Waarom de meest gezochte hacker ter wereld nog gewoon vrij rondloopt

Jevgeni Bogatsjov

De FBI heeft al drie jaar een prijs van 3 miljoen dollar op zijn hoofd staan vanwege grootschalige diefstal en hacken, maar Jevgeni Bogatsjov is al jaren op vrije voeten. Waarom wordt hij niet opgepakt?

Foto FBI

‘Hij is de Steve Jobs van de cybercrime, de grand daddy”, zegt Eward Driehuis, hoofd onderzoek van cyberveiligheidsbedrijf SecureLink.

„Nou, dan eerder een soort kruising tussen Steve Jobs en de crimineel die Brad Pitt speelt in de film Ocean’s Eleven,” zegt onderzoeker Frank Groenewegen van concurrent Fox-IT.

Ze hebben het over de Russische Jevgeni Bogatsjov (33), de meest gezochte internetcrimineel van het moment. De FBI heeft al drie jaar een prijs van 3 miljoen dollar op zijn hoofd staan vanwege grootschalige diefstal en hacken; politiekorpsen van Nederland tot aan Zuid-Afrika zijn naar hem op jacht.

Foto’s van de kaalgeschoren Bogatsjov in snelle auto’s met jonge vrouwen en in panterprint-outfit met bijpassende kat in zijn armen, stonden de afgelopen maand boven grote artikelen over hem in The New York Times en Wired. „Behalve voor cybermisdaden zou je hem ook kunnen oppakken voor misdaden tegen de goede smaak”, grapte veiligheidsexpert Mikko Hyppönen van veiligheidsbedrijf F-Secure half maart op een congres in Rotterdam.

Bogatsjov is de meest besproken internetcrimineel die er is – meestal niet bepaald handig voor iemand die op de vlucht is. En toch loopt hij nog altijd vrij rond. Volgens de FBI mogelijk in de Russische badplaats Anapa. „Hij staat bekend om zijn voorliefde voor boten en reist mogelijk rond de Zwarte Zee”, staat in het opsporingsbericht. De Russische overheid wil hem niet uitleveren, dat doet ze nooit met staatsburgers. Maar wat wel vreemd is: de Russische politie pakt hem überhaupt niet op.

Dat roept allerlei vragen op over de huidige staat van cybercrime, waarin onderwereld en politiek steeds vaker in elkaar lijken over te lopen. Barack Obama noemde Bogatsjov vlak voor zijn vertrek uit het Witte Huis expliciet als één van de verdachten van de e-mailhack van de Democratische Partij. Dat zijn de e-mails die uiteindelijk gebruikt zouden zijn om met een lastercampagne tegen Hillary Clinton de Amerikaanse presidentsverkiezingen te beïnvloeden.

Hoe kan het dat de meest gezochte cybercrimineel nog steeds voortvluchtig is, en tegelijkertijd ook nog eens van zo’n prominente politieke hack wordt beschuldigd?

‘Microsoft Office voor hackers’

Bogatsjovs claim to fame is Zeus, één van de meest succesvolle virussen ooit. Volgens Wired was Zeus „de Microsoft Office voor hackers”. De software werd vanaf 2005 gebruikt om computers te gijzelen, wachtwoorden af te kijken, binnen te dringen in systemen om illegale overboekingen te doen, en nog veel meer. Zeus stond volgens sommige veiligheidsbedrijven op het dieptepunt in 2009 op miljoenen computers wereldwijd. Volgens sommige schattingen moet Bogatsjov bij talloze particulieren, bedrijven en banken meer dan 100 miljoen euro hebben buitgemaakt.

Zowel Frank Groenewegen als Eward Driehuis waren destijds betrokken bij de speurtocht naar de crimineel achter Zeus, ze werkten toen allebei bij het Threat Intelligence Team van Fox-IT. Volgens de FBI was de informatie van dat Delftse bedrijf cruciaal voor het onderzoek. Een klant, ze mogen vanwege geheimhoudingsverklaringen niet zeggen welke, klopte in 2006 aan met een nieuw cyberveiligheidsprobleem: dat bleek uiteindelijk Zeus te zijn.

„Als er ergens nieuwe malware wordt ontdekt, gaat iedereen altijd even goed kijken,” zegt Groenewegen. „Een beetje zoals bij een nieuwe auto: je loopt er een rondje omheen, duikt even onder de motorkap, kijkt even hoe hard ’ie kan, hoe de bekleding eruit ziet.” En in het geval van Zeus waren beveiligingsexperts na die testrit unaniem zwaar onder de indruk.

Er zaten allerlei innovatieve extra’s en opties in. Zeus bevatte bijvoorbeeld heel specifieke instellingen waarin stond welke banken het zou aanvallen om de rekening van een geïnfecteerde gebruiker te plunderen. Het was een programma dat op zeer geavanceerde manieren beveiliging omzeilde. „Net zoals bij Steve Jobs zat het ‘m er niet in dat hij zelf nieuwe technologie uitvond, maar meer in de slimme manier waarop hij het in elkaar zette en toepaste,” zegt Driehuis. „Heel vernuftig.”

Werken als een start-up

Wat de verbazing van cybercrime-experts achteraf vergroot: Bogatsjov was toen hij Zeus zou hebben geprogrammeerd pas 22 jaar oud. Zijn timing was bovendien perfect: precies in die tijd kwam internetbankieren op, waardoor er plots grof geld te stelen was online. „Hij pakte het hacken echt aan alsof hij een technologiebedrijf runde,” zegt Groenewegen.

