Zondag 09/05/2021

OnderzoekHacking

Chinese en Russische hackers kraken netwerk geneesmiddelenbureau

Het pand van het Europees Geneesmiddelenbureau (EMA) in Amsterdam. Beeld Freek van den Bergh / de Volkskrant
Het pand van het Europees Geneesmiddelenbureau (EMA) in Amsterdam.Beeld Freek van den Bergh / de Volkskrant

De European Medicines Agency (EMA) is vorig jaar gehackt door een Russische inlichtingendienst en een Chinese spionagegroep. De Russen kwamen tot in het interne netwerk, mede door een instelling in het authenticatiesysteem van EMA waardoor ze de tweestapsverificatie konden misbruiken, zo blijkt uit onderzoek van de Volkskrant.

EMA maakte begin december bekend het slachtoffer te zijn van een ‘cyberaanval’. Daarna werd een grondig onderzoek in samenwerking met opsporingsdiensten aangekondigd. Onder meer specialisten van de Europese beveiligingsautoriteit CERT-EU en het Team High Tech Crime van de Nederlandse politie zijn daarbij betrokken. Via verschillende media werd duidelijk dat de hackers toegang hadden tot documenten van Pfizer/BioNTech en dat ze waarschijnlijk tot een buitenlandse inlichtingendienst behoorden. Tientallen interne documenten en e-mails van de EMA verschenen op internetfora. Volgens de EMA was er met die documenten geknoeid, wat deed vermoeden dat sprake was van een beïnvloedingscampagne om twijfel te zaaien over de toelatingsprocedures en veiligheid van de vaccins.

Medische organisaties gehackt

Enkele betrokkenen, die anoniem willen blijven omdat ze niet met media mogen praten, zeggen dat EMA in het voorjaar van 2020 al doelwit was van Chinese hackers. Die slaagden er onder meer in om een Duitse universiteit te hacken en bij netwerken van EMA te komen. EMA ontkent, maar bronnen gaan ervan uit dat de Chinezen tot op zekere hoogte succesvol waren en dat de hack maanden duurde. In het najaar volgden nieuwe aanvallen, toen Russische hackers verschillende medische organisaties in Europa bestookten. Ze stuurden geselecteerde EMA-medewerkers een mail die van een collega leek te zijn (spearfishing). Als daarop werd geklikt, lieten ze kwaadaardige software (implant) achter.

Op die manier lukte het de Russen om het e-mailverkeer te onderscheppen. Omdat EMA de toegang tot het interne netwerk met tweestapsverificatie heeft beveiligd, kwamen de hackers in eerste instantie niet verder. Totdat ze via de mail een zip-file voorbij zagen komen met daarin een token voor een nieuwe gebruiker. Voordat een nieuwe werknemer in het systeem kan, moet hij tweestapsverificatie aanzetten. EMA verstuurt een token naar een mailadres. De medewerker opent die, voert bijbehorende gebruikersnaam en wachtwoord in en koppelt zo – in dit geval een telefoon via een app – een apparaat voor tweestapsverificatie. De app genereert een unieke code voor toegang, net zoals bijvoorbeeld de app van DigiD.

De Russen zagen dit bestand, onderschepten het en koppelden hun eigen apparaat. Daarop had het systeem een foutmelding moeten geven: het is niet mogelijk om meerdere tokens voor dezelfde gebruiker aan te maken. Maar EMA had deze optie volgens bronnen zelf uitgezet en was daardoor kwetsbaar voor misbruik. Het viel niet op dat een werknemer met meerdere apparaten inlogde. Ook de verschillende firewalls bij EMA gaven geen melding van verdachte inlogpogingen.

Wekenlang ongestoord inloggen

De hackers maskeerden op ingenieuze wijze hun ip-adres en konden wekenlang, en in elk geval langer dan een maand, ongestoord inloggen. Daarbij waren ze volgens bronnen niet zozeer geïnteresseerd in de werking van de Pfizer/BioNTech- en Moderna-vaccins maar meer in welke landen ze zouden afnemen en hoeveel. ‘Klassieke economische spionage’, volgens een bron, waardoor het waarschijnlijker is dat hackers van Ruslands buitenlandse inlichtingendienst SVR verantwoordelijk zijn en niet die van de militaire dienst GROe.

Uiteindelijk kwam de hack via een interne audit bij toeval aan het licht. Het viel een systeembeheerder bij het bekijken van logbestanden op dat een EMA-werknemer regelmatig buiten kantoortijden inlogde op het netwerk. Volgens een verklaring van EMA hadden de hackers toegang tot ‘een beperkt aantal documenten van derden’. Gezien de lange tijd dat de hackers onopgemerkt bleven, is het de vraag wat EMA bedoelt met ‘beperkt’. De organisatie reageerde niet op vragen van de Volkskrant.

Waarom de hackers besloten een deel van de documenten te publiceren, is niet bekend. Het motief kan verwarring zaaien zijn geweest. De stukken, ingezien door de Volkskrant, verschenen onder meer op een Russisch internetforum en werden gepubliceerd onder de titel Evidences of BIG DATA SCAM of Pfizer’s vaccines. Ze bevatten vertrouwelijke e-mails, stukken uit het beoordelingsproces, commentaren van EMA-medewerkers en communicatie met de EU uit november. Daaruit blijkt dat de EMA druk ervoer vanuit de Europese Commissie om zo snel mogelijk vaccins goed te keuren, in elk geval niet veel later dan de Amerikaanse FDA.

De gesprekken met de Commissie waren volgens EMA ‘gespannen, op sommige momenten een beetje onaangenaam’. EMA zei dat er met de stukken was geknoeid maar gaf geen duidelijkheid over de precieze bewerking. Later bleek dat de stukken wel degelijk authentiek zijn, maar dat er passages uit verschillende mails bij elkaar zijn gezet en dat de Russen soms eigen titels hebben toegevoegd.

Europese vaccinatiestrategie

Betrokkenen geloven echter niet dat het lekken het belangrijkste doel van de operatie was. De Russische hackers leken vooral geïnteresseerd in de Europese vaccinatiestrategie en welk land welke vaccins zou aanschaffen. Rusland heeft met het Spoetnik-vaccin een eigen troef en zal dat zo breed mogelijk willen verkopen. EMA maakte deze week bekend dat het begonnen is met het beoordelingsproces van Spoetnik voor gebruik in de Europese Unie. Een woordvoerder van CERT-EU zegt de situatie ‘nauwlettend’ in de gaten te houden en in contact te staan met EMA en opsporingsdiensten. Gedurende het strafrechtelijk onderzoek van de Nederlandse politie wil het Openbaar Ministerie niet inhoudelijk reageren. Ook de de Nederlandse Algemene Inlichtingen- en Veiligheidsdienst zegt ‘geen uitspraken’ over de hack te kunnen doen.

Meer over

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234