De berichten uit de Verenigde Staten over een grootscheepse hack-aanval op Washington zijn voor Nederlandse instanties onheilspellend, schrijft Eric Vrijsen. Een ‘buitenlandse mogendheid’ is er op even gewiekste als geduldige wijze in geslaagd talloze overheidsdiensten te penetreren.
Her en der in Washington moet binnenskamers paniek heersen. Woordvoerders van diverse agentschappen en ministeries weigeren commentaar, maar verzekeren dat ze ‘alle noodzakelijke maatregelen nemen’. Zaterdagmiddag kwamen hoge veiligheidsfunctionarissen in het Witte Huis bijeen. Alles duidt op een beveiligingscrisis, waarvan we de omvang nog lang niet kennen.
Vertrekkend president Donald Trump schreef in een tweet de massale computerkraak toe aan ‘vermoedelijk China’. In de nadagen van hun functie beschuldigen de ministers Mike Pompeo van Buitenlandse Zaken en William Barr van Justitie de Russen van de digitale inbraak. De regering van de Russische Federatie ontkent elke betrokkenheid.
Het computerbeveiligingsbedrijf FireEye, dat werkt voor talloze overheidsdiensten en voor veel grote Amerikaanse bedrijven, bevestigt dat cyberspionnen de computerbestanden zijn binnengedrongen. FireEye beschermt zijn klanten door met goedbedoelde hack-aanvallen hun systemen te testen. Kwetsbaarheden worden op deze manier opgespoord en de bescherming wordt direct verbeterd.
Digitaal gereedschap in vijandelijke handen
Het digitale gereedschap dat FireEye hiervoor gebruikt, blijkt nu in vijandelijke handen gevallen. Volgens FireEye werd de inbraak uitgevoerd gedurende een ‘maandenlange cyberspionagecampagne’ waarbij de aanvallers digitale breekijzers ‘van wereldklasse’ gebruikten. De aanval begon al in oktober 2019 en ging tot deze maand door.
De gevolgen zijn niet te overzien. De pseudo-hackers werden gehackt en daardoor weten diverse overheidsinstanties niet meer waar ze aan toe zijn. Het interne berichtenverkeer van belangrijke ministeries als Defensie, Financiën, Handel en Energie is twijfelachtig geworden. Elke mededeling moet op authenticiteit worden onderzocht.
Het ministerie van Financiën ontdekte – na een tip van Microsoft – dat ‘Russische hackers’ de e-mailaccounts van bijna veertig leidinggevende ambtenaren kaapten en dus kunnen manipuleren. Dit bedreigt de nationale veiligheid, omdat het departement niet alleen de (internationale) sancties uitvoert tegen Russische functionarissen, maar ook betrokken is bij alle monetaire beslissingen van de federale centrale bank, de FED.
Ook het e-mailverkeer van een afdeling van het ministerie van Handel zou zijn gekraakt. Het betreft de afdeling die zich bezighoudt met telefoonverkeer en de internetcommunicatie.
Inbraak via toeleverancier
De hackaanval verliep als een zogenoemde supply chain-aanval: hackers nestelen een virus in de programma’s die toeleveranciers van computerdiensten naar hun klanten sturen. Het vijandelijke virus verspreidde zich via het beschermingsprogramma SolarWinds naar onder meer het bedrijf FireEye.
SolarWinds wordt gebruikt door talloze computerbeveilingsbedrijven, door de Amerikaanse landmacht, de luchtmacht, marine, het korps mariniers, het Pentagon, het ministerie van Buitenlandse Zaken, de NASA, de contraspionagedienst NSA, het ministerie van Justitie en het Witte Huis. Via de maandelijkse updates van SolarWinds zijn daar gedurende het laatste half jaar onopvallende elementen de computersystemen binnengedrongen.
Via dit achterdeurtje kan een kwade genius op afstand de besturing overnemen. FireEye en SolarWinds zeggen dat er inmiddels een update beschikbaar is om het achterdeurtje te sluiten en de digitale ‘malware’ te verwijderen.
