Hackers van de AIVD kijken jarenlang live mee hoe Russische hackers Amerikaanse ministeries, de Democratische Partij en het Witte Huis aanvallen en binnendringen. Beeld Myrthe van Gurp

Wanneer een hacker van de AIVD zich in de zomer van 2014 nestelt in het computernetwerk van een universitair gebouw naast het Rode Plein in Moskou, heeft hij geen flauw benul van de implicaties. Maar een jaar later zien hij en zijn collega's vanuit Zoetermeer hoe in die ruimte Russische hackers een aanval beginnen op de Democratische Partij in de Verenigde Staten. De hackers van de AIVD blijken niet zomaar een pand binnengedrongen; ze zitten in het computernetwerk van de beruchte Russische hackgroep Cozy Bear. En ze kunnen, zonder dat de Russen iets doorhebben, alles zien.



Zo kijkt de AIVD mee hoe de Russische hackers het partijbestuur van de Democratische Partij bestoken, binnendringen in de computersystemen en duizenden e-mails en documenten wegsluizen. Ze alarmeren - niet voor het laatst - hun Amerikaanse zusterdiensten CIA en NSA. Toch zal het nog maanden duren voordat in Washington de werkelijke betekenis van die waarschuwing doordringt: de Russen hebben zich met de inbraak gemengd in de Amerikaanse verkiezingsstrijd. En de hackers van de AIVD zien het allemaal gebeuren.

Cruciaal bewijs voor Russische betrokkenheid

De Nederlandse toegang, zo vertellen zes Amerikaanse en Nederlandse bronnen met directe kennis van de materie aan de Volkskrant en Nieuwsuur op voorwaarde van anonimiteit, verschaft cruciaal bewijs voor de Russische betrokkenheid bij de hack van de Democratische Partij. Het is tevens een aanleiding voor de FBI om een onderzoek te beginnen naar de invloed van die Russische inmenging op de verkiezingsstrijd tussen de Democratische kandidaat Hillary Clinton en de Republikeinse kandidaat Donald Trump.



Het FBI-onderzoek is na de verkiezing van Trump in mei 2017 overgenomen door speciaal aanklager Robert Mueller en richt zich ook op contacten tussen de presidentiële campagnestaf van Trump en de Russische overheid. Het primaire doel blijft echter het onderzoek naar de Russische invloed op de verkiezingen. Het is een poging het democratische proces te ondermijnen en een daad die de relatie tussen beide grootmachten op scherp zet met een reeks aan diplomatieke vergeldingsacties tot gevolg.



Drie Amerikaanse inlichtingendiensten zeggen met 'groot vertrouwen' dat het Kremlin achter de aanval op de Democratische Partij zat. Die zekerheid, zo bevestigen bronnen, ontlenen ze mede aan de jarenlange toegang van de hackers van de AIVD tot de kantoorachtige ruimte in het centrum van Moskou. Een toegang die zo bijzonder is, dat de directeuren van de belangrijkste Amerikaanse inlichtingendiensten de Nederlanders maar al te graag ontvangen. Want de Nederlanders leveren niet alleen het technische bewijs voor de aanval op de Democratische Partij, ze blijken veel meer te weten.

Beeld Myrthe van Gurp

Moskou, zomer 2014: bij het Rode Plein

Het is een 'gelukje' waardoor de hackunit van de AIVD in 2014 informatie in handen krijgt waar ze wel iets mee kan. Het team doet aan CNA, dat staat voor Computer Network Attack. Deze hackers mogen offensieve operaties uitvoeren: vijandige netwerken aanvallen en binnendringen. Het is een relatief klein team binnen een grotere digitale business unit van zo'n 80 tot 100 personen. Hierin zijn alle cyberoperaties gebundeld. Een deel richt zich op aftappen of op het runnen van bronnen, een ander team doet bijvoorbeeld Computer Network Defence. Deze eenheid is weer onderdeel van de Joint Sigint Cyber Unit, een gezamenlijke unit van de AIVD en MIVD met 300 personen.



Het is onbekend welke informatie de hackers over de Russen precies bemachtigen, maar duidelijk is dat het een aanwijzing bevat over de locatie van een van de bekendste hackgroepen ter wereld, Cozy Bear, ook wel APT29 genoemd. Die groep valt sinds 2010 wereldwijd overheden, energiebedrijven en telecombedrijven aan. Ook in Nederland worden bedrijven en ministeries belaagd door Cozy Bear. Specialisten van de beste inlichtingendiensten, zoals de Britten, de Israëli's en de Amerikanen, jagen al jaren op ze, net zoals analisten van de grote cybersecuritybedrijven.

