Dinsdag 22/10/2019
Huib Modderkolk: ‘De manier waarop de Amerikaanse en Britse veiligheidsdiensten digitaal bij Belgacom inbraken, was angstaanjagend goed.’

Cyberveiligheid

Onderzoeksjournalist Huib Modderkolk: ‘Er zouden nog steeds buitenlandse cyberspionnen bij Proximus zitten’

Huib Modderkolk: ‘De manier waarop de Amerikaanse en Britse veiligheidsdiensten digitaal bij Belgacom inbraken, was angstaanjagend goed.’ Beeld Erik Smits

De voorbije zes jaar dook de Nederlandse onderzoeksjournalist Huib Modderkolk diep onder in de onheilspellende wereld van de cyberspionage. In 2013 werd ook het netwerk van Proximus, toen nog Belgacom, gehackt door spionnen. ‘De digitalisering maakt ons kwetsbaar.’

In juni 2013 werkte Huib Modderkolk als onderzoeksjournalist voor de Nederlandse krant NRC Handelsblad. Hij schreef over de problemen met de hogesnelheidstrein Fyra en was zich net beginnen verdiepen in onze steeds meer onder druk staande privacy als gevolg van de digitalisering, toen de Amerikaanse klokkenluider Edward Snowden op het toneel verscheen. Snowden had tienduizenden top secret-documenten van de geheime afluisterdienst National Security Agency (NSA) aan documentairemaakster Laura Poitras en journalist Glenn Greenwald gegeven.

“Met zijn onthullingen maakte Snowden op spectaculaire wijze zichtbaar dat het digitale tijdperk nieuwe vormen van spionage voortbrengt”, zegt Modderkolk. “Ineens wist de hele wereld dat de NSA bij Google en Facebook onze data kon opvragen en dat ze elke dag een kopie kreeg van alle telefoongegevens van 120 miljoen Amerikanen.”

Huib Modderkolk raakte gefascineerd door Snowden en de verborgen nieuwe wereld van cyberspionage. Hij zocht contact met Greenwald, interviewde Snowden in Moskou en dook onder tussen de cyberspionnen en hackers van de Nederlandse geheime diensten.

Zes jaar later heeft Modderkolk NRC ingeruild voor de Volkskrant en is hij de auteur van het indrukwekkende en zeer verontrustende boek Het is oorlog maar niemand die het ziet.

Huib Modderkolk: “Vandaag leveren wij voortdurend digitaal strijd met landen als Noord-Korea, China, Iran en Rusland. Er gaat geen dag voorbij zonder een incident online. De Nederlandse minister van Defensie Ank Bijleveld noemde die digitale spanningen tussen staten eind vorig jaar ‘een vorm van oorlog’. Een stille oorlog die niemand ziet.”

De titel van uw boek mogen we dus letterlijk nemen?

“Jawel. Iran haalde in juni van dit jaar een Amerikaanse drone neer. De Verenigde Staten stonden op het punt terug te slaan, maar hielden op het laatste nippertje de boot af. Het officiële verhaal luidt dat president Donald Trump de dodentol van die vergelding te zwaar vond. Intussen hebben de Amerikanen wel met een gigantische operatie de digitale disruptie van Iraanse systemen ingezet. Ze verstoren militaire communicatienetwerken waardoor de Iraniërs nog nauwelijks in staat zijn om olietankers aan te vallen. Daar hoor je bijna niets over.”

Vallen er doden bij deze digitale oorlog?

“Dat is moeilijk te zeggen. Op het eerste gezicht lijkt dat niet zo, maar als een hacker van een vreemde mogendheid de stroomvoorziening van een ziekenhuis uitschakelt, kunnen er wel onrechtstreeks doden vallen. We zijn heel kwetsbaar geworden omdat intussen zowat alles gedigitaliseerd is. Digitale verstoring is dan ook voor zeer veel landen een erg aantrekkelijk wapen. De overheid gebruikt er de vreselijke term ‘hybride oorlog’ voor. Een land als China zet heel veel kracht in, waardoor ze altijd wel ergens binnen geraken.”

‘Heel veel kracht’ wil zeggen: flatgebouwen vol Chinese hackers die in opdracht van hun regering binnendringen in de netwerken van westerse bedrijven en overheden om informatie te stelen of te destabiliseren?

“Ja, en dat is geen complottheorie. Het is gewoon waar. De Nederlandse militaire inlichtingendienst MIVD schatte het aantal Chinese hackers in 2015 op meer dan 100.000. Ze krijgen ’s morgens bevel om een bepaald bedrijf binnen te dringen en werken daar vervolgens weken en zelfs maanden aan tot het lukt. Eén van die bevelen was bijvoorbeeld: ‘Hack de Nederlandse chipmachinefabrikant ASML.’ Wat ze in 2015 ook gedaan hebben.”

