Wie zijn de Russische cybersoldaten?

Russische beïnvloeding Studenten, activisten, criminelen: Poetins cybersoldaten hebben vele gezichten. ‘Amerikanen denken dat een aanval moet zijn uitgevoerd door iemand van de staat. De Russische werkelijkheid is ingewikkelder.’

Illustratie Hajo

Het Amerikaanse Witte Huis heeft een van Ruslands cybersoldaten een gezicht gegeven dat liever anoniem had willen blijven – het gezicht van een jonge vrouw van hooguit dertig. Alisa Sjevtsjenko is een van de duizenden talentvolle computerprogrammeurs die Rusland telt. Het Russische zakenblad Forbes bracht in 2014 een groot verhaal over haar, waarvoor een norse Sjevtsjenko poseerde in een zwartleren jack en skinny jeans – een beetje zoals het onaangepaste hackmeisje in de thrillers van Stieg Larsson.

Sjevtjsenko begon haar carrière bij het Russische internetbeveiligingsbedrijf Kaspersky, dat wereldwijd antivirussoftware verkoopt. Inmiddels heeft ze een eigen bedrijf dat aanvallen simuleert op bedrijven om hun verdediging te testen. Volgens de regering-Obama heeft ze haar ‘exploits’ (kwaadaardige software) echter óók geleverd aan de Russische diensten. Volgens het Witte Huis leverde Sjevtsjenko’s bedrijfje Zorsecurity (ook bekend onder de naam Esage Lab) „technisch onderzoek” aan de Russische militaire inlichtingendienst GROe, en hielp het zo mee aan het stelen van de mail van leidinggevenden binnen de Democratische Nationale Conventie (DNC), het bestuur van de Democratische Partij.

Sjevtsjenko ontkent bij hoog en laag iets met de ‘DNC-hack’ te maken te hebben. „Het lijkt er op dat iemand van mij de zondebok wil maken van de Amerikaans-Russische cyberoorlog”, schreef ze aan een journalist van Forbes’ Amerikaanse editie. In een recente tweet laat ze weten niet meer met journalisten te willen praten, omdat die volgens haar alleen maar uit zijn op sensatie.

Alisa staat voor een generatie

Is Alisa Sjevtsjenko inderdaad een van Poetins cyber warriors? De beschuldigingen van het Witte Huis zijn niet te controleren. Maar één ding staat vast: de jonge hacker (haar exacte leeftijd wil ze niet geven) staat in veel opzichten model voor een generatie. Net als hun westerse leeftijdgenoten zijn Moskouse millennials hoogopgeleid en zeer bereisd, met een uitstekend gevoel voor de laatste trends en mode. In de digitale wereld voelen ze zich als een vis in het water.

Alisa Sjevtsjenko. Foto Twitter

Russen zijn nog niet zo online als Nederlanders, maar anders dan Nederland beschikt Rusland over een eigen internetindustrie. In 2014 draaiden Russische internetbedrijven een omzet van 143 miljard dollar (135 miljard euro), 8,5 procent van het Russische bbp. Ter vergelijking: Google haalde in 2015 een omzet van 75 miljard dollar. Na olie, gas en grondstoffen – en wapens – vormt internet een van de belangrijkste bedrijfstakken van Rusland. De Russische zoekmachine Yandex is groter dan Google, en VKontakte (het Russische Facebook) heeft meer Russische gebruikers dan de dienst van Mark Zuckerberg.

‘Uitvinding van de CIA’

De Russische president Poetin heeft het internet altijd beschouwd als een dreiging, die met alle geweld onder staatscontrole moest worden gebracht. Nog in 2014 noemde hij het world-wide web een „uitvinding van de CIA”. Daarentegen zagen de Russische geheime diensten al vroeg het potentieel: voor spionage, voor het hinderen van potentiële tegenstanders, en voor het beïnvloeden van het politieke proces in andere landen. In de rapporten van westerse geheime diensten komt Russische cyberspionage steevast op de tweede plaats (na China).

