Zondag 24/10/2021

JEVGENI DE ONGRIJPBARE

Is Jevgeni Bogatsjev (33) de man die de Amerikaanse presidentsverkiezingen manipuleerde? Voor de FBI is hij cybercrimedoelwit nummer één. Voor de Russen is hij een zegen in deze digitale oorlogstijden. Portret van een superhacker met een Bengaalse kat als huisdier.

Er loopt een gerechtelijke procedure tegen Jevgeni Bogatsjev in de Verenigde Staten. De Rus wordt ervan beschuldigd een netwerk van besmette computers gecreëerd te hebben waarlangs hij in de hele wereld miljoenen dollars van bankrekeningen wegsluisde. Hij was niet kieskeurig: iedereen met genoeg geld om te stelen kon een bezoek verwachten - van een bedrijf gespecialiseerd in ongediertebestrijding in North Carolina over een politiebureau in Massachusetts tot de rekeningen van een indianenstam in Washington.

In december kondigde de regering-Obama sancties aan tegen Bogatsjev en vijf andere personen die volgens de inlichtingendiensten achter de Russische operatie zaten om de Amerikaanse presidentsverkiezingen te manipuleren. Officieel heette het dat Bogatsjev op de lijst stond vanwege zijn criminele activiteiten. Over zijn specifieke rol bij de hacking van het Democratic National Committee, het partijbestuur van de Democratische Partij, werd niet gerept.

Nochtans is zonneklaar dat hij voor Rusland méér is dan gewoon een crimineel. Op een bepaald moment controleerde Bogatsjev in diverse landen een miljoen computers. Hij had toegang tot vakantiefoto's, thesissen en zakelijke communicatie, maar evengoed tot geheime overheidsinformatie over burgers. Het is bijna zeker dat ook in de ambtenarij en de overheidsdiensten van sommige landen computers besmet waren. De kans is groot dat de Russische inlichtingendiensten met hun obsessie voor cybercontrole Bogatsjev in de gaten hielden en een onweerstaanbare opportuniteit roken voor spionage.

Terwijl Bogatsjev bankrekeningen aan het leeghalen was, keken de Russische autoriteiten wellicht mee over zijn schouder en doorzochten ze dezelfde computerbestanden en mails. Volgens bronnen bij de Amerikaanse inlichtingendiensten entten ze een spionageoperatie op een uitgebreid cybercrimineel netwerk en bespaarden ze zich zo de moeite om zelf computers te moeten hacken.

De Russen waren vooral geïnteresseerd in informatie van militaire diensten en inlichtingendiensten over de gevechten in Oost-Oekraïne en de oorlog in Syrië, stellen officiële Amerikaanse bronnen en Fox-IT, een bedrijf gespecialiseerd in cybersecurity. Er lijken ook pogingen te zijn geweest om toegang te krijgen tot gevoelige militaire informatie en informatie van de inlichtingendiensten op besmette computers in de Verenigde Staten, waarbij vaak op zoek werd gegaan naar documenten met de woorden 'top secret' of 'Department of Defense'.

De Russische overheid beschikt zelf over een uitgebreid arsenaal instrumenten om cyberinformatie te sprokkelen. Maar het parasiteren op de activiteiten van Bogatsjev zegt veel over de omvang en de creativiteit van de Russische spionagemachine, op een moment dat de VS en Europa de grootste moeite hebben om een antwoord te formuleren op de alsmaar meer geavanceerde digitale aanvallen op vitale infrastructuur, waarbij bankoperaties gedwarsboomd, overheidsgeheimen gestolen en democratische verkiezingen gesaboteerd worden.

De bijzondere entente tussen overheid en criminelen wordt mooi geïllustreerd door de onwaarschijnlijke verdachtenlijst van de regering-Obama. Vier verdachten waren hoge officieren bij het machtige Russische militaire inlichtingenagentschap GRU. Twee waren cyberdieven op de 'most wanted'-lijst van de FBI: een etnische Rus uit Letland genaamd Aleksej Belan met een Justin Bieber-kapsel, en Bogatsjev, van wie het FBI-dossier een foto bevat waarop hij een Bengaalse kat vastheeft en een assorti pyjama met luipaardmotief draagt.

