De ontmanteling van een geheime cyberbunker aan de Moezel

Cybercriminaliteit De 60-jarige Nederlander Herman Johan X. staat volgens het OM in Duitsland aan het hoofd van een datacentrum dat jarenlang alleen maar cybercriminelen bediende. „We dachten dat er een techcampus zou komen.”

De Koude Oorlogbunker in Traben-Trarbach waar Nederlander X. zijn cyberbedrijf vestigde. Met ondoordringbare deuren en vier ondergrondse verdiepingen vol internetkabels.
De Koude Oorlogbunker in Traben-Trarbach waar Nederlander X. zijn cyberbedrijf vestigde. Met ondoordringbare deuren en vier ondergrondse verdiepingen vol internetkabels.

Eind september 2019. In de stadsherberg in het Duitse Traben-Trarbach zitten meer agenten dan dinergasten. Ze zijn niet afgekomen op de witte wijn uit de Moezelstreek. Ook niet op de geroosterde forel. De agenten, gekleed in burger, zijn er wegens een gezelschap van zeven man: vier Nederlanders, twee Duitsers en een Bulgaar. De activiteiten van één van hen, de 60-jarige Nederlander Herman Johan X., hebben de belangstelling van de politie vijf jaar geleden al gewekt. Herman Johan X. (die zijn achternaam zelf veranderde) kocht in 2013 een voormalig militair complex, inclusief bunker, op een bergtop boven Traben-Trarbach. Vanuit de bunker verhuurden X. en zijn kompanen honderden internetservers.

De politie heeft de undercover-operatie maanden voorbereid. Zelfs op de dag zelf kan de actie nog worden afgeblazen. Er zijn zeshonderd agenten op de been. Buiten de Historische Stadt-Mühle van Traben-Trarbach staan de zwaarbewapende leden van de GSG9, de Duitse anti-terreur-eenheid, verdekt opgesteld. De andere agenten staan bij de bunker, klaar om binnen te vallen.

Wat gebeurde er op die computers in Traben-Trarbach dat de aandacht van het Duitse opsporingsapparaat in deze mate trok?

  1. Het bedrijf van X.

    Cybercriminelen worden steeds professioneler, en daar horen gespecialiseerde dienstverleners bij. Zoals de organisatie van X., vermoedt de politie. In speciale computers in de bunker bood X. volgens justitie tegen betaling onderdak aan websites van hackers, grote ondergrondse drugsmarktplaatsen en servers die betrokken waren bij een grote cyberaanval.

    Klanten die een normaal data-centrum zal weigeren, maar via zulke ‘bulletproofhosters’ toch op het internet kunnen komen.

    Vergelijk het met een pandjesbaas die het alleen interesseert of de huur op tijd betaald wordt en verder zo min mogelijk wil weten over zijn huurders. Met dubieuze huurders hadden X. en zijn kompanen in Traben-Trarbach al die jaren weinig moeite, blijkt uit de aanklacht die de cybercrime-afdeling van het openbaar ministerie in Koblenz afgelopen dinsdag openbaar maakte.

    „Wij verkopen geen hosting, wij verkopen gemoedsrust.” Met die slogan biedt het bedrijf van X. vanaf 2014 zijn diensten aan. Calibour (‘secure data solutions’) heet het bedrijf op de bergtop buiten Traben-Trarbach. Het voormalige militaire terrein heeft X. een jaar eerder overgenomen van de Duitse rijksvastgoeddienst, naar verluidt voor een bedrag van 350.000 euro. Hoewel de Bundeswehr al jaren geleden vertrok, hangen bij de poort nog steeds borden met verordeningen van de kazernecommandant. „Halt Ausweiscontrol, bitte Dienstausweis und Parkausweis bereit halten.”

    Het terrein van zo’n dertien hectare met twee grote kantoorpanden is omgeven door een flink hek afgetopt met prikkeldraad. Het grootste gedeelte van het complex is aan het zicht onttrokken door een flinke aarden wal. De ondergrondse bunker waar alle computers in staan, is vanaf de weg niet te zien. De meeste medewerkers wonen in de kantoorpanden bovengronds. X. heeft een slaapkamer in de bunker zelf, met een dure muziekinstallatie en een enorme televisie. Dag en nacht zijn ze aanwezig om toezicht te houden op het serverpark in de bunker.