Beeld Myrthe van Gurp

Weken bereidt het Nederlandse hackteam zich voor. In de zomer van 2014 volgt de aanval - waarschijnlijk nog voor het drama met vlucht MH17. Met wat puzzelen en geduld lukt het om het interne computernetwerk binnen te dringen. De AIVD kan nu alle stappen van de Russische hackers volgen. Maar dat is nog niet alles.



De hackers van Cozy Bear zitten in een ruimte in een universitair complex bij het Rode Plein. De samenstelling van de groep varieert, meestal zijn er zo'n tien personen actief. De toegangsdeur zit aan een gang met een ronding. Een beveiligingscamera registreert wie de ruimte binnengaat en wie haar verlaat. Het lukt de hackers van de AIVD toegang tot die camera te krijgen. De dienst kan nu niet alleen meekijken met wat de Russen gaan doen, ze kunnen ook zien wie het doen. Van elke bezoeker wordt een foto gemaakt die in Zoetermeer wordt geanalyseerd en vergeleken met bekende Russische spionnen. Ook die gegevens blijken later cruciaal.

Washington D.C., november 2014: Ministerie van Buitenlandse Zaken

De Nederlandse toegang betaalt zich snel uit. In november maken de Russen zich op voor een aanval op een van hun belangrijkste doelwitten: het Amerikaanse ministerie van Buitenlandse Zaken. Ze hebben mailadressen verzameld en van enkele ambtenaren inloggegevens bemachtigd. Het lukt ze het niet-geclassificeerde deel van het computernetwerk binnen te komen.



De AIVD en haar militaire tegenhanger MIVD informeren de NSA-liaison op de Amerikaanse ambassade in Den Haag. Die alarmeert direct de verschillende Amerikaanse diensten.



Er volgt een zeldzaam gevecht tussen de aanvallers, die verder het ministerie proberen binnen te komen, en de verdedigers, teams van de FBI en de NSA - met aanwijzingen en inlichtingen van de Nederlanders. Dit gevecht duurt volgens Amerikaanse media 24 uur.

Beeld Myrthe van Gurp

De Russen zijn enorm agressief maar weten niet dat ze bespied worden. De NSA en FBI kunnen dankzij de Nederlandse spionage razendsnel op de vijand reageren. De Nederlandse informatie is zo cruciaal dat de NSA een directe lijn opent met Zoetermeer, om de inlichtingen zo vlug als mogelijk naar de Verenigde Staten te krijgen.



De Russen proberen via zogeheten command and control-servers, digitale commandocentra, een link te leggen met de malware in het ministerie, om zo informatie op te vragen en naar buiten te sluizen. De Amerikanen, die van de Nederlanders horen waar die servers zijn, snijden telkens razendsnel de toegang tot die servers af, waarna de Russen weer nieuwe openen. Zo gaat het 24 uur lang. Bronnen vertellen naderhand tegen CNN dat het de 'ergste digitale aanval ooit' op de Amerikaanse overheid was. Het ministerie moet een weekendlang de toegang tot het e-mailsysteem afsluiten om de beveiliging op te schroeven.

Gelukkig, zegt plaatsvervangend directeur van de NSA Richard Ledgett later in een discussieforum in Aspen, had de NSA de mogelijkheid om de tactieken en middelen van de aanvallers te bespioneren. 'Dus we zagen hoe ze hun handelswijze veranderden. Dat is heel nuttige informatie.' Amerikaanse media schrijven op gezag van inlichtingenbronnen dat het aan een 'westerse bondgenoot' te danken is. Uiteindelijk lukt het de Amerikanen de Russen uit het ministerie te werken, maar niet voordat de Russische aanvallers hun toegang gebruiken om een mail te versturen naar een persoon in het Witte Huis.



Die denkt dat hij een mail krijgt van iemand van Buitenlandse Zaken - het e-mailadres is gelijkend - en drukt op een link in het bericht. De link opent een website waarop de Witte Huismedewerker toegangsgegevens invult, die zo in handen komen van de Russen. En zo dringen de Russen het Witte Huis binnen.



Ze geraken zelfs tot de e-mailservers die ook de verzonden en ontvangen e-mails van president Barack Obama bevatten. Maar komen niet tot bij de communicatie van zijn persoonlijke BlackBerry die staatsgeheimen bevat, vertellen bronnen aan The New York Times, maar wel tot het e-mailverkeer met ambassades en diplomaten, agenda's, notities over beleid en wetgeving. En weer zijn het de Nederlandse diensten die de Amerikanen hierover waarschuwen.

