De kofferbak van de Russische spionnen zit vol met hackgereedschap

Reconstructie De MIVD komt de Russische GROe-spionnen enkele dagen voor de hackpoging op het hoofdkantoor van de OPCW op het spoor. Zij wanen zich onbespied.

Generaal Onno Eichelsheim (MIVD), Minister Ank Bijleveld van Defensie (CDA) en Peter Wilson, ambassadeur Verenigd Koninkrijk tijdens een persconferentie op het Ministerie van Defensie. Foto Bart Maat/ANP

Vijf dagen voor de mislukte hack worden nieuw aangeschafte telefoons aangezet. Het signaal wordt opgepikt door een telefoonmast dichtbij een kazerne in Moskou van de GROe, de Russische militaire inlichtingendienst.

Het signaal is het eerste moment dat de MIVD kon reconstrueren van het Nederlandse avontuur van vier Russische hoofdrolspelers: Aleksej Morenets (41), Jevgeni Serebrjakov (37), Oleg Sotnikov (46) en Aleksej Minin (47). Vanuit deze kazerne opereert de GROe-eenheid die in verband wordt gebracht met de hackgroep APT28, ook wel bekend als Fancy Bear. Deze hackers worden verdacht van aanvallen op onder meer het Duitse parlement, wereldantidopingagentschap WADA, de Amerikaanse Democratische Partij, Nederlandse en Britse ministeries, Britse laboratoria en een onderzoeksinstelling naar chemische wapens.

De dag dat het signaal wordt opgevangen, zoekt Serebrjakov op Google naar informatie over de Organisatie voor het Verbod op Chemische Wapens (OPCW) en de omgeving van het hoofdkwartier in Den Haag. De volgende ochtend nemen de spionnen vanaf de GROe-kazerne de taxi naar het Moskouse vliegveld. Ze bewaren de taxibon. Later zullen ze dat ook doen met andere uitgaven. Het geeft een bevreemdend beeld van spionnen die als ambtenaren gewoon hun werk doen en bonnetjes declareren – ook al gaat het in dit geval om een illegale cyberoperatie.

Lees ook het liveblog dat we vandaag bijhielden over de Russische hackpoging: Dit is wat we nu weten

Alarmbellen

Dit viertal gaat op pad omdat hackpogingen op afstand bij de OPCW zonder succes zijn gebleven. Ze vliegen met een diplomatiek paspoort naar Schiphol. Een assistent van de Russische ambassade haalt ze op. Op camera’s is vastgelegd hoe de vijf ontspannen door de gang lopen. De mannen van middelbare leeftijd dragen onopvallende kleding. Hun handen zijn nonchalant in de zakken gestoken.

Na de landing gaan ze direct aan het werk. In een watersportwinkel in Den Haag kopen ze een batterij en een oplader die ze nodig hebben voor hun hack.

De volgende dag huren ze voor vijf dagen een donkergroene Citroën C3. Het is ook de dag dat de MIVD voor het eerst zicht krijgt op de activiteiten van de mannen. De dienst schrijft het later toe aan „regulier contra-inlichtingenwerk” en een tip van een partnerdienst.

Vrij snel gaan er alarmbellen af op de Frederikskazerne in Den Haag van waar de MIVD werkt. Duidelijk wordt dat de OPCW het doelwit zou kunnen zijn. Op dat moment coördineert de OPCW het onderzoek naar het gifgas dat werd gebruikt voor de aanslag op de Russische dubbelspion Sergej Skripal in Salisbury. Het is ook de periode dat het gifgas dat gebruikt is in het Syrische Douma wordt onderzocht. Twee politiek hoogst beladen thema’s voor Rusland.

De spionnen wanen zich deze dagen onbespied en gaan op verkenning. De Rus Minin neemt foto’s van de omgeving van de OPCW, voorbijrijdende auto’s en argeloze voorbijgangers – mogelijk OPCW-personeel. De volgende dag checken ze in bij het naastgelegen Marriott Hotel en Minin neemt daar door de ramen opnieuw foto’s van de OPCW. Of de Russen deze dagen interesse hebben in meer Nederlandse instanties wil de MIVD niet zeggen. De kofferbak van de gehuurde auto stoppen ze vol met apparatuur. Ze hebben een zogeheten wifipanel-antenne bij zich. Daarmee willen ze inbreken op het wifinetwerk van de OPCW. Of ze daar een wachtwoord van hebben, is niet duidelijk, maar er bestaan programma’s die wachtwoorden kunnen kraken.

Ze willen naast het wifinetwerk betreden ook inloggegevens onderscheppen. Om hun digitale sporen uit te wissen, gebruiken ze een zogeheten VPN.

Serebrjakov neemt in zijn rugtas extra apparatuur mee, mogelijk voor als ze moeten improviseren. Het gaat om verschillende antennes, signaalversterkers en een zogeheten pineapple. Deze gadget is voor een paar tientjes te koop op internet. Het kan apparaten verleiden om er automatisch verbinding mee te maken. Al het internetverkeer dat zo langskomt, zou dan voor de Russen te lezen zijn. Deze zogeheten ‘man in the middle-aanval’ is alleen mogelijk van dichtbij.

Op vrijdag 13 april staat om half vijf ’s middags de gehuurde Citroën op de parkeerplaats van het Marriott Hotel, dat direct grenst aan de OPCW. De achterkant van de auto staat op het pand gericht. De antenne ligt op de hoedenplank, verborgen onder een lange jas.

De Russen schakelen hun apparatuur aan. „Op dat moment is er een directe dreiging tegen de OPCW”, zegt MIVD-baas Onno Eichelsheim donderdag op een persconferentie bij het Ministerie van Defensie. Voor de geheime dienst was het duidelijk: ingrijpen. Ze gaan er, met donkere auto’s en in hun burgerkleding, op af.

Als de Russen in de gaten hebben wat er gebeurt, probeert Morenets nog bewijsmateriaal te vernietigen door zijn telefoon kapot te trappen. „Helaas voor hen zijn moderne telefoons steviger dan je zou verwachten”, zegt Eichelsheim.

Goudmijn

De vier worden nog dezelfde dag op het vliegtuig gezet naar Rusland. Het meegebrachte cash geld blijft achter: 20.000 euro en 20.000 dollar, net als hun spullen en apparatuur.

De Russen hadden treinkaartjes bij zich voor een reis naar Zwitserland. NRC wist eerder met de Zwitserse krant Tages-Anzeiger te achterhalen dat een Russische hack op het Spiez-laboratorium vanuit Den Haag was voorkomen. Het laboratorium onderzocht ook het gifgas in Syrië en de aanslag op Skripal.

De bonnetjes en achtergebleven laptop zijn een goudmijn. Waardevoller dan de MIVD’ers hadden kunnen bevroeden – vooral door slordigheid van de spionnen. De telefoons wijzen naar de GROe, en op laptop van Serebrjakov is zelfs terug te halen waar hij eerder spioneerde. Zoals in Kuala Lumpur, waar hij probeerde informatie over het MH17-onderzoek te stelen. Tijdens de Olympische Spelen in 2016 is hij in Brazilië: hij staat op een foto met een Russische atlete op een tribune.

Twee van de spionnen worden ook in verband gebracht met hackaanvallen in Zwitserland tijdens een WADA-conferentie. Op een getroffen computer is malware gevonden die in verband werd gebracht aan de eerder genoemde Fancy Bear.

Waarom zijn de mannen niet gearresteerd? Volgens Eichelsheim heeft hij een haastige afweging moeten maken en was het geen politieoperatie.

    • Liza van Lonkhuyzen
    • Joep Dohmen