    De bunker is gebouwd op het hoogtepunt van de Koude Oorlog en is 25 meter diep, met een oppervlakte van 5.500 vierkante meter. De vier ondergrondse verdiepingen zijn voorzien van internetkabels, airconditioning en een noodaggregaat.

    De bunker is een ideale plek voor het verwerken van internetverkeer voor criminele klanten. Als medewerkers bij de toegangspoort onraad vermoeden, kunnen ze de bunker inlichten. Die gaat dan hermetisch op slot voordat de politie de gewapende deuren kan bereiken. Het open krijgen van de deuren, die het zwaarste geschut kunnen weerstaan, is lastig, zo niet onmogelijk. Als de politie buiten de deur zou trachten te forceren, zouden de bunkerbewoners tijd hebben om bewijsmateriaal te vernietigen of gegevens op de computer ontoegankelijk te maken.

    Foto EPA
    Foto EPA
    Foto EPA
    Foto EPA
  2. Geruchten en onderzoek

    Wat X. en zijn medeverdachten sinds 2014 op het terrein uitspoken, weet beneden in Traben-Trarbach eigenlijk niemand. De vreemdelingen gaan op in de stroom van 200.000 jaarlijkse toeristen in het Duitse plaatsje aan de Moezel (6.000 inwoners), niet ver van de grens met Luxemburg. Alleen als dorpsbewoners zijn witte BMW zagen – met op de kentekenplaat de letters BO-BO – wisten ze dat X., een man met halflang grijswit haar, in het dorp was.

    Geruchten over de activiteiten waren er wel, vertelt burgemeester Patrice Langer (SPD). Hij kent de bunker goed; toen het nog een militair complex was, werkte hij er jarenlang. „Wat als ze daarboven drugs produceerden? Of als ze in de bunker kernafval opsloegen?” Kort na zijn aantreden in 2014 besloot hij er poolshoogte te nemen.

    Als hij naar de bunker belt, kan hij tot zijn verbazing terstond terecht. Wel moet hij een kwartier wachten; eerst moeten de waakhonden die over het terrein rennen worden gevangen. De eerste geruchten zijn in ieder geval ontzenuwd, denkt Langer. Een drugslab ontmantel je niet in een kwartier.

    De burgemeester wordt in een van de voormalige kantoorpanden hoffelijk ontvangen door X., die hem honderduit vertelt over de plannen voor het datacentrum. Klanten kunnen de apparatuur huren, maar ook gevoelige gegevens laten digitaliseren en veilig in de bunker opslaan. Er komt een techcampus, vertelt X. Jonge mensen kunnen er apps gaan programmeren. X. rekent op „tachtig tot honderd nieuwe banen”. Dat verheugt de burgemeester, omdat de gemeente door het verlies van de militaire basis juist inkomsten heeft verloren. „En als je daar een beetje voor gecompenseerd wordt, zeg je niet gelijk nee.”

    Langer onderwerpt zijn oude werkplek aan een grondige inspectie en mag elke ruimte bekijken. Hij treft niets vreemds aan. „Ach, natuurlijk mag u even achter de deur kijken”, wordt hem verteld. „Maak hem maar open, kijk er maar achter”, zegt X. tegen de burgemeester. Echter: op één vraag komt geen antwoord, ook niet als Langer jaren later nog eens een bezoek brengt. Wat staat er op de computers?

    Op wat zorgen over de waakhonden na is Langer zich al die tijd niet bewust van problemen rond het datacentrum. Hij vraagt zich wel af waarom de bunker voor zo weinig geld is verkocht. Alleen het terrein is volgens hem al 350.000 euro waard, dus zónder de twee grote kantoorpanden en de bunker. De burgemeester vermoedt dat de hoge onderhoudskosten voor de noodstroom en de generatoren een rol spelen.

    De Duitse politie vermoedt al wel vrij snel na de verkoop van de bunker dat er iets niet in de haak is met de nieuwe eigenaren. Eerder beheerden zij in Nederland een mogelijk illegaal datacentrum. En dus start de Duitse justitie een onderzoek – dat vijf jaar later uitmondt in de undercover-politieactie.

    Lees ook over een cyberbunker in Zeeland: Hier woedt een internetoorlog
  3. Arrestatie en aanklacht

    Op een donderdagavond eind september 2019 staan alle seinen eindelijk op groen. Niemand is in de bunker; zeven verdachten zitten in de herberg in Traben-Trarbach. Ze hebben geen idee dat ze omringd zijn door agenten. Ze hebben geen idee dat ze onder valse voorwendselen allemaal tegelijk uit hun bunker zijn gelokt, én dat daar de kogelvrije deuren van het slot zijn, én alle computersystemen ingeschakeld en actief zijn. De politie hoeft alleen nog maar de computers mee te nemen.