Zoetermeer, eind 2015: hoofdkantoor AIVD

Zo blijkt de toegang tot Cozy Bear voor de Nederlandse hackers een goudmijn. Jarenlang levert het bruikbare inlichtingen op. Over doelwitten, methoden en de interesses van de top van de Russische veiligheidsdienst. Want door de foto's van de bezoekers weet de AIVD dat de hackgroep wordt aangestuurd door een Russische geheime dienst, de buitenlandse veiligheidsdienst SVR.



Niet voor niets schrijft de AIVD in het jaarverslag over 2014 dat veel Russische bestuurders, inclusief president Vladimir Poetin, voor hun informatie de geheime diensten inzetten. In tv-programma CollegeTour zei AIVD-hoofd Rob Bertholee onlangs dat er bij hem 'geen twijfel is' dat het Kremlin achter de Russische hackactiviteiten zit.

De Amerikanen werden volkomen verrast door de Russische agressie, zo vertelt Chris Painter in Washington. Painter was jarenlang verantwoordelijk voor Amerika's cyberbeleid. Afgelopen augustus vertrok hij. 'Dat de Russen dit zouden doen, het aanvallen van onze vitale infrastructuur en het ondermijnen van onze democratie, hadden we totaal niet verwacht.' De Amerikaanse diensten waren daar volgens hem niet op voorbereid.



Mede daarom is de Nederlandse toegang zo welkom. De Amerikanen sturen 'taart' en 'bloemen' naar Zoetermeer. En dat niet alleen. Inlichtingen delen is ruilhandel: wie wat heeft, kan wat terugvragen. De hoofden van de AIVD en MIVD, Rob Bertholee en Pieter Bindt, bespreken in 2016 de toegang tot de Russische hackgroep persoonlijk met James Clapper, de hoogste baas van de Amerikaanse inlichtingendiensten, en Michael Rogers, hoofd van de NSA.



Nederland krijgt er kennis, techniek en inlichtingen voor terug. Volgens één Amerikaanse bron lukt het hackers van de NSA eind 2015 om op de mobiele apparaten van enkele hoge Russische inlichtingenofficieren te komen. Daarop zien ze onder meer dat de Russen vlak voor een hackaanval op internet alvast zoeken of er nieuws over de aankomende aanval is. Voor de Amerikanen zou dit het indirecte bewijs zijn voor de betrokkenheid van de Russische overheid bij de hacks. Eén andere bron noemt het 'heel goed mogelijk' dat Nederland in ruil voor de inlichtingen ook toegang kreeg tot deze specifieke Amerikaanse informatie. Of inlichtingen over MH17 ook zijn uitgeruild, is onbekend.

Beeld Myrthe van Gurp

Moskou, 2016-2017: de AIVD is weg

De Russische aanvallen en met name de hack van de Democratische Partij echoën lang na. Door het FBI-onderzoek naar de Russische inmenging tijdens de Amerikaanse presidentsverkiezingen krijgen ze bovendien een politieke dimensie. Na haar nederlaag in november 2016 zal Clinton zeggen dat de rel rond haar gelekte e-mails haar het presidentschap heeft gekost. Gekozen president Donald Trump weigert categorisch om die Russische bemoeienis expliciet te erkennen. Het zou de glans van zijn verkiezingsoverwinning halen. Bovendien heeft hij zich geregeld positief over Rusland en specifiek president Poetin uitgelaten. Het is een van de redenen waarom vanuit de Amerikaanse inlichtingendiensten gretig informatie weglekt. Om maar aan te tonen dat de Russen zich wel degelijk met de verkiezingen bemoeiden. En zo kan het dat in Amerikaanse media inlichtingenbronnen vertellen over de geweldige toegang die een 'westerse bondgenoot' heeft.



Die actie leidt tot woede in Zoetermeer en Den Haag. Sommige Nederlanders voelen het zelfs als verraad. Het is absoluut not done om de werkwijze van een bevriende dienst te onthullen, zeker niet als je zelf van die inlichtingen profiteert. Maar hoezeer de hoofden van de AIVD en MIVD hun ongenoegen ook kenbaar maken, ze hebben niet het gevoel dat de Amerikanen het ook werkelijk begrijpen. Het maakt dat de AIVD en MIVD terughoudender zijn geworden met het delen van inlichtingen. Die argwaan is na de verkiezing van Trump tot president toegenomen.



De hackers van de AIVD bevinden zich niet langer in het computernetwerk van Cozy Bear. De Nederlandse spionage heeft minimaal een jaar en maximaal 2,5 jaar geduurd. Hackgroepen wijzigen hun werkwijze regelmatig en ook bijvoorbeeld een andere firewall kan er al voor zorgen dat de toegang stopt. Gevraagd om een reactie wil de AIVD niet inhoudelijk reageren op de bevindingen van de Volkskrant.

