Om witwassen tegen te gaan moet zowel de overheid als de techsector zich minder dogmatisch opstellen, vindt specialist cybercriminaliteit Geoff White. ‘Zowel overheden als techneuten zullen wat water bij de wijn moeten doen.’
De nieuwste financiële technologieën worden in rap tempo een belangrijke steunpilaar voor de georganiseerde misdaad, omdat ze de gevaarlijkste boeven ter wereld in staat stellen hun illegale buit te verplaatsen en aan het oog te onttrekken. Dat zal alleen maar erger worden als overheden en de industrie de handen niet ineenslaan.
De geschiedenis van het witwassen van geld is bijna net zo oud als de misdaad zelf. Maar de technieken werden sterk verfijnd in de jaren tachtig, het tijdperk van de cocaïnecowboys, toen Amerika werd overspoeld met drugs.
Het witwasproces van de drugssmokkelaars kende drie fasen: storting (placement), verhulling (layering) en integratie. Storting is het toevoegen van het zwarte geld aan de geldstroom van een legaal bedrijf. De contanten uit de drugshandel kunnen bijvoorbeeld vermengd worden met de inkomsten van een restaurant of een casino. Maar als de drugshandel wordt opgerold, zou de opbrengst ervan getraceerd kunnen worden via de bank die zakendoet met het legale bedrijf. Vandaar de tweede fase, verhulling: crimineel geld wordt eindeloos van rekening naar rekening gesluisd, opgenomen en opnieuw gestort en in andere valuta omgezet, om zo ervoor te zorgen dat de politie het spoor bijster raakt. In de laatste fase, integratie, plukt de crimineel de vruchten van zijn werk: dan zijn alle verbanden tussen het geld en zijn criminele oorsprong uitgewist en kan het besteed worden, idealiter aan zaken met een goed langetermijnrendement zoals kunst of vastgoed.
Hackers
Wat ten opzichte van de jaren tachtig vooral is veranderd, is de digitale revolutie in de financiële wereld: de aanhoudende innovatie in betalingssystemen, virtueel bankieren en dergelijke. Daarnaast leiden de nieuwe technologieën ook tot een nieuwe geldinfrastructuur buiten de traditionele financiële wereld, van cryptomunten tot NFT’S tot virtuele marktplaatsen in videogames, waarop inmiddels ook enorme bedragen omgaan.
Door die voortsnellende financiële digitalisering is voor sommige criminelen de eerste fase van het witwasproces, het storten, minder belangrijk geworden. Dat is immers vooral van belang voor vormen van straatcriminaliteit zoals drugshandel en prostitutie, waarin veel contant geld omgaat. Het belang van verhulling en integratie van de geldstromen is navenant gegroeid. In een wereld waarin financiële transacties steeds meer digitale sporen achterlaten, is het moeilijker geworden om de buit uit handen van de opsporingsdiensten te houden.
De mensen die daar de meeste ervaring mee hebben, zijn hackers. Zij hebben nieuwe manieren gevonden om gestolen geld weg te sluizen, mede met dank aan bitcoin en andere cryptovaluta, waarmee je overschrijvingen niet alleen praktisch anoniem (of op zijn minst onder een schuilnaam) kunt doen, maar ook grotendeels buiten het zicht van de toezichthouders die over de traditionele financiële wereld waken. Ook andere misdaadorganisaties beginnen de voordelen van digitaal witwassen daarom in te zien. Zelfs in de meer traditionele vormen van misdaad rukt het digitale domein op – van de drugshandel die steeds meer via het darkweb plaatsvindt tot de wildgroei aan online prostitutie. En dat leidt tot nieuwe witwasroutes.
Door de explosieve groei van de digitale witwaspraktijken raakt de technologiesector steeds meer bij criminaliteit betrokken. Dat komt niet alleen doordat criminelen gebruikmaken van de nieuwste technologische vondsten. Op een dieper niveau komen de aspiraties van de technologievernieuwers en de wensen van de witwassers met elkaar overeen.
