Nederland plakt een gezicht op hackersgroep Fancy Bear

Els Bellens
Els Bellens Technologiejournaliste bij Data News

Nederland heeft een operatie van Russische spionnen verijdeld tegen de Organisatie voor het Verbod op Chemische Wapens. Daarbij kwamen vier leden van de hackersgroep Fancy Bear in het vizier. De groep wordt ondertussen door zowat elk westers land beschuldigd van inmenging en cyberaanvallen. Ook door België.

De Nederlandse Militaire Inlichtingen- en Veiligheidsdienst (MIVD) heeft een operatie van de Russische spionnen verijdeld tegen de Organisatie voor het Verbod op Chemische Wapens (OPCW) in Den Haag. Dat maakte Ank Bijleveld, de Nederlandse minister van Defensie gisteren bekend. Vier Russen zijn ondertussen Nederland uitgezet.

De operatie was het werk van de Russische militaire inlichtingendiensten, de GROe. De vier uitgezette Russische officieren waren van plan het wifi-netwerk van de OPCW te hacken en infecteren, zei generaal-majoor Onno Echelsheim, baas van de MIVD. Ze waren op 10 april naar Nederland gekomen met een diplomatiek paspoort. Ook hadden ze grote hoeveelheden contant geld bij zich: 20.000 euro en 20.000 Amerikaanse dollars. Verder hadden ze een groot aantal telefoons bij zich en speciale apparatuur om de hack tegen de OPCW uit te voeren.

MH17-onderzoek

Op de communicatieapparatuur van de Russen werd informatie gevonden die er op wijst dat zij ook in Zwitserland waren eind 2016, toen een functionaris van het antidopingbureau WADA werd gehackt. Ook kwamen er activiteiten uit naar voren die gericht waren tegen het MH17-onderzoek. Dat is het vliegtuig dat in juli 2014 boven Oekraïne werd neergeschoten. De Russen waren van plan om na de actie nog door te reizen naar Zwitserland. Treintickets zijn door de MIVD in beslag genomen.

Op de computers werd informatie gevonden over een laboratorium dat onderzoek deed naar de zaak-Skripal en gifgasaanvallen in Syrië. Die aanvallen zouden worden uitgevoerd door het Syrische regime van president Bashar Assad, een bondgenoot van Rusland. Ook naar de dood van Russische dubbelspion Sergej Skripal, die in maart werd vergiftigd met het zenuwgas novitsjok, deed het OPCW onderzoek.

Een foto van de vier, genomen op de luchthaven van Schiphol
Een foto van de vier, genomen op de luchthaven van Schiphol© MIVD

Een gezicht voor Fancy Bear

Op foto’s die tijdens de persconferentie werden getoond was de aankomst van de vier op Schiphol te zien. Ze werden daar opgepikt door een medewerker van de Russische ambassade. Het is zeer uitzonderlijk dat namen en foto’s van spionnen openbaar worden gemaakt.

Opvallend: de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) sprak tijdens de persconferentie over Unit 26165. Dat is een van de namen voor de Fancy Bear, al is ze ook gekend onder de namen APT28, Pawn Storm, Sofacy Group, Sednit en STRONTIUM. De schimmige Russische hackersgroep wordt beschuldigd van een groot deel van de grote cyberaanvallen van de afgelopen jaren. Ze zouden onder meer zijn binnengedrongen in de Amerikaanse Democratische Partij. E-mails van partijkopstukken belandden daarbij op WikiLeaks. Fancy Bear zou ook het Witte Huis, de NAVO, Duitse ministeries en het Wereldantidopingagentschap hebben belaagd.

Er wordt al langer vermoed dat de groep zou werken voor de GROe. “Het is een grote en vrij actieve groep met veel kennis”, zegt beveiliger Trend Micro daarover aan de Nederlandse nieuwsdienst ANP. “Ze hebben toegang tot geavanceerde en vrij vernuftige technologie en waarschijnlijk hebben ze veel middelen. Ze jagen ook niet op geld, zoals de meeste hackers, maar op informatie.”