Foto AP

Wie er achter Zeus zat, wisten cyberveiligheidsexperts en opsporingdiensten destijds nog niet. Zij waren in de jaren na 2006 druk bezig met hun speurtocht. Het napluizen van mailtjes die werden gebruikt om Zeus computersystemen binnen te smokkelen. Servers doorlichten. IP-adressen proberen te achterhalen. „Bij dat soort onderzoeken brengen onderzoekers dagenlang, nachtenlang door achter hun computers: databestanden doorpluizen, puzzelen, verbanden zoeken,” zegt Driehuis. En maar hopen dat de aanvallers ergens een foutje maken.

Na jarenlang vruchteloos zoeken en vele doodlopende sporen verder, wees een bron de onderzoekers van Fox-IT op een e-mailadres dat mogelijk in verband kon worden gebracht met Bogatsjov. „Dat e-mailtje bevatte precies het soort foutje waar we naar zochten, en dat leidde tot een spoor”, zegt Groenewegen. „Toen nog niet per se tot één aha-moment, maar het was een puzzel die steeds beter in elkaar paste.”

Fox-IT begon toen ook informatie te delen met opsporingsdiensten zoals de FBI, die vaker samenwerken met private internetveiligheidsexperts.

„Gek genoeg hebben private partijen vaak meer vrijheid in de opsporing van dit soort criminelen dan overheden”, zegt Groenewegen. Politie en veiligheidsdiensten moeten vaak telkens opnieuw toestemming en tijd aanvragen voor cyberoperaties en moeten zich aan verouderde wetten houden. Private bedrijven hebben vaak meer middelen en tijd tot hun beschikking, al hebben ze voor zaken als inbeslagnames en huiszoekingsbevelen alsnog een opsporingsdienst nodig. Het pakken van internetcriminelen is vaker een samenspel van private premiejagers en overheden.

Nadat Fox-IT en andere cyberveiligheidsbedrijven hun verzamelde puzzelstukjes deelden met de FBI, kon die samen met andere politiediensten uiteindelijk ruim 100 mensen oppakken die betrokken waren bij de enorme wereldwijde fraude via Zeus. Mede door hun verklaringen kon een wereldwijde politie-operatie uiteindelijk in 2014 definitief Bogatsjov aanwijzen als het brein.

Zijn levensstijl heeft allicht bijgedragen aan zijn pakkans: op een gegeven moment had hij volgens een anonieme bron van The New York Times twee villa’s in Frankrijk en hield hij een hele vloot auto’s aan in Europa. Die zou Bogatsjov in verschillende landen parkeren, zodat hij op vakantie nooit een auto hoefde te huren.

Spionage van overheden

Maar drie jaar later is hij dus nog steeds niet opgepakt. Een mogelijke verklaring daarvoor is te vinden in een uitgebreid rapport over Zeus dat Fox-IT in 2015 presenteerde. Daarin staan een paar vreemde details die de onderzoekers in eerste instantie zelf ook niet goed snapten. Zeus werd na verloop van tijd plotseling ook gebruikt voor spionage en het zoeken naar geheime informatie.

Op computers in Oekraïne, Turkije en Georgië bleek Zeus op zoek te gaan naar gevoelige overheidsdocumenten en naar namen van medewerkers van de geheime diensten, volgens het Fox-IT-rapport.

Zulke spionage paste niet bij de overige activiteiten van Zeus, die vooral gericht waren op financieel gewin voor criminelen. Vandaar dat meerdere veiligheids- en inlichtingendiensten denken dat de Russische geheime dienst FSB op een zeker moment is gaan samenwerken met Bogatsjov. De FSB heeft namelijk wél wat aan de informatie die in Oekraïne, Georgië en Turkije werd buitgemaakt.

Onder meer de Amerikaanse inlichtingendiensten en het Oekraïense ministerie van Binnenlandse Zaken beschuldigen de Russische overheid van samenwerking met Bogatsjov. Het meest recent dus bij de hack van de e-mails van de Amerikaanse Democraten. Zo’n samenwerking met de geheime dienst zou volgens diverse rapporten verklaren waarom Bogatsjov nog niet achter tralies zit, al ontkent Moskou elke betrokkenheid.

Zeus is sinds 2014 niet meer actief. Wel zijn er volgens Eward Driehuis aanwijzingen dat enkele van Bogatsjovs voormalige bendeleden weer andere virussen verspreiden. Wat Bogatsjov momenteel zelf doet, blijft gissen. Duidelijk is wel dat hij klem zit. „De Russische overheid heeft hoe dan ook enorme leverage op hem,” zegt Driehuis. „Die kan hem elk moment oppakken als hij hun opdrachten niet uitvoert.”

Andere cybercriminelen denken waarschijnlijk wel drie keer na voordat ze met de meest opgejaagde crimineel van de wereld gaan samenwerken. Met een premie van 3 miljoen op zijn hoofd moet Bogatsjov eventuele zakenpartners bovendien wel érg zorgvuldig uitzoeken om verraad te voorkomen.

„We kunnen nu alleen maar speculeren over waar hij uithangt, en óf en hoe hij nog actief is als cybercrimineel”, zegt Groenewegen. Maar als Bogatsjov deze lente weer gaat varen op de Zwarte Zee, zal hij tenminste regelmatig over zijn schouder moeten kijken.