De Russische geheime diensten begonnen met een achterstand. Pas in het midden van de jaren tachtig importeerde de Sovjet-Unie zijn eerste pc’s, en het Russische kabelnetwerk moest in de jaren negentig bijna vanaf de grond worden opgebouwd.

Tijdens de tweede Tsjetsjeense oorlog (vanaf 1999) waren het studenten van de universiteit van Tomsk die Tsjetsjeense websites uit de lucht haalden. „De cyberaanval werd als het ware uitbesteed”, zegt onderzoeksjournalist Andrej Soldatov, die een geruchtmakend boek schreef over het ontstaan van het Russische internet (The Red Web).

Toen Estland in 2007 besloot een monument voor het Rode Leger te ontmantelen, werd een groot deel van de overheid en de financiële infrastructuur platgelegd door een DDoS-aanval, een techniek waarbij sites worden bezocht door duizenden computers tegelijk, waardoor ze op zwart gaan. Dit keer liep het spoor niet terug naar studenten, maar naar activisten van Nasji (‘De onzen’), een jeugdbeweging van het Kremlin. Het inschakelen van dergelijke ‘niet-formele actoren’ past in een patroon, zegt Soldatov.

„Het voordeel daarvan is ook dat de overheid zelf buiten beeld blijft.”

Maar Rusland zet niet alleen vaderlandslievende jongeren in. Op 29 december maakte het Witte Huis een lijst met instellingen en bedrijven bekend tegen wie de VS sancties heeft afgekondigd vanwege betrokkenheid bij het hacken van de Democratische partij.

Op de naam staan onder meer de Russische inlichtingendienst FSB, de militaire inlichtingendienst GROe, en het bedrijf van Alisa Sjevtsjenko.

Twee hackers worden met naam en toenaam genoemd: Jevgeni Bogatsjov en Aleksej Belan. Beide mannen worden al jaren gezocht door de FBI: niet vanwege spionage, maar vanwege ordinaire fraude. Aleksej Belan (1987, beloning 100.000 dollar) zou in 2012 en 2013 hebben ingebroken bij twee Amerikaanse online winkels en de inloggegevens van miljoenen gebruikers hebben gestolen om die te kunnen verkopen.

Jevgeni Bogatsjov. Foto FBI.

Jevgeni Bogatsjov (1983) creëerde het zogeheten Zeus-virus, waarbij een miljoen computers werden geïnfiltreerd met malware om achter de bankgegevens van de gebruikers te komen. Volgens de FBI hebben Bogatsjov en zijn bende in de loop der jaren tenminste 100 miljoen dollar gestolen. In 2015 zette de FBI drie miljoen dollar op het hoofd van ‘Slavik’, zoals Bogatsjov online wordt genoemd – de hoogste beloning voor een cybercrimineel ooit.

Het Nederlandse internetbeveiligingsbedrijf Fox-IT deed onderzoek naar een van de vele versies van het Zeus-virus, en kwam er achter dat de groep rond Slavik niet alleen bezig was verduistering. Zo kregen ‘botnets’ (groepen geïnfecteerde computers) commando’s en zoektermen die specifiek gericht waren op de overheid en de geheime diensten van Georgië en Turkije en, na de Maidanrevolutie in Kiev, op Oekraïne. „Het is aannemelijk dat Slavik niet alleen betrokken was bij de groep criminelen rond Zeus”, zo schrijft onderzoeker Michael Sandee van Fox-IT.

„We zouden kunnen speculeren dat hij vanwege dit deel van zijn werk een bepaald niveau van bescherming genoot.”

Symbiotische relatie

Volgens Amerikaanse onderzoekers is er al tien jaar sprake van een ‘symbiotische relatie’ tussen de Russische overheid en de bloeiende digitale onderwereld. En cybercriminelen die een straf boven het hoofd hangt, worden bij bewezen talent actief geworven door de Russische diensten.