Hackers proberen bedrijven binnen te raken via phishing mails. Ik krijg er soms ook in mijn mailbox. Ze zien er altijd fake uit.

“Fox-IT is zowat het belangrijkste Nederlandse bedrijf op het gebied van computer- en netwerkbeveiliging. Bij wijze van experiment stuurden ze eens onaangekondigd phishingmails naar hun eigen personeelsleden, dé top in hun vakgebied. Toch trapte 40 procent erin. Chinese hackersgroepen werken veel professioneler dan de doorsnee internetcrimineel. Congressen zijn ideale vertrekpunten voor cyberspionage. Daar worden altijd foto’s gemaakt. Als je dan als deelnemer een paar dagen later een keurige bedankingsmail van de zogezegde organisator in de bus krijgt, met een link naar de foto’s, ben je snel geneigd om daarop te klikken. Zo haal je de vijand binnen in je eigen organisatie.”

In 2013 werd u getipt dat er iets aan de hand was bij Belgiës grootste telecomprovider Belgacom, het huidige Proximus. Het netwerk bleek gehackt te zijn door Britse en Amerikaanse geheime diensten.

“De manier waarop ze digitaal bij Belgacom inbraken, was angstaanjagend goed. Toen Edward Snowden in juni 2013 naar buiten kwam met zijn geheime documenten over de afluisterpraktijken van de NSA, begonnen ze zich bij Belgacom zorgen te maken over hun Microsoft-servers. Want al meer dan een jaar waren er problemen met de stabiliteit. Mails kwamen niet aan of waren opeens verdwenen. Microsoft kreeg het niet opgelost en Belgacom riep de hulp in van Fox-IT. De Fox-IT-specialisten ontdekten een ingenieus stukje software dat niet van Microsoft was. Ze beseften meteen dat er iets ernstigs aan de hand was. De toplui van Belgacom vonden dat het allemaal veel te lang duurde en wilden het liefst dat de boel zo snel mogelijk opgekuist werd. Maar de mensen van Fox-IT vreesden dat het stukje software slechts het tipje van de sluier was en ze kregen gelijk. Uiteindelijk ging de toenmalige Belgacom-CEO Didier Bellens morrend overstag: de Nederlanders mochten verder blijven zoeken. In juli kwamen zij in het systeem boobytraps tegen: kleine bestandjes die de opdrachtgever moesten alarmeren.”

Waardoor duidelijk werd dat de indringers geen amateurs waren?

“Precies. Toen schoten ze bij Belgacom in paniek en werden het parket en de Belgische geheime diensten ingeschakeld. Een zaak was duidelijk: de vreemde ingebrachte software was zo ingenieus en drong zo diep het netwerk binnen, dat het enkel het werk van een buitenlandse staat kon zijn. Het uiteindelijke doel bleek BICS te zijn, een zeer lucratief Belgacom-onderdeel. BICS verzorgt de roamingservices tussen honderden telefoonbedrijven wereldwijd. Ook de data van heel wat telecombedrijven uit Afrika en het Midden-Oosten lopen via BICS. Zowat 1,2 miljard telefoongebruikers bellen, appen en sms’en via het BICS-netwerk.”

Beeld Erik Smits

Via BICS hadden de Britten en Amerikanen toegang tot het telefoon- en dataverkeer van zowat de hele wereld?

“BICS, de parel van Belgacom, is de toegang tot álles. Via BICS raakten ze ook tot bij de communicatie van de NAVO en de Europese Commissie. Er volgde een grote schoonmaak waar honderden Belgacom-medewerkers en specialisten aan deelnamen. Na afloop waren Didier Bellens en co. in hun nopjes en werd het netwerk schoon verklaard. Maar Fox-IT liet sensoren achter en een paar dagen na de schoonmaak registreerden die opnieuw verdacht verkeer. Dat werd binnengelaten door een zogezegd superbeveiligde router van het Amerikaanse bedrijf Cisco. Wat er daarna gebeurde, blijft tot nu onduidelijk. Belgacom vroeg Cisco om hulp, maar die wilden dat eerst de Nederlanders van Fox-IT ophoepelden. Half september 2013 liet Belgacom weten dat hun hele systeem opgekuist was. Veel Nederlandse bronnen twijfelden daaraan.”

Misschien zitten de Amerikaanse en Britse cyberspionnen nog steeds in het netwerk van Proximus?

