update

Wat we weten over de Russische hackaanval tegen de OPCW

Nederland heeft dit voorjaar een Russische cyberaanval tegen de Organisatie voor het Verbod op Chemische Wapens (OPCW) verijdeld. Met een ongekende openheid maakte minister Ank Bijleveld van Defensie vandaag details van de operatie bekend. Vier Russische militaire spionnen zijn Nederland uitgezet naar aanleiding van de operatie.

Bijleveld deed de onthulling in nauwe samenwerking met Groot-Brittannië. Bij de persconferentie was de topman van de Militaire Inlichtingen- en Veiligheidsdienst, Onno Eichelsheim, aanwezig en de Britse ambassadeur Peter Wilson. Groot-Brittannië en andere landen beschuldigen Rusland vandaag opnieuw van een lange reeks van cyberaanvallen. De Navo heeft Rusland gewaarschuwd te stoppen met dit 'roekeloze gedrag'. Wat weten we nu van de Russische cyberaanvallen?

Wat was het doel van de cyberaanval?

Doelwit was de Organisatie voor het Verbod op Chemische Wapens, een internationale instelling met het hoofdkantoor in Den Haag. De OPCW heeft de afgelopen tijd verschillende gevoelige onderzoeken gedaan, onder meer naar gifgasaanvallen in Syrië. Rusland steunt de Syrische president Bashar Assad, die ervan wordt verdacht deze gifgasaanvallen te hebben uitgevoerd. Ook deed de organisatie onderzoek naar de aanslag op de Russische dubbelspion Sergej Skripal, die in maart in het Britse Salisbury werd vergiftigd met het zenuwgas novitsjok.

Minister Ank Bijleveld (links aan de tafel), generaal Onno Eichelsheim van de MIVD en de Britse ambassadeur Peter Wilson op de persconferentie. Beeld Reuters

De aanval zou bedoeld zijn om het interne netwerk van het OPCW te hacken en zo informatie te vergaren. Rusland noemt deze beschuldiging absurd aangezien het land zelf lid is van de organisatie en dus toegang zou hebben tot alle structuren. De OPCW kreeg in 2013 de Nobelprijs van de vrede voor de strijd tegen chemische wapens.

Wie heeft de cyberaanval uitgevoerd en hoe deden ze dat?

De operatie was het werk van vier mannen van de Russische militaire inlichtingendienst, de GROe. Volgens MIVD-baas Eichelsheim zijn de vier op 10 april naar Nederland gekomen met een diplomatiek paspoort. Ze hadden veel contant geld bij zich, 20.000 euro en 20.000 dollar. De mannen namen hun intrek in het naast het OPCW-kantoor gelegen Marriot-hotel, tegenover het Catshuis. Met apparatuur in de achterbak van een auto, die ze vlakbij het OPCW parkeerden, deden ze op 13 april een poging in te breken in het netwerk, toen ze op heterdaad zijn betrapt. Al eerder zou geprobeerd zijn op afstand in te breken in het netwerk.

Defensie maakte vandaag veel materiaal uit het onderzoek openbaar: foto’s van de paspoorten van de mannen (met opeenvolgende serienummers!), in beslag genomen telefoons en speciale apparatuur en foto’s waarop te zien is hoe ze op Schiphol worden afgehaald door een medewerker van de Russsische ambassade. Pikant detail: ook de taxibon waarmee de vier in Moskou rechtstreeks vanaf het hoofdkwartier van de GROe naar het vliegveld gingen, lag in de hotelkamer.

Uit de gegevens die de onderzoekers aantroffen op de computers en telefoons van de Russen blijkt dat zij ook in Zwitserland waren eind 2016 toen een functionaris van het antidopingbureau WADA werd gehackt. Ook is er informatie gevonden over een laboratorium dat onderzoek deed naar de zaak-Skripal en gifgasaanvallen in Syrië. De Russen hadden al treintickets naar Zwitserland geboekt, toen de MIVD op 13 april ingreep. De vier zijn vervolgens ‘begeleid’ bij hun terugkeer naar Rusland.

Is er ook een link met het MH-17-onderzoek?