Verzamelaar van luxewagens

De samenwerking met de Russische inlichtingendiensten verklaart wellicht waarom je Bogatsjev bezwaarlijk een voortvluchtige kunt noemen. Volgens bronnen bij de FBI woont hij open en bloot in Anapa, een wat vervallen badplaats in het zuiden van Rusland aan de Zwarte Zee.

Hij heeft een groot appartement aan de kust en misschien een ander appartement in Moskou. Daarnaast verzamelt hij luxewagens, al lijkt hij vooral een zwak te hebben voor een Jeep Grand Cherokee. Volgens Amerikaanse speurders houdt hij van zeilen en bezit hij een jacht.

Een criminele operatie runnen was hard labeur voor Bogatsjev. Hij klaagde vaak dat hij uitgeput was en "te weinig tijd had voor zijn gezin", zegt Aleksandr Panin, een Russische hacker die in een Amerikaanse cel zit voor bankfraude. Hij communiceerde vroeger weleens online met Bogatsjev. "Als ik me goed herinner, had hij het over een vrouw en twee kinderen", schrijft Panin in een mail.

Verder is er weinig bekend over Bogatsjev, die het liefst anoniem werkte en een hele reeks aliassen gebruikte: slavik, lucky12345, pollingsoon. Zelfs mensen met wie hij nauw samenwerkte, zagen hem nooit in levenden lijve en kenden zijn echte naam niet. "Hij was heel paranoïde", zegt J. Keith Mularski, een FBI-controleur uit Pittsburgh die Bogatsjev in 2014 aanklaagde. "Hij vertrouwde niemand."

Rusland heeft geen uitleveringsverdrag met Amerika. Zolang Bogatsjev geen misdrijf in Rusland gepleegd heeft, zeggen officiële Russische bronnen, is er geen reden om hem te arresteren. Pogingen om Bogatsjev te spreken voor dit artikel leverden geen resultaat op. Zijn advocaat in Anapa, Aleksej Stotskii, zei: "Het feit dat hij gezocht wordt door de FBI verhindert me moreel er iets over te zeggen."

Een passage in een dossier over Bogatsjev van het Oekraïense ministerie van Binnenlandse Zaken, dat de FBI helpt om de man op het spoor te komen, beschrijft hem als "iemand die werkt onder de supervisie van een speciale eenheid van de FSB". De FSB is de voornaamste Russische inlichtingendienst. Ook daar wilde niemand commentaar geven.

Handige dekmantel

Dat Bogatsjev op vrije voeten blijft, is "het krachtigste argument dat hij werkt voor de Russische overheid", zegt Austin Berglas, die tot 2015 cybercriminaliteit onderzocht voor de FBI in New York. Hackers zoals Bogatsjev knappen volgens hem het vuile werk op. "Ze doen klussen voor de Russische inlichtingendiensten, of het nu gaat om economische spionage of spionage tout court."

Zo'n werkwijze biedt het Kremlin een handige dekmantel en creëert tegelijk de gelegenheid om een kijkje te nemen in de uitgebreide netwerken van computers die Russische hackers besmet hebben, stellen veiligheidsexperts. De Russische inlichtingendiensten lijken soms ook malware in te zetten die ontwikkeld werd voor criminele doeleinden, zoals het populaire BlackEnergy, om de computers van andere overheden aan te vallen. De recente onthullingen van WikiLeaks over spionagemiddelen van de CIA suggereren dat het agentschap er een ruime bibliotheek van hackinginstrumenten opna hield, waarvan sommige wellicht gefabriceerd werden door Rusland.

Het geeft ook aan dat er een strijd woedt om toptalent aan te trekken. Een baan bij de Russische inlichtingendiensten garandeert niet meer het prestige van tijdens het Sovjet-tijdperk. De Russische staat moet de strijd aangaan met de toplonen en de aandelenopties van Silicon Valley. Een paar jaar geleden rekruteerde de brigade cyberoorlogsvoering van het ministerie van Defensie afgestudeerde universitairen met de belofte van een luitenantsrang en een bed in een kamer van vier.