“Dat is exact wat die Nederlandse bronnen denken.”

Uw boek is onder andere gebaseerd op gesprekken met 110 mensen, onder wie heel wat bronnen uit de Nederlandse geheime diensten. Het gevaar is niet denkbeeldig dat ze u als journalist hebben proberen bespelen?

“Daar was ik me altijd erg goed van bewust. Eigenlijk hebben zij er geen enkel belang bij om mij te vertellen waar ze mee bezig zijn. Ik vraag hen soms wel eens officieel om weerwoord, en dan reageren ze nooit inhoudelijk. Veel bronnen ken ik al jaren en die vertrouw ik. Maar soms voer ik gesprekken met geheim agenten waarbij ik het gevoel krijg dat de tegenpartij probeert te achterhalen wat ik allemaal weet. Die contacten houden geen stand.”

In 2000 vertelde een agent van de Belgische Staatsveiligheid me dat hij en zijn collega’s hun informatie vooral uit kranten en tijdschriften haalden. De digitale snelweg lieten ze links liggen. In uw boek lees ik dat de Nederlandse geheime dienst AIVD in datzelfde jaar begon met het ‘afschrapen van het internet’, online infiltranten inzette en aan het dataminen was.

“De AIVD was op dat moment inderdaad al online actief. In Nederland komen verschillende trans-Atlantische kabels aan land, zoals in Beverwijk en Katwijk. Zij leggen de digitale verbinding tussen de Verenigde Staten en Europa. In Amsterdam ligt sinds 1994 een van de grootste internetknooppunten ter wereld: Amsterdam Internet Exchange, of AMS-IX. Nederland maakte heel snel de digitale omslag. Rond 2000 begonnen de Nederlandse banken al met internetbankieren, wat in vergelijking met de rest van de wereld vroeg was. Alleen trokken wij zo ook al heel snel internetcriminelen aan. Er moest dus nagedacht worden over hoe wij ons daartegen konden verdedigen.”

Intussen is Nederland ook uitgegroeid tot een interessante plek voor cyberspionnen van over de hele wereld?

“Dat is een gevolg van al dat internetverkeer van diverse andere landen dat door onze kabelnetwerken en langs onze datacentra passeert. In de zomer van 2017 vertelde een van mijn bronnen uit de inlichtingenwereld me tussen neus en lippen door dat de AIVD iets gezien had van de hack op de Amerikaanse Democratische Partij in de aanloop naar de presidentsverkiezingen van 2016. Ik dacht toen meteen aan de vele datacentra en AMS-IX. Het leek inderdaad niet vreemd dat Russische hackgroepen hun aanval via Nederland zouden lanceren.”

Tot vandaag beweert president Trump dat er geen Russische inmenging was in de verkiezingen van 2016.

“Die was er wel degelijk, en op veel verschillende manieren. Russische hackers vielen de kiessystemen aan en er werden campagnes gevoerd op sociale media. De eerste digitale inbraak in de Democratische Partij werd georganiseerd door APT29, bijgenaamd Cozy Bear, een beruchte Russische hackersunit van de geheime diensten FSB en SVR. Cozy Bear is gespecialiseerd in langdurige onlinespionage en die eerste inbraak was bedoeld om na te gaan of het mogelijk was om in de bestanden van de Democratische Partij te gaan rondneuzen. Dat lukte wonderwel, waarna de Russen beslisten om Unit 74455, ook bekend als Fancy Bear, in te schakelen. Fancy Bear is onderdeel van de Russische militaire geheime dienst GROe en is berucht voor praktijken als online saboteren en ontwrichten.”

Wanneer en hoe ontdekte de AIVD dat de Democratische Partij door de Russen gehackt was?

“2013 was in Nederland het ‘Nederland-Ruslandjaar’. Bedoeling was om de samenwerking tussen beide landen het hele jaar door te vieren, maar dat liep snel in de soep. Het ene incident volgde op het andere: een Russische diplomaat werd aangehouden omdat hij zijn kinderen molesteerde. Als ‘represaille’ werd in Rusland een Nederlandse diplomaat in zijn huis in Moskou aangevallen en mishandeld. 2013 was het jaar waarin Rusland zich in het algemeen op het wereldtoneel agressiever begon te gedragen. In februari 2014 vonden in Sotsji de Winterspelen plaats en vlak daarna namen de Russen met militair geweld de Krim over van Oekraïne. Russische trol-accounts probeerden bij ons op sociale media het debat rond de annexatie van de Krim en de oorlog in Oekraïne te beïnvloeden. Net op dat moment ontdekten leden van het hackteam van de AIVD in Zoetermeer de plek waar Cozy Bear in Moskou aan het werk was.”

