Spionage
Van een taxirekening tot de koffer van een Citroën C3: zo werd een Russische hackpoging verijdeld
Op 10 april 2018 arriveren vier Russen op Schiphol. Wat ze niet weten, is dat ze dan al in het vizier zijn van de Nederlandse inlichtingendienst. Met elke stap brengen de spionnen zichzelf verder in het nauw.
10 april 2018
Aleksei Morenets opent het portier, groet de taxichauffeur en stapt in. "Naar luchthaven Sjeremetjevo, graag." Morenets, een hacker van de Russische militaire inlichtingendienst GROe, moet een vlucht naar Nederland halen. Hij is op weg naar Den Haag, met de opdracht de Organisatie voor het Verbod op Chemische Wapens (OPCW) te hacken.
De internationale chemischewapenwaakhond is bezig met een onderzoek naar de vergiftiging van de voormalige Russische dubbelspion Sergej Skripal in het Britse Salisbury. Ook de chemische aanval op de Syrische stad Douma door president Bashar al-Assad van Syrië, een bondgenoot van Rusland, is onderwerp van onderzoek. Het zijn twee zaken met een gigantisch Russisch belang. En dus wordt de militaire inlichtingendienst aan het werk gezet om het OPCW-gebouw in Den Haag digitaal binnen te dringen.
De rit van de GROe-kazerne op Komsomolsky Prospekt 20 naar Sjeremetjevo duurt ruim een uur, maar dan ziet Morenets eindelijk de luchthaven opdoemen. Hij betaalt de chauffeur, bewaart de factuur als betaalbewijs en loopt de vertrekhal in. Morenets reist samen met Evgenii Serebriakov, met wie hij de OPCW moet hacken. Ook mee gaan Oleg Sotnikov en Alexey Minin, die de twee hackers tijdens de operatie zullen ondersteunen.
Na een vlucht van zo’n drieënhalf uur landt het vliegtuig met daarin de vier Russen op Schiphol. De inlichtingenofficieren worden er opgewacht door een vertegenwoordiger van de Russische ambassade in Den Haag. Met zijn handen in zijn zakken begeleidt de ambassademedewerker zijn bezoek nonchalant naar de auto. De spionnen zet hij, zo lijken wifigegevens van Serebriakovs laptop later aan te duiden, af bij het Palace Hotel in Noordwijk.
11 april 2018
Ze hebben een auto nodig. Niet alleen om de hackpoging van zo dichtbij mogelijk te kunnen uitvoeren, maar ook om boodschappen te doen. De Russen huren een Citroën C3. Ze hebben een druk schema: vanaf de 17de moeten zij in Zwitserland zijn voor een volgende opdracht. Een onderzoekscentrum voor chemische wapens in Bern is dan het doelwit. De treintickets zijn al gekocht.
Maar eerst is het OPCW aan de beurt. In een watersportwinkel kopen de Russen een accu met bijbehorende lader, die de laptop tijdens het hacken draaiende moet houden. Dat kost 220 euro, maar geld is geen probleem – Sotnikov is goed voorbereid op reis gegaan en heeft 20.000 euro en 20.000 dollar in contanten bij zich. Later zullen ze nog inkopen doen bij Aldi en Albert Heijn.
Minin maakt foto’s om de omgeving van de OPCW in kaart te brengen. Met een zogeheten close access-hackoperatie willen ze het wifinetwerk van de organisatie van dichtbij binnendringen. Wat Minin niet weet, is dat de Nederlandse Militaire Inlichtingen- en Veiligheidsdienst (MIVD) hen reeds op het spoor is. Uit eigen informatie en die van de Britse geheime dienst is duidelijk dat de Russen inlichtingenofficieren zijn. De vraag is alleen nog wat hun doel is. En nu brengen de spionnen zichzelf met elke stap verder in het nauw.
12 april 2018
De spionnen verhuizen naar het Marriott Hotel in Den Haag, dat pal naast het OPCW-gebouw ligt. Dichterbij kun je niet komen. Minin neemt meer foto’s van de omgeving, onder meer vanuit een raam in het hotel. De spionnen hebben alles wat nodig is voor de hack in huis, waaronder een laptop, een wifi-antenne, een transformator, de in Den Haag gekochte accu en een ruime hoeveelheid telefoons. Voor de zekerheid neemt Serebriakov nog meer specialistische hackapparatuur mee in zijn rugtas. Ze zijn er klaar voor. Morgen moet het gebeuren.
13 april 2018
De vier Russen stappen in de Citroën en parkeren de auto zo dicht mogelijk bij het OPCW, de achterbak met daarin de hackapparatuur naar het gebouw gericht. Van de buitenkant is niet veel te zien, de wifi-antenne is afgedekt met een jas. Toch weet de MIVD precies wat er in de Citroën gebeurt. Met haar eigen technologie ziet de inlichtingendienst dat de apparatuur in de auto actief wordt. Een directe dreiging voor het OPCW, weet Onno Eichelsheim, directeur van de MIVD. Hij grijpt in.
Om 16.45 uur 'verstoren' MIVD’ers de hackpoging op een onbekende manier. Het gebeurt zo snel dat Eichelsheim zich nauwelijks voor kan stellen dat de Russen gegevens hebben buitgemaakt, al kan hij een half jaar later op de persconferentie geen zekerheid bieden. Nog diezelfde avond zet de MIVD de Russen op het vliegtuig naar Moskou. Volgens defensieminister Ank Bijleveld houdt Nederland de mannen niet vast, omdat Nederland hun apparatuur met waardevolle informatie anders minder makkelijk had kunnen confisqueren.
De MIVD treft naast alle wifi-apparatuur zelfs de taxifactuur van Morenets uit Moskou aan. Daarmee is de hackpoging direct te linken aan de GROe-kazerne. Een van de in beslag genomen telefoons biedt nog meer bewijs: deze maakte op 9 april, de dag voor de vlucht, contact met de gsm-mast die het dichtst bij de GROe staat. In de zoekgeschiedenis op de laptop ziet de Nederlandse geheime dienst verder hoe de Russen informatie zochten over het OPCW, het Marriott en de volgende hacklocatie in Zwitserland.
Hoe konden de Russen zo amateuristisch te werk gaan? Het inlichtingenleger van de GROe bestaat niet uit prutsers, verzekert Eichelsheim maanden later, als de operatie van de MIVD bekend wordt. "Ze verwachtten gewoon niet dat ze gepakt werden."
In een eerdere versie stond dat de spionnen op 10 april bij het Marriott Hotel in Den Haag werden afgezet. Volgens de gegevens op de in beslag genomen laptop van Serebriakov is het echter waarschijnlijker dat zij de eerste dagen in het Palace Hotel in Noordwijk verbleven, en pas later naar het Marriott verhuisden.