En dus zoekt het Kremlin soms zijn toevlucht tot het 'dark web' of Russischtalige forums over cyberfraude en spam. In rechtbankdocumenten staat dat Bogatsjev volgens de FBI kwaadaardige software verkocht op een website genaamd Carding World, waar dieven gestolen kredietkaartnummers en hackingtools verhandelen. Een recent bericht op de site bood voor 5 dollar informatie over Amerikaanse kredietkaarten aan, inclusief veiligheidscodes. Een gebruiker genaamd MrRaiX verkocht malware waarmee je paswoorden zou kunnen opvissen uit programma's zoals Google Chrome en Outlook Express.

De FBI probeert zulke sites meteen op te doeken, de Russische inlichtingendiensten infiltreren ze, zeggen beveiligingsexperts. Sommige forums stellen specifiek dat elke vorm van criminaliteit is toegelaten: bankfraude, documentvervalsing, wapenverkoop. Een van de weinige regels: geen activiteiten in Rusland of de voormalige Sovjet-Unie. Op Carding World, en op veel andere forums, leidt een schending van die regel tot levenslange verbanning.

Medaille

De FBI heeft al lang de grootste moeite om Russische cybercriminelen te klissen. Even was de hoop groot dat FBI-agenten en Russische speurders van de FSB samen jacht zouden maken op Russische hackers die zich specialiseerden in de diefstal van Amerikaanse kredietkaartgegevens en inbraken in bankrekeningen. Tijdens die kortstondige periodes van vertrouwensopbouw werd in restaurants in Manhattan wat af getoost op "een prachtig onderzoek", zegt Berglas.

Maar om de een of andere reden leidde die hulp van de FSB nooit ergens toe. Na een poosje begonnen de FBI-agenten zich zorgen te maken dat de Russische autoriteiten de verdachten rekruteerden die de FBI vervolgde. Bij het ministerie van Justitie circuleerde de grap dat de Russen criminele hackers nog liever een medaille gaven dan de FBI te helpen ze te klissen.

"Bijna alle hackers die de Amerikaanse overheid in beschuldiging stelt, worden onmiddellijk opgespoord door de Russische autoriteiten", zegt Arkady Bukh, een New Yorkse advocaat die vaak Russische hackers verdedigt die in Amerika gearresteerd worden. "En telkens wordt hen gevraagd logistieke en technische steun te bieden."

Het probleem is dat het zo moeilijk is samenwerking tussen cybercriminelen en de Russische inlichtingendiensten te bewijzen. In één geval, zegt Berglas, stelden FBI-agenten die een besmette computer onderzochten vast dat een verdachte een kopie van zijn paspoort had gedeeld met een persoon van wie ze dachten dat hij een Russische spion was - wat erop kon wijzen dat de verdachte gerekruteerd of beschermd werd. "Dichter zijn we nooit gekomen", zegt hij.

Verdachte zoekopdrachten

Bogatsjevs hackingcarrière begon tien jaar geleden. Samen met een vijftal medewerkers die zichzelf de Business Club noemde, ontwikkelde hij volgens de FBI en andere speurders het malwareprogramma GameOver ZeuS. De criminele bende werkte de klok rond en besmette een uitdijend netwerk van computers. Ze slaagde erin de meest geavanceerde veiligheidsmaatregelen van banken te omzeilen om bankrekeningen leeg te maken en het geld via een web van tussenpersonen te transfereren. Bronnen bij de FBI zeggen dat het het meest geavanceerde online oplichtingssysteem was dat ze ooit tegenkwamen. Jarenlang was het ondoordringbaar.