Ook België geviseerd

De Russische hackers die in Den Haag hebben geprobeerd om gegevens te stelen bij de OPCW zouden ook in ons land hebben toegeslagen. Dat schrijven de kranten van Mediahuis. Het federaal parket onderzoekt een incident uit 2014, toen hackers inbraken bij de FOD Buitenlandse Zaken. Bij deze inbraak zou een vertrouwelijk diplomatiek rapport over Oekraïne zijn onderschept. Het onderzoek van het parket loopt nog altijd, tot op vandaag is hiervoor niemand in verdenking gesteld.

En het Verenigd Koninkrijk

Ongeveer tegelijkertijd met de persconferentie in Nederland, beschuldigde ook Brits buitenlandminister Jeremy Hunt de Russische militaire inlichtingendiensten ervan verantwoordelijk te zijn voor zes cyberaanvallen tegen politieke en sportieve instellingen, tegen bedrijven en media wereldwijd.Hij verwees daarbij naar een onderzoek van het Britse centrum voor cyberveiligheid (NCSC). “Dit gedrag toont aan dat ze handelen zonder rekening te houden met het internationaal recht of met de heersende normen, en dat ze zich onaantastbaar achten”, staat er in een persbericht.

De minister dreigde ermee om “samen met onze geallieerden te antwoorden op pogingen om de internationale stabiliteit te ondermijnen”. Hunt houdt het Kremlin mee verantwoordelijk.

Gerechtelijke stappen

België is niet het enige land dat ondertussen deze groep onderzoekt. Zo is het Nederlandse Openbaar Ministerie een onderzoek is gestart naar aanleiding van de bevindingen van het MIVD. Maar ook het Amerikaanse ministerie van Justitie heeft een aanklacht ingediend tegen de groep.

Specifiek worden hier zeven Russische inlichtingenofficieren aangeklaagd voor het hacken van de internationale antidopingautoriteit WADA en de Amerikaanse en Canadese antidopinginstanties. Het gaat om Dmitriy Sergeyevich Badin, Artem Andreyevich Malyshev, Alexey Valerevich Minin, Aleksei Sergeyevich Morenets, Evgenii Mikhaylovich Serebriakov, Oleg Mikhaylovich Sotnikov, en Ivan Sergeyevich Yermakov. Volgens het ministerie waren de operaties een vergelding voor de schorsing van Rusland op de Olympische Winterspelen, wegens het door de Russische staat gestuurde grootschalige dopingprogramma.

Vier van de zeven zijn dezelfde mannen die in Nederland probeerden de Organisatie voor het Verbod op Chemische Wapens (OPCW) te hacken. Drie van hen werden in de zomer ook al aangeklaagd, toen voor inmenging in de Amerikaanse presidentsverkiezingen. Het Amerikaanse ministerie maakte de aanklachten donderdag bekend, enkele uren nadat de Nederlandse regering uit de doeken had gedaan hoe een Russische operatie in Nederland was verijdeld.

Wie is Fancy Bear?

De hackersgroep Fancy Bear, die ook onder namen als Pawn Storm, APT28 en meer bekend staat, bestaat vermoedelijk al sinds begin jaren 2000, en wordt al langer gezien als een ‘staatsgroep’, die in de belangen van een land opereert.

De sectoren van ‘hacking’ en ‘spionage’ zijn niet de meest transparante, dus een zekere voorzichtigheid is geboden, maar de groep wordt met de volgende aanvallen geassocieerd:

Fancy Bear wordt ook genoemd in aanvallen op het Duitse parlement en de Olympische Spelen in Zuid-Korea, maar het bewijs daarvoor wordt betwist door security-onderzoekers.

Leiders reageren

Verschillende politici haasten zich ondertussen om de aanvallen te veroordelen. Premier Mark Rutte en zijn Britse ambtsgenoot Theresa May hebben in een gezamenlijke verklaring de ”onacceptabele cyberoperaties” van de Russische militaire inlichtingendienst tegen de OPCW veroordeeld. ”Deze poging om toegang te verkrijgen tot de beveiligde systemen van een internationale organisatie, die zich wereldwijd inspant voor de uitbanning van chemische wapens, toont wederom dat de GROe zich niets aantrekt van internationale waarden en de rechtsorde die ons allen beschermt”, aldus Rutte en May.