Zeker één officier van de Russische militaire inlichtingendienst GROe heeft in Maleisië eerder geprobeerd informatie van het onderzoek naar de ramp met MH17 te stelen. Dat zei de Britse ambassadeur Peter Wilson op de persconferentie. De officier die in Maleisië actief was, is een van de vier die in Nederland werd betrapt. Hij richtte zijn vizier op meerdere Maleisische overheidsinstellingen, waaronder de Maleisische politie en het kantoor van de procureur-generaal. Officieren van de GROe zouden betrokken zijn geweest bij het neerhalen van de MH17 in Oost-Oekraïne.

Waarom maakt Nederland al deze details bekend?

Het is zeer uitzonderlijk dat deze gegevens openbaar worden gemaakt, zei Bijleveld. "Rusland moet hiermee stoppen." Er wordt een 'duidelijk signaal' afgegeven. MIVD-topman Eichelsheim noemde de persconferentie 'ongemakkelijk', aangezien hij en zijn dienst gewend zijn in het geheim te opereren. "Maar soms is het ook belangrijk uit de schaduw te treden. Het voelt ongemakkelijk, maar het is noodzakelijk."

Heeft Nederland bij het onthullen van deze operatie samengewerkt met de Britten, aangezien de Britse ambassadeur bij de persconferentie was?

De Britten zouden Nederland getipt hebben over de komst van de Russen. Groot-Brittannië houdt Rusland verantwoordelijk voor het vergiftigen van de oud-spion Sergej Skripal in maart dit jaar, een maand voor de verijdelde cyberaanval. Waarschijnlijk hebben de Britten in het onderzoek naar deze zaak de komst van de vier Russen naar Den Haag door de Britten opgemerkt.

Groot-Brittannië en andere landen beschuldigden eerder vandaag in een felle verklaring de Russische militaire inlichtingendienst GROe van een lange reeks cyberaanvallen. Rusland zou daarmee proberen westerse democratieën te ondermijnen.

De Britten zijn er vrijwel zeker van dat de GROe achter de verspreiding zit van ransomware BadRabbit en de cyberaanval op het Wereldantidopingagentschap (WADA). Ook is die Russische geheime dienst volgens Londen waarschijnlijk verantwoordelijk voor de hack bij de Amerikaanse Democratische partij en het stelen van e-mails van een Brits televisiestation.

Premier Mark Rutte en zijn Britse ambtsgenoot Theresa May hebben in een gezamenlijke verklaring de 'onacceptabele cyberoperaties' van de Russische militaire inlichtingendienst tegen de OPCW veroordeeld.

"Deze poging om toegang te verkrijgen tot de beveiligde systemen van een internationale organisatie, die zich wereldwijd inspant voor de uitbanning van chemische wapens, toont wederom dat de GROe zich niets aantrekt van internationale waarden en de rechtsorde die ons allen beschermt", aldus Rutte en May. "De roekeloze operaties van de GROe variëren van destructieve cyberoperaties tot de inzet van chemische middelen, zoals we hebben gezien in Salisbury."

Volgens de twee bekrachtigt de openheid die nu is gegeven de duidelijke boodschap van de internationale gemeenschap. "Wij zullen de internationale rechtsorde blijven verdedigen en internationale organisaties blijven beschermen."

Hoe reageren andere landen?

De Navo-bondgenoten roepen Rusland op te stoppen met zijn ''schaamteloze pogingen om het internationale recht en instellingen te ondermijnen". Navo-secretaris-generaal Jens Stoltenberg zei dit vandaag na afloop van een bijeenkomst van de ministers van defensie van de alliantie, waarin de Nederlandse delegatie uitleg gaf over de operatie tegen de Russische cyberhackers. De bondgenoten spraken hun solidariteit uit met Nederland en Groot-Brittannië.

''Rusland moet stoppen met zijn roekeloze gedrag, met inbegrip van het gebruik van geweld tegen zijn buren, inmenging in verkiezingscampagnes en zijn wijd verspreide desinformatiecampagnes", aldus Stoltenberg. Volgens de Navo-topman hebben die burgers in vele landen getroffen en grote economische schade berokkend. Stoltenberg noemde de cyberhack van het OPCW onderdeel van een Russische campagne van cyberaanvallen in de hele wereld.