Bogatsjev werd schatrijk. Op een bepaald moment bezat hij twee villa's in Frankrijk en een vloot auto's verspreid over heel Europa, zodat hij op vakantie nooit een auto moest huren. De informatie komt van een Oekraïense politieagent die vertrouwd is met het lopende onderzoek en alleen anoniem wilde getuigen. Andere officiële bronnen zeggen dat hij drie Russische paspoorten had met een identiteit die hem in staat stelde undercover te reizen.

Op het hoogtepunt van zijn activiteiten controleerde Bogatsjev 500.000 tot een miljoen computers, stellen Amerikaanse officiële bronnen. En er zijn aanwijzingen dat de Russische overheid zich begon te interesseren voor de inhoud ervan.

Rond 2011, meldt een analyse van Fox-IT, begonnen computers die Bogatsjev controleerde informatieverzoeken te ontvangen. Het ging niet over banktransacties, maar over bestanden die sloegen op actuele geopolitieke ontwikkelingen. Ongeveer op het moment dat president Obama publiekelijk verklaarde dat Amerika de Syrische rebellen lichte wapens en munitie ging bezorgen, in 2013, kregen Turkse computers die besmet waren door het netwerk van Bogatsjev zoekopdrachten te verwerken met kernwoorden als 'wapenlevering'. Ook de zoektermen 'Russische huurling' en 'Kaukasische huurling' werden ingegeven, waaruit een bezorgdheid blijkt dat Russische burgers meevochten in de oorlog.

Voor de Russische militaire interventie in Oekraïne in 2014 werd op besmette computers gezocht naar informatie over geheime dossiers van de SBU, de grootste geheime dienst van het land. Sommige zoekopdrachten waren gericht op persoonlijke informatie over mensen binnen de inlichtingendiensten. Het ging onder meer over mails van de Georgische veiligheidsdienst en het Turkse ministerie van Buitenlandse Zaken, zegt Michael Sandee, een van de onderzoekers van Fox-IT.

Ergens tussen maart 2013 en februari 2014 waren er zoekopdrachten voor Engelstalige documenten die leken te vissen naar materiaal van de Amerikaanse inlichtingendiensten. Het ging om zoektermen zoals 'top secret' en 'Department of Defense', zegt Brett Stone-Gross, een cybersecurityanalist die betrokken was bij het onderzoek naar GameOver ZeuS. "Die waren in het Engels", zegt hij. "Dat was anders."

Cyberveiligheidsexperts die de zaak onderzochten, zeggen dat het onmogelijk is te achterhalen wie de opdracht gaf voor die activiteiten. Maar de strekking ervan was zo ver verwijderd van de normale criminele interesses van Bogatsjev, stellen analisten, dat er maar één motief achter gezeten kan hebben: spionage.

Het is niet geweten of op die manier geheime documenten of gevoelige overheidsinformatie in Russische handen gevallen zijn. Toch staat het vrijwel vast dat bij de Amerikaanse federale overheid en bij militaire leveranciers computers besmet waren.

"Ze hadden zo veel computers geïnfecteerd dat het me hoogst waarschijnlijk lijkt dat er ook computers van de Amerikaanse overheid en buitenlandse ambtenaren bij waren", zegt Stone-Gross.

In de zomer van 2014 voerde de FBI samen met de politiediensten in een zestal landen Operation Tovar uit, een gecoördineerde aanval op de criminele infrastructuur van Bogatsjev die zijn netwerk uitschakelde en computers verloste van GameOver ZeuS.

Aanklagers zeggen dat ze gesprekken voeren met de Russische overheid om medewerking te vragen voor zijn arrestatie. Maar het enige juridische probleem dat Bogatsjev in Rusland gehad lijkt te hebben, is een klacht van een vastgoedbedrijf uit 2011 over de betaling van 75.000 dollar voor zijn appartement in Anapa. Ook daar kwam hij onderuit.

Volgens officiële bronnen woont Bogatsjev momenteel onder zijn eigen naam in Anapa en onderneemt hij af en toe een boottochtje naar de Krim, het Oekraïense schiereiland dat Rusland sinds 2014 bezet. Mularski, de FBI-controleur, zegt dat zijn agenten "nog altijd sporen volgeE".

Meer over

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234