Virtuele vluchtauto
Witwassers willen in wezen drie dingen: een financiële omgeving met koortsachtig veel activiteit en wild schommelende prijzen, zodat ze veel geld kunnen rondpompen zonder argwaan te wekken. Een wereldomspannend systeem dat het makkelijk maakt om crimineel geld in pakweg Los Angeles te storten en in Londen op te nemen. En geen of minimale regelgeving. Dezelfde drie factoren dus waar techbedrijven bij gedijen. De overgrote meerderheid daarvan stimuleert de financiële wanpraktijken niet bewust, maar ook zij hebben baat bij grote en instabiele markten waarop geld makkelijk van land naar land stroomt en waar ze kunnen profiteren van mazen in de regelgeving.
Iets anders wat beide partijen gemeen hebben is een libertaire inslag. Als het gezag oproept tot meer regelgeving om te voorkomen dat criminelen van de nieuwe technologie gebruikmaken, komen programmeurs en start-upondernemers meteen in het geweer tegen wat zij beschouwen als betutteling, en beschuldigen ze ‘trad-fi’ (de traditionele financiële wereld) van een slinkse campagne om de concurrentie van nieuwkomers te dwarsbomen.
Een goed voorbeeld van deze tegenstellingen zie je in het verhaal van Tornado Cash. In maart 2022 werd door hackers die vermoedelijk banden hadden met Noord-Korea voor 625 miljoen dollar aan cryptovaluta gestolen uit de cryptogame Axie Infinity. Een groot deel van dat geld werd witgewassen met behulp van Tornado Cash, een zogenaamde cryptomixer. Zo’n cryptomixer vermengt de door gebruikers gestorte cryptovaluta met andere, waarna bij opname van het geld de herkomst niet meer te achterhalen is. Er kunnen goede privacyredenen zijn om van zo’n mixer gebruik te maken, maar voor de hackers die bij Axie Infinity hadden ingebroken, was het in feite een virtuele vluchtauto.
De Amerikaanse overheid greep snel in: Tornado Cash kreeg sancties opgelegd waardoor het werd buitengesloten van het Amerikaanse banksysteem, en de twee softwareontwikkelaars die deze mixer zouden hebben opgezet werden aangeklaagd wegens witwassen en het overtreden van sancties. De reactie uit de techsector was al even direct. Cryptoactivisten spanden een proces aan tegen het Amerikaanse ministerie van Financiën omdat gebruikers door de sancties volgens hen werden beroofd van een essentieel privacyhulpmiddel. En critici vonden in het algemeen dat het Amerikaanse optreden een gevaarlijk precedent schiep voor softwareontwikkelaars wereldwijd. De mensen achter Tornado Cash mochten volgens hen niet verantwoordelijk worden gehouden voor het misbruik van hun product.
De autoriteiten en de techwereld staan hier dus tegenover elkaar. Overheden willen paal en perk stellen aan een volgens sommigen volledig losgeslagen technologiesector die innovaties uitrolt zonder zich om de maatschappelijke schade te bekommeren. Maar de cryptoliefhebbers hameren erop dat strenger toezicht funest zal zijn voor het technologische fundament waarop hun disruptieve nieuwe wereld rust. Het lijkt op de debatten rond de versleuteling van het berichtenverkeer in apps als WhatsApp en Telegram. Overheden willen een of andere vorm van wettelijke toegang tot de berichten op die platforms. Volgens de techwereld maakt zo’n voet tussen de deur uiteindelijk alle versleuteling zinloos.
Om die patstelling te doorbreken zullen beide partijen wat water bij de wijn moeten doen. Overheden en toezichthouders moeten zich beter verdiepen in de technologie waarop deze innovaties berusten en meer moeite doen om te doorgronden hoe ze precies werken. Alleen dan hebben ze volgens de techwereld recht van spreken. En de techneuten moeten inzien dat ze elke discussie bij voorbaat verloren hebben zolang hun dogmatische verdediging van innovatie door tegenstanders kan worden neergezet als bereidheid om grootschalige financiële misdaad te faciliteren. Ergens in het midden tussen die twee standpunten ligt de toekomst van de fintech-sector.