    Dat is te danken aan een politiemol die in de groep is geïnfiltreerd, zegt Jürgen Brauer, die deel uitmaakt van de leiding van het Openbaar Ministerie in Koblenz. De mol zorgde ervoor dat alle verdachten naar de herberg kwamen.

    De politie-overmacht overrompelt hen en rekent iedereen zonder problemen in.

    De verdachten zitten nu ruim een half jaar vast. Acht verdachten worden beschuldigd van het faciliteren van de online criminaliteit van hun klanten, voornamelijk grootschalige drugshandel.

    Een van de medewerkers van X., een 50-jarige Nederlander, fungeerde als een soort manager, en een 52-jarige Duitser deed de financiën. De rest, van wie sommigen zich later bij het gezelschap voegden, legde zich toe op de techniek en het helpen van de klanten.

    Foto EPA
    Foto EPA
    Foto EPA

    Het OM rekent op hoge celstraffen, zegt Brauer. „Niet alleen is op de platformen massaal in drugs gehandeld; de verdachten hebben hier op bedrijfsmatige wijze, in bendeverband, medeplichtigheid aan verleend. Daar kan zo’n dertien jaar celstraf op staan.”

    De aanklacht, van afgelopen dinsdag, richt zich op zeven illegale activiteiten die op servers in de bunker plaatsvonden. Het gaat om het hosten van meerdere grote ‘darknetmarkets’ – ondergrondse online marktplaatsen waar veelal in drugs wordt gehandeld. Ook was er een forum waar hackers samenkwamen en handelden in gestolen data. Een beheerder van één van de hackforums – Fraudsters, waar in gestolen identiteitsbewijzen werd gehandeld – werd onlangs al veroordeeld tot een celstraf van zes jaar en acht maanden.

    De grootste darknet market die klant was bij X. en consorten heette Wall Street Market en werd beschouwd als de op één na grootste ter wereld. In drie jaar tijd werd er voor bijna 36 miljoen euro aan drugs verhandeld, tot de site in het voorjaar van 2019 offline ging.

    De servers in Traben-Trarbach boden volgens het OM ook onderdak aan hackers. Een massale poging in 2016 om routers van Deutsche Telekom te hacken werd georkestreerd vanaf servers in de bunker. De bedoeling was om de routers toe te voegen aan het ‘Mirai botnet’, een netwerk van gehackte apparaten die op grote schaal andere apparaten moesten aanvallen. Die aanval mislukte, maar zorgde er wel voor dat de circa 1,3 miljoen klanten tijdelijk zonder internet kwamen te zitten. Het leverde Deutsche Telekom een schadepost op van zeker 2 miljoen euro.

    Lees meer over botnets: Hoe jouw waterkoker het internet kan platleggen

    Op een andere webpagina waaraan computers in de bunker onderdak verleenden, vond de Duitse justitie ruim 6.500 links naar andere darknetmarkets, frauduleuze bitcoinloterijen, kinderpornosites en marktplaatsen waar wapens en zelfs huurmoorden werden aangeboden.

    Het is waarschijnlijk het topje van de ijsberg, zegt Brauer van het OM in Koblenz. De politie trof in de bunker een chaotische wirwar van kabels aan. „Onze specialisten hadden zo’n vijfduizend arbeidsuren nodig om het netwerk in kaart te brengen. Niet wat je je bij een professioneel datacentrum voorstelt.”

    Een team van twintig specialisten van de Duitse politie moet twee petabyte aan gegevens doorspitten – dat is meer dan twee miljoen gigabyte. Na een half jaar zoeken hebben ze nog geen enkele legale klant gevonden.

    Veel hinder heeft de Duitse politie niet ondervonden bij het onderzoek naar de infrastructuur. Veel bestanden bleken niet versleuteld te zijn of met een wachtwoord beveiligd. Brauer: „Ze voelden zich duidelijk zeer veilig.”

  4. Met medewerking van Juurd Eijsvoogel.

    Luister ook naar deze aflevering van onze podcastserie NRC Vandaag: De geheime cyberbunker van Herman Johan X.

    U kunt zich ook abonneren via Apple Podcasts, Stitcher, Spotify, Castbox of RSS.