De EU betreurt de vijandige en agressieve cyberaanval. ,,We zijn ernstig bezorgd over deze poging om de integriteit van de OPCW, een gerespecteerde internationale organisatie in gastland Nederland, te ondermijnen'', schrijven EU-president Donald Tusk, de voorzitter van de Europese Commissie Jean-Claude Juncker en EU-buitenlandchef Federica Mogherini in een gezamenlijke verklaring.

De Britse autoriteiten kregen bijval van bondgenoten Australië en Nieuw-Zeeland. De Australische regering stelde dat is vastgesteld dat de Russische strijdkrachten en de GROe zich schuldig maken aan "kwaadaardige cyberactiviteiten". Australië zou daar zelf niet ''noemenswaardig'' door getroffen zijn, maar het land sluit zich toch aan bij "internationale partners" die kritiek uiten op de Russen.

Hoe reageren de Russen?

Die ontkennen alles en noemen de beschuldiging een ‘absurditeit’. Het Russische ministerie van Buitenlands Zaken zegt dat Britse beschuldigingen aan het adres van de militaire inlichtingendienst GROe getuigen van een "levendige fantasie". Het departement zegt dat sprake is van een desinformatiecampagne en een ‘diabolische cocktail’ die Russische belangen schade moet toebrengen, bericht persbureau TASS.

Nederland heeft de Russische ambassadeur in Den Haag op het matje geroepen. Hij moet toelichting geven op de actie. Het kabinet vindt de operatie van de Russische dienst 'zeer zorgelijk'. Of er nog meer maatregelen moeten volgen tegen de Russische ambassade moet later nog blijken.

Welke Russische organisatie zit nu achter de aanval?

De vier mannen werkten voor de GROe, in het Russische de Glavnoje Razvedyvatelnoje Oepravlenije. Dat is een nog geslotener en geheimere organisatie dan de ‘gewone’ geheime dienst FSB. Na het uiteenvallen van de Sovjet-Unie is deze dienst niet opgesplitst zoals de KGB.

Ook word de schimmige Russische hackersgroep Fancy Bear genoemd. Deze groep wordt beschuldigd van bijna alle grote cyberaanvallen van de afgelopen jaren. Ze zouden onder meer zijn binnengedrongen in de Amerikaanse Democratische Partij. E-mails van partijkopstukken belandden op WikiLeaks.

De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) sprak tijdens de persconferentie over Unit 26165. Dat is een van de namen die worden gebruikt voor Fancy Bear. Andere namen zijn Pawn Storm, APT28, Sofacy Group, Sednit, Strontium en Unit 74455. De groep zou werken voor de GROe, de buitenlandse militaire inlichtingendienst van Rusland.

Welke hackers precies voor Fancy Bear actief zijn, komt nooit naar buiten. Volgens internetsecuritybedrijf Trend Micro heeft de groep 'absoluut kennis van zaken.' Trend Micro houdt Fancy Bear al langer in de gaten. Volgens hen hebben ze toegang tot geavanceerde en vrij vernuftige technologie. "Ze jagen niet op geld, zoals de meeste hackers, maar op informatie." Zulke groepen worden vaak door een overheidsorganisatie gesteund.

Fancy Bear zou ook het Witte Huis, de NAVO, Duitse ministeries en het Wereldantidopingagentschap hebben belaagd. Een ander doelwit was naar verluidt de Onderzoeksraad voor Veiligheid, die de ramp met vlucht MH17 onderzoekt.

Lees ook: De AIVD zag Cozy Bear in Washington binnendringen

De Nederlandse AIVD pleegde een hack in Moskou die cruciale informatie opleverde over Russische inmenging in de Amerikaanse presidentsverkiezingen, zo blijkt uit onderzoek van Nieuwsuur en de Volkskrant. Hoeveel zijn we nu wijzer? Vijftien vaststellingen op een rij.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2019 de Persgroep Nederland B.V. - alle rechten voorbehouden