In de documentatie die de Amerikaanse overheid tot nu toe naar buiten heeft gebracht over de vermeende Russische hackactiviteiten figureren twee hackersgroepen die bekend staan onder verschillende namen, zoals ‘Fancy Bear’ en ‘Cozy Bear’, of het minder tot verbeelding sprekende APT28 en APT29, waarbij de afkorting staat voor advanced persistent threat. Volgens het Amerikaanse commerciële beveiligingsbedrijf CrowdStrike, dat de DNC-hack in opdracht van de Democratische Partij onderzocht, schuilt achter hackersgroep APT28 de militaire inlichtingendienst GROe, en is ATP29 een hackersgroep van de FSB.

Volgens het CrowdStrike-rapport waren beide hackergroepen tegelijkertijd actief in de systemen van de Democratische Partij en leken ze niet altijd op de hoogte aan elkaars activiteiten: APT28 en APT29 downloadden bijvoorbeeld dezelfde documenten.

Russische diensten die elkaar bij een inbraak voor de voeten lopen – het lijkt bijna amateuristisch. Maar Poetins enorme veiligheidsapparaat is ondoorzichtig, en verschillende diensten concurreren met elkaar om geld en invloed.

Onderzoeksjournalist Andrej Soldatov vermoedt dat het verband tussen de hackers en de diensten minder direct is dan de Amerikaanse overheid stelt.

„Ik denk dat de Amerikanen er heel snel vanuit gaan dat cyberaanval moet zijn uitgevoerd door iemand die betrokken is bij de staat. Zoals bijvoorbeeld de Chinese hackers. De Russische werkelijkheid is vaak ingewikkelder.”

Misleiding (maskirovka) is door de Russische diensten verheven tot hogere kunst. Nadat WikiLeaks de eerste e-mails uit het Democratische kamp had gelekt, werd de verantwoordelijkheid opgeëist door een zekere ‘Guccifer 2.0’, die zich in chatgesprekken voordeed als een Roemeense hacker, maar wiens beheersing van de Roemeense taal bij doorvragen vooral leek te zijn gebaseerd op Google Translate. ‘Fancy Bear’ is ook de naam van een ‘hackerscollectief’ dat claimt verantwoordelijk te zijn voor het hacken van het wereldwijde antidopingagentschap WADA. Op een website presenteert het ‘hackteam’ zich met het motto van de internationale hackbeweging Anonymous.

Kantoortijden

Achter de amateuristische façade schuilen professionals. Hackersgroep APT28 is al sinds 2007 bekend bij internetbeveiligers. Eind 2014 publiceerde het bedrijf FireEye een gedetailleerde studie naar de groep. FireEye concludeerde dat APT28 zijn software steeds verder verbeterde, en dat de manier waarop malware wordt ontwikkeld een ‘formele werkomgeving’ suggereert. Zo werd er op Moskouse kantoortijden aan malware gewerkt.

Sinds enige tijd maken hackers ook formeel deel uit van de Russische overheid. In 2013 kondigde de Russische minister van Defensie Sergej Sjojgoe aan dat Rusland ‘cybereenheden’ zou gaan vormen. In 2014 meldde persbureau Itar-Tass de eerste eenheden voor ‘informatie-operaties’ een feit waren. Op internet werft het Russische ministerie van Defensie jongeren voor een baan in zogeheten ‘wetenschappelijke compagnieën’.

„De Russen zijn niet alleen technisch bekwaam”, zegt Ronald Prins, „ze zijn vooral ook tactisch heel goed.” De directeur van het Nederlandse beveiliginsgbedrijf Fox-IT doelt op de bredere ‘informatiecampagne’ waartoe volgens de Amerikaanse diensten president Poetin zelf opdracht gaf: van het hacken van de Democratische mailservers tot de publicaties door WikiLeaks. „In dat spel zijn de Russen misschien wel beter dan de Amerikanen.”

Prins denkt dat APT28 en APT29 niet meer dan een topje van de ijsberg zijn. De meest geavanceerde malware zal Rusland bewaren voor de operaties die nooit naar buiten zullen komen. Operaties waarbij de Russen meeluisteren in het Witte Huis bijvoorbeeld, zegt Prins.

„Het kan echt nog veel erger. Daar ben ik van overtuigd.”