Dat bleek in een universiteitsgebouw aan het Rode Plein te zijn?

“Ja. Via een Russisch netwerk kwamen ze in dat gebouw terecht. Eerst dachten ze dat ze in een studentenruimte beland waren bij een stelletje hackende studenten. De hackers van de AIVD ontdekten dat aan het computernetwerk een beveiligingscamera was gekoppeld. Ze konden die overnemen en vervolgens door het oog van de camera kijken. Zo merkten ze dat de camera in de gang hing en gericht was op de toegangsdeur. Iedereen die de ruimte betrad, werd gefilmd. De AIVD-hackers stelden de camera zo in dat hij elke bezoeker fotografeerde. Die screenshots werden in kleine bestandjes teruggestuurd naar Zoetermeer. De volgende weken zagen ze hoge Russische inlichtingenofficieren en bekende hackers de revue passeren. Aan de hand van de camerabeelden en de analyse van het gedrag van de groep, kwamen de AIVD’ers erachter dat ze Cozy Bear aan het observeren waren. Ze hielden dat lang vol en waren er zo live getuige van hoe Cozy Bear in de zomer van 2015 binnenviel in het computernetwerk van de Amerikaanse Democratische Partij. In maart 2016 werd broertje Fancy Bear ingeschakeld om in die democratische servers op zoek te gaan naar belastende informatie over Hillary Clinton. De Russische hackers stalen 20.000 e-mails die tijdens de verkiezingscampagne in 2016 via WikiLeaks gepubliceerd werden.”

Sloeg de AIVD dan nooit alarm?

“Toch wel: in de zomer van 2015 lichtte de AIVD al de Amerikanen in. In september belde een FBI-agent naar het bestuur van de Democratische Partij om hen ervoor te waarschuwen dat er Russen in hun netwerk zaten. Maar die man werd niet ernstig genomen. Ze wilden niet geloven dat hij van de FBI was. De gevolgen van dat ongeloof werden een jaar later na de doortocht van Fancy Bear duidelijk.”

In het beruchte Mueller-rapport is geen spoor van de AIVD terug te vinden.

“Dat komt omdat het team van speciaal aanklager Robert Mueller zich vooral richtte op Fancy Bear: zij stalen de mails en bezorgden die aan WikiLeaks. Die acties waren belangrijker bij het ontwrichten van de Amerikaanse verkiezingen dan de voorafgaande spionage door Cozy Bear waar de AIVD getuige van was.

“Cozy Bear en Fancy Bear hebben inmiddels als het op digitale oorlogsvoering aankomt een stevig palmares opgebouwd. Zo legden ze op 27 juni 2017 met een gigantische cyberaanval heel Oekraïne plat. Ik ben er naderhand geweest. De verhalen die ik over die bewuste dag hoorde, waren hallucinant. De luchthaven van Kiev, de metro, de ziekenhuizen… alles lag plat. Een paar jaar eerder hadden de Russen al laten zien waartoe ze in staat waren. Op 23 december 2015 zag een medewerker in de controlekamer van een Oekraïense energieleverancier de cursor op zijn beeldscherm in beweging komen. Zonder dat die man zijn muis aanraakte, zag hij hoe de cursor een scherm openklikte en een elektriciteitsstation offline haalde. Duizenden Oekraïners kwamen zonder stroom en water te zitten. Het Amerikaanse tijdschrift Wired beschreef een paar maanden later hoe de man wanhopig tevergeefs de computermuis in bedwang probeerde te houden. Al zijn handelingen waren vergeefs, want de cursor ging rustig verder met het offline halen van elektriciteitsstations. En telkens wanneer een station werd uitgeschakeld, doofde in duizenden huizen het licht.”

Huib Modderkolk, Het is oorlog maar niemand die het ziet, Uitgeverij Podium, 272 blz., 20,50 euro

Wie is Huib Modderkolk?

- Geboren in 1982

- Studeerde politieke wetenschappen en journalistiek aan de Universiteit van Amsterdam 

- Werkte van 2008 tot en met 2014 als onderzoeksjournalist bij NRC Handelsblad

- Stapte begin 2015 over naar de Volkskrant

- Is vaste gast bij het praatprogramma De wereld draait door als expert geheime diensten en digitalisering

- Won de prestigieuze journalistieke prijzen De Tegel (2016) en De Loep (2018)

Meer over

Wilt u belangrijke informatie delen met De Morgen?

Tip hier onze journalisten


Op alle verhalen van De Morgen rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234