Nederland met de neus op de feiten gedrukt
De berichten uit de Verenigde Staten drukken ook Nederland met de neus op de feiten. Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid liet weten de zaak te onderzoeken. Het is nog gissen naar de eventuele gevolgen van het digitale virus. Geadviseerd wordt de laatste updates van SolarWinds onmiddellijk te installeren, maar er is geen garantie dat de bestanden daarmee veilig zijn.
De berichten uit de Verenigde Staten onderstrepen de recente alarmsignalen van de Nederlandse inlichtingendiensten, maar maken in Den Haag ook een abrupt einde aan een zekere euforie.
Een recente inlichtingenoperatie van de Russen eindigde volgens de AIVD in een fiasco door adequate contraspionage. Twee Russische diplomaten – onder wie de militaire attaché – werden uitgewezen, omdat zij zich volgens de AIVD met illegale activiteiten bezighielden. Dit betrof echter conventionele, menselijke spionage. Het was géén cyberoperatie.
De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) postte een filmpje waarop te zien is dat een van de Russen geld overhandigt aan een medewerker van een Nederlands bedrijf in ruil voor informatie. Niet duidelijk is of het hierbij gaat om het kopen van industriële geheimen, dan wel om data die de nationale veiligheid direct raken. De man in kwestie en anderen die in het bijzijn van de Russische spion zijn gesignaleerd, zijn volgens de AIVD personeelsleden van buitenlandse komaf in dienst van Nederlandse bedrijven.
Formeel zijn zij niet in overtreding. Er is geen wet die de omgang met spionnen van een vreemde mogendheid verbiedt. CDA-minister Ferdinand Grapperhaus van Justitie zegt dat hij werkt aan een dergelijke wet.
Op het AIVD-filmpje is ook te zien dat de Russische spion na overdracht van een envelop met inhoud, zijn gesprekspartner een declaratieformuliertje laat tekenen. Dat maakt op het eerste gezicht een nogal amateuristische indruk. Inlichtingenexperts zien het echter als bewijs dat de Russische inlichtingendiensten hun eigen mensen wantrouwen.
Dagelijks cyberaanvallen op Nederland
AIVD en MIVD treden de laatste tijd tamelijk zelfverzekerd naarbuiten. In januari 2018 werd bekend dat hackers van beide diensten gedurende een lange periode hun tegenstanders aan Russische zijde in de gaten hielden. CDA-minister Ank Bijleveld van Defensie bevestigde later in tv-programma Buitenhof deze geslaagde actie.
Vanuit Zoetermeer zouden cyberspecialisten de bewakingscamera’s van een Russische ‘trollen’-fabriek in Sint-Petersburg hebben gekraakt. Op deze manier bestudeerden zij Russische hackers die de computers van de Democratische Partij en diverse ministeries in Washington binnendrongen. Vervolgens waarschuwden de Nederlandse diensten de Amerikaanse FBI.
In april 2018 overmeesterde de MIVD vier Russen die met weinig geavanceerde apparatuur bezig waren bij het kantoor van de VN-Organisatie voor het Verbod van Chemische Wapens in Den Haag. Klaarblijkelijk wilden zij het wifi-systeem binnendringen. De vier, en de Russische diplomaat die hen kort tevoren afhaalde op Schiphol, werden uitgezet. Ook deze veronderstelde spionnen moesten hun uitgaven minutieus verantwoorden bij hun baas in Moskou: zij hadden onder meer taxibonnetjes bij zich waaruit onomstotelijk bleek waar ze vandaan kwamen, het hoofdkwartier van de militaire inlichtingendienst in Moskou.
De vier en hun diplomatieke hulpverlener gingen vrijuit. Strafrechtelijk viel hun niets te verwijten. Wel werd hun apparatuur en hun contante geld (enkele tienduizenden euro’s en Zwitserse francs) in beslag genomen. Volgens een Russische bron heeft Nederland dat geld ingepikt.
Het kabinet-Rutte III ging onlangs akkoord met de ‘Defensievisie 2035 – Vechten voor een veilige toekomst’. De nota begint met de vaststelling dat er ‘elke dag in Nederland cyberaanvallen worden uitgevoerd’. Defensie moet zich zo snel mogelijk omvormen tot een hightech-organisatie die zich kan weren tegen onbekende tegenstanders in het digitale domein.