Tijdlijn

Zomer 2014 Hackers van de AIVD krijgen toegang tot het computernetwerk van 'Cozy Bear', een Russische hackgroep die ook wel APT29 wordt genoemd.



17 juli 2014 Vlucht MH17 wordt boven Oost-Oekraïne neergehaald met een Russische BUK-raket.



November 2014 Cozy Bear valt het Amerikaanse ministerie van Buitenlandse Zaken aan en dringt het niet-geclassificeerde systeem binnen. AIVD en MIVD waarschuwen Amerikaanse diensten.



November/december 2014 Cozy Bear dringt ook Witte Huis binnen en krijgt toegang tot de e-mails en agenda van president Barack Obama. AIVD en MIVD waarschuwen wederom Amerikaanse diensten.



Juli 2015 Cozy Bear valt de DNC (het partijbestuur van de Democratische Partij) aan en dringt het computersysteem binnen. AIVD en MIVD waarschuwen Amerikaanse diensten.



Najaar 2015 FBI waarschuwt DNC dat er hackers in hun systemen zitten. DNC doet niets met waarschuwing.



Voorjaar 2016 Russische hackgroep 'Fancy Bear', ook bekend als APT28, dringt netwerken DNC binnen.



Juni 2016 Beveiligingsbedrijf Crowdstrike bevestigt dat Cozy Bear en Fancy Bear in de computersystemen van de DNC zaten.



Juli 2016 WikiLeaks openbaart 19 duizend e-mails en achtduizend bijlagen van het bestuur van Democratische Partij. De documenten zijn volgens de Amerikaanse diensten afkomstig van Fancy Bear.



8 november 2016 De Republikeinse presidentskandidaat Donald Trump wint de verkiezingen.



Voorjaar 2017 FBI-directeur James Comey zegt dat de FBI onderzoek doet naar Russische inmenging in de Amerikaanse presidentsverkiezingen.



Mei 2017 President Donald Trump ontslaat FBI-directeur Comey, speciaal aanklager Robert Mueller neemt het onderzoek naar de Russische inmenging over.



Juni 2017 Oud-FBI-directeur Comey zegt tijdens een hoorzitting dat er 'geen twijfel' is dat de Russische overheid achter de hacks op de DNC zat.

Zo zag de AIVD hoe Russische hackers Amerika aanvielen

Zo kwam het verhaal over het cruciale werk van de AIVD in het onderzoek naar Russische beïnvloeding van de Amerikaanse verkiezingen tot stand

De directe aanleiding voor het onderzoek naar de jarenlange Nederlandse toegang tot de bekende Russische hackgroep Cozy Bear was een tip in de zomer van 2017. Tijdens een zeven maanden durend onderzoek lukte het Volkskrantjournalist Huib Modderkolk en Nieuwsuurjournalist Eelco Bosch van Rosenthal om in totaal vijftien personen - in Nederland en daarbuiten - te spreken. Soms door bij mensen aan te bellen, soms door via-via een gesprek op te zetten, soms met hulp van versleutelde communicatie. Lees hier hoe het hele onderzoek in zijn werk ging.



Vijf vragen over de infiltratie van de AIVD

Digitale agenten van de AIVD infiltreren in de zomer van 2014 in de beruchte Russische hackgroep Cozy Bear. Ze zien zo als eersten hoe de Russen in verkiezingstijd doelen in de VS bestoken. Maar hoe zeker is het dat de Russische overheid erachter zit? En waarom is het juist de AIVD gelukt te infiltreren?



Hoe de Democraten en de FBI blunderden, en Russische hackers profiteerden

Dankzij de hack bij de Democraten vorig jaar kwamen via Wikileaks tienduizenden e-mails op straat te liggen. Enorme onthullingen stonden daar niet eens in, maar de onrust, de onzekerheid en het rumoer hebben de (al zwakke) kandidatuur van Hillary Clinton zeker verzwakt. En Rusland kreeg vervolgens de Amerikaanse president die het wilde. Lees hier hoe de Democratische partij, de FBI en president Obama alle drie steken lieten vallen toen Russische hackers zich met de Amerikaanse verkiezingen gingen bemoeien.



Russen faalden bij hackpogingen ambtenaren op Nederlandse ministeries

De twee Russische groepen die achter de hack bij de Democratische Partij in de Verenigde Staten zaten, hebben ook geprobeerd bij Nederlandse ministeries binnen te dringen. Een daarvan was Algemene Zaken. Voor zover bekend is het ze daarbij niet gelukt om gevoelige informatie te bemachtigen, bleek uit onderzoek van Volkskrantjournalist Huib Modderkolk.