Sinds de toetreding tot de NAVO en de oorlog in Oekraïne lopen de spanningen op
De Finse veiligheids- en inlichtingendienst Supo heeft bekendgemaakt dat het land te maken heeft met verschillende bedreigingen vanuit Rusland, zoals cyberaanvallen en het verspreiden van desinformatie. Dat meldt The Guardian. De aanleiding voor deze toenemende dreiging zou te maken hebben met het toetreden tot de NAVO en de oorlog in Oekraïne.
360 aanbieding: 3 maanden digitaal voor maar 15 euro.
‘Het is duidelijk dat Rusland cybercapaciteiten heeft, dus we zijn voorbereid,’ zei Suvi Alvari, een senior analist van Supo. ‘We schatten in dat het waarschijnlijk is dat Rusland denial of service-aanvallen (wanneer hackers informatiesystemen, apparaten en andere bronnen ontoegankelijk maken voor legitieme gebruikers) tegen ons zal blijven gebruiken.’
Alvari zei dat desinformatie wordt ingezet om een negatief beeld van Finland te projecteren in de Russische staatsmedia, waarvoor de 80.000 Russischtalige inwoners van Finland kwetsbaar zouden kunnen zijn. ‘Rusland wil het imago van Finland in de ogen van de bevolking verzwakken en daarom is er veel negatieve berichtgeving over ons,’ zei ze. Volgens Alvari heeft dat te maken met het toetreden tot de NAVO en heeft de oorlog in Oekraïne de relatie tussen de twee landen verslechterd.
In aanloop naar de verkiezingen volgend voorjaar zullen veiligheidsdiensten op hun hoede zijn voor mogelijke inmenging. Maar tot nu toe heeft Supo daar nog geen tekenen van gezien.
De Verenigde Staten hebben donderdag bekendgemaakt dat ze vier Russische hackers hebben aangeklaagd die banden hebben met de regering van hun land. Het ministerie van Justitie beschuldigt ze van het uitvoeren van een jarenlange hackcampagne die was gericht op duizenden computers in de Verenigde Staten en over de hele wereld. Het doel van de aanvallen was om toegang te krijgen tot systemen die vitale voorzieningen zouden kunnen verstoren of fysiek zouden kunnen beschadigen, meldt The Wall Street Journal.
De beklaagden werkten allemaal voor de Russische regering en richtten zich op honderden bedrijven in 135 landen, aldus de Amerikaanse autoriteiten.
Australiërs worden steeds vaker telefonisch lastiggevallen door oplichters die zich voordoen als vertegenwoordigers van overheidsinstanties. De oplichters deinzen er zelfs niet voor terug om zich voor te doen als politieagenten.
‘Angela schrok toen ze een telefoontje kreeg met de mededeling dat er zonder haar medeweten tien bankrekeningen op haar naam waren aangemaakt. Maar “Henry”, een Australische federale politiefunctionaris, zei dat hij zou kunnen helpen de situatie recht te zetten.
Angela wist niet dat hij een oplichter was.’
Zo begint misdaadverslaggever Laura Chung van The Sydney Morning Heraldhaar artikel over oplichtingspraktijken in Australië.
Ze vervolgt: ‘Henry droeg Angela op om naar de dichtstbijzijnde bank te gaan en geld van haar rekening op te nemen. Hij zou dan helpen het op een ander account te zetten waar het veilig zou zijn. Ze nam ongeveer 8500 Australische dollar op (meer dan 5300 euro), waardoor er nog maar een paar honderd dollar op haar rekening stond.
“Ik was verstijfd van schrik. Ik was zo bang”, aldus de 24-jarige, die al tweeënhalf jaar in Australië is.