De NAVO-bondgenoten roepen Rusland dan weer op te stoppen met zijn ”schaamteloze pogingen om het internationale recht en instellingen te ondermijnen”. Dat zei NAVO-secretaris-generaal Jens Stoltenberg donderdag na afloop van een bijeenkomst van de ministers van defensie van de alliantie. ”Rusland moet stoppen met zijn roekeloze gedrag, met inbegrip van het gebruik van geweld tegen zijn buren, inmenging in verkiezingscampagnes en zijn wijd verspreide desinformatiecampagnes”, aldus Stoltenberg. Volgens de NAVO-topman hebben die burgers in vele landen getroffen en grote economische schade berokkend. Stoltenberg noemde de cyberhack van het OPCW onderdeel van een Russische campagne van cyberaanvallen in de hele wereld.

”We zijn ernstig bezorgd over deze poging om de integriteit van de OPCW, een gerespecteerde internationale organisatie in gastland Nederland, te ondermijnen”, schrijven dan weer EU-president Donald Tusk, de voorzitter van de Europese Commissie Jean-Claude Juncker en EU-buitenlandchef Federica Mogherini in een gezamenlijke verklaring. ”Deze agressieve daad toont minachting voor het ernstige doel van de OPCW, dat werkt aan het wereldwijd uitroeien van wapens onder mandaat van de Verenigde Naties. We betreuren dergelijke acties die het internationaal recht en internationale instellingen ondermijnen. De EU gaat door met het versterken van instellingen en lidstaten, internationale partners en organisaties in het digitale domein”, aldus de verklaring.

En de Russen…

Het Russische ministerie van Buitenlands Zaken is ondertussen niet onder de indruk. Het meldt dat Britse beschuldigingen aan het adres van de militaire inlichtingendienst GROe getuigen van een ,,levendige fantasie”. Het departement zegt dat sprake is van een desinformatiecampagne die Russische belangen schade moet toebrengen, bericht persbureau TASS. De Russische delegatie bij de OPCW wil verder niet reageren op de Nederlandse beschuldigingen, bericht de Russische nieuwssite Sputnik. (Belga, ANP, Data News)

Uitgezet, niet opgepakt

Nederland, en specifiek de MIVD, heeft de vier het land uitgezet. Waarom ze niet zijn opgepakt, blijft onduidelijk. MIVD-baas Eichelsheim zei dat die beslissing de zijne was, en dat de politie niet betrokken was bij het onderzoek. Of dat betekent dat arrestaties niet mogelijk waren, liet hij in het midden. Het was in ieder geval niet omdat de vier diplomatieke paspoorten hadden, aldus Eichelsheim. Die paspoorten waren niet in Nederland geaccrediteerd, waardoor de vier mannen geen diplomatieke immuniteit genoten.

Volgens minister Ank Bijleveld (Defensie) was het vooral belangrijk de informatie te verzamelen. De operatie vond plaats in het kader van de Wet op de Inlichtingen en Veilheidsdiensten (WIV). Daardoor konden volgens haar de vier Russische agenten het land worden uitgezet en daarmee bleef hun apparatuur achter. ”En daar is veel informatie uitgehaald. Dat zou anderszins veel moeilijker zijn geweest.”

Het is een beslissing die misschien praktisch is, maar ook het vermoeden voedt dat deze mensen onaantastbaar zijn. Ook beveiliger Symantec maakt zich daar zorgen over: “Het is nu duidelijk dat APT28, nadat ze werden gelinkt aan de aanvallen op de Amerikaanse presidentsverkiezingen in 2016, zich niet meer laten afschrikken door publiciteit, en dat ze blijven nieuwe aanvallen uitvoeren met bestaande tools”, schrijft het bedrijf in een blogpost .

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content