Bogatsjov bescherming geniet in Rusland. Dat vermoeden is nog versterkt door een brief die de gearresteerde Stojanov uit de gevangenis liet lekken naar een onafhankelijk televisiekanaal. Daarin beschrijft hij hoe de Russische overheid deals sluit met cybercriminelen. 'De afspraak is dat de staat toegang krijgt tot technologie en informatie van cybercriminelen, in ruil daarvoor kunnen ze ongestoord in het buitenland geld stelen.' Volgens Stojanov doet de overheid bij het rekruteren voor 'regeringszaken' een beroep op 'patriottisme'.

Het verklaart de achterdocht bij de Russen als we naar Bogatsjov vragen. Er is nog één locatie waar hij zou kunnen zijn: een villa die op naam staat van een vastgoedbedrijf van Bogatsjovs advocaat. Telefonisch zegt de advocaat dat hij Bogatsjov twee jaar geleden voor het laatst zag in Anapa. Hij heeft geen flauw benul waar hij nu is. De ommuurde villa ligt hoog boven de kust. Honden blaffen er onophoudelijk. In een zijgebouw doet een slaperige jongeman in trainingsbroek de deur open. Als we naar de advocaat vragen, zegt hij vriendelijk dat hij die naam niet herkent. Zodra we Bogatsjov noemen verandert de toon. Een ferm 'nee' en de deur slaat dicht.

Een paar uur nadat we weg zijn uit Anapa, belt het hotel. Ze willen waarschuwen. Er zijn politieagenten in burger in het hotel. Ze hebben foto's bij zich en willen kopieën van onze paspoorten en informatie over ons verblijf.

Verantwoording

Voor dit artikel is vertrouwelijk gesproken met negen personen die onderzoek deden naar Bogatsjov. Verder heeft de Volkskrant inzage gehad in vertrouwelijke politiestukken en gebruikgemaakt van openbare onderzoeken van de FBI en Fox-IT.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 de Persgroep Nederland B.V. - alle rechten voorbehouden