Toen Henry vroeg wat voor bankbiljetten ze had opgenomen, begon Angela achterdochtig te worden. Ze hing op en belde haar man. Toen hij Henry’s nummer draaide, werd hij verbonden met de echte Australian Federal Police (AFP) en vertelde een officier hem dat Angela slachtoffer van een poging tot oplichterij was.
“Ik wil niet dat iemand anders dit meemaakt”, zegt Angela nu. “Je kunt in korte tijd zomaar al je spaargeld kwijt zijn.”’
‘Spoofing’
Volgens wetshandhavers en opsporingsdiensten zijn dergelijke gevallen van oplichting in Australië sterk toegenomen tijdens de pandemie, schrijft Chung. De Angela uit het artikel is een van de vele Australiërs die zijn benaderd door oplichters die zich voordoen als federale agenten van de AFP of als medewerkers van de Australische belastingdienst. In veel gevallen doen de oplichters het voorkomen alsof het nummer waarmee ze bellen van een officiële overheidsinstantie is. Het is een oplichtingspraktijk die ook wel spoofing wordt genoemd.
Jayne Crossling, hoofdinspecteur van de Australische federale politie, zegt dat oplichters meestal beweren dat er verdachte activiteiten zijn geconstateerd in verband met de bankrekeningen van hun slachtoffers, waarna ze om persoonlijke gegevens vragen, zoals het registratienummer van Medicare, de door de overheid gefinancierde universele ziektekostenverzekering, het thuisadres of bankgegevens.
Daarnaast sturen oplichters via e-mail en sociale media valse arrestatiebevelen aan slachtoffers, die kunnen worden ‘geannuleerd’ door geld op een vermelde bankrekening te storten of door online vouchers te kopen.
Het lijkt allemaal te doorzichtig voor woorden, maar in de loop der tijd hebben veel Australiërs duizenden dollars betaald in de veronderstelling dat de telefoontjes die ze kregen echt waren.
‘We maken ons grote zorgen over de omvang van deze oplichting’
De AFP kreeg de afgelopen maanden op zijn beurt honderden telefoontjes van mensen die benaderd zijn door oplichters. De autoriteiten vrezen echter dat het werkelijke aantal veel hoger ligt omdat veel slachtoffers uit schaamte aarzelen om naar buiten te treden met hun verhaal.
‘Deze zwendel is niet nieuw, maar we hebben nog niet eerder gezien dat onze organisatie zo vaak werd gebruikt. Het is een behoorlijk gewaagde zet om de AFP op deze manier te gebruiken’, aldus hoofdinspecteur Crossling. ‘We maken ons grote zorgen over de omvang van deze oplichting.’
De politie denkt dat de telefoontjes afkomstig zijn uit het buitenland, maar het onderzoek loopt nog. ‘Vanuit het oogpunt van wetshandhaving is het niet eenvoudig om achter het geld aan te jagen. Soms kunnen we geluk hebben met de timing als het geld Australië nog niet verlaten heeft’, aldus Crossling.
Ook de Australian Competition and Consumer Commission (ACCC), een overheidsorganisatie voor consumenten en eerlijke handelspraktijken, heeft tijdens de pandemie een toename gezien van het aantal meldingen van oplichting door zogenaamde diensten van de overheid.
Belastingdienst
Scamwatch, onderdeel van ACCC, ontving tussen 1 januari en 15 augustus van dit jaar meer dan 28.900 meldingen over oplichters die zich aan de telefoon voordeden als representanten van overheidsinstanties. Naar schatting 3,88 miljoen Australische dollar, ruim 2,4 miljoen euro, wisselde daardoor onrechtmatig van eigenaar. In 73 gevallen ging het om oplichters die zich voordeden als AFP-functionarissen en die daarvoor het telefoonnummer van AFP of van een lokaal politiebureau gebruikten.
Volgens Tim Loh van Australian Taxation Office (ATO), de Australische belastingdienst, is het zeker niet ongebruikelijk voor oplichters om zich voor te doen als ATO-medewerkers, maar is er sinds de pandemie sprake van een opmerkelijk grote golf van oplichting.
David Lacey, oprichter van IDCARE, een ngo die mensen in Australië en Nieuw-Zeeland bijstaat in geval van identiteitsfraude en cybermisdaad, vermoedt dat sommige bendes bestaan uit groepen van honderden handlangers die zich voornamelijk richtten op Australië, Groot-Brittannië, Canada en de VS.
‘De aard van veel Australiërs is rustig, goedgelovig en ontspannen. Daar houden oplichters van’
‘De aard van veel Australiërs is rustig, goedgelovig en ontspannen. Daar houden oplichters van’, zegt hij. ‘Wij schatten dat 99 procent van deze misdaden onopgelost zal blijven, dus dat betekent dat mensen in 99 procent van de gevallen hun geld niet terugkrijgen.
We leven nu in een wereld waarin je ervan moet uitgaan dat elke communicatie potentieel oplichterij is. Tenzij volkomen duidelijk is dat dit niet het geval is, dien je zelf alert te zijn en zo mogelijk onderzoek of navraag te doen. Oplichters jagen op angst of op positieve prikkels. Ze spelen in op de emoties van mensen en mikken erop dat mensen reageren zonder na te denken.’
Volgens de ACCC zijn de meest geïmiteerde overheidsinstanties de ATO en het ministerie van Binnenlandse Zaken, maar oplichters hebben zich ook voorgedaan als vertegenwoordigers van de Australische Grenspolitie, het ministerie van Buitenlandse Zaken en Handel en zelfs van diensten als de Nationale Misdaad Autoriteit die zich richt op de bestrijding van georganiseerde misdaad.
‘Wees voorzichtig bij het beantwoorden van oproepen van onbekende nummers. Het is oké om een oproep naar je voicemail te laten gaan als je denkt dat het om een oplichter gaat’, laat een woordvoerder van ACCC weten. ‘Wees achterdochtig als je uit het niets wordt gebeld met de vraag om persoonlijke of financiële informatie of om toegang tot je computer of een ander apparaat. Denk goed na en overweeg of het om een oplichter zou kunnen gaan.’
Meer dan duizend bedrijven in de VS bedreigd door nieuwe cyberaanval
Hackers vielen vrijdag het bedrijf Kaseya aan om losgeld te eisen van bedrijven die gebruik maken van haar systeembeheersoftware. Cybersecurityexperts vermoeden dat de Russische groep REvil, die eind mei vleesgigant JBS trof, bij de hack is betrokken, aldus de internationale pers.
Het is een cyberaanval die ‘precies op tijd komt om het lange weekend van de Amerikanen te verpesten’, merkt The Verge op. Terwijl de Verenigde Staten zich aan het voorbereiden waren op de viering van Independence Day, de nationale feestdag op zondag 4 juli, werd het land op vrijdag en zaterdag getroffen door een nieuwe aanval met ransomware, waarbij de computersystemen van een bedrijf worden lamgelegd, waarna vervolgens losgeld wordt geëist om ze weer te ontgrendelen.
De gehackte bedrijven leveren zelf weer diensten aan andere bedrijven, waardoor de aanval zich razendsnel verspreidde
Het bedrijf Kaseya, dat zich op vrijdag om 12.00 uur aan de Amerikaanse oostkust realiseerde dat er mogelijk sprake was van een incident met zijn VSA-software (waarmee computers van klanten op afstand kunnen worden overgenomen), beweerde eerst dat de aanval beperkt was gebleven ‘tot minder dan 40 klanten wereldwijd’. Maar deze bedrijven leveren zelf weer diensten aan andere bedrijven, waardoor de aanval van hackers zich razendsnel verspreidde. Volgens BBC moest de grote Zweedse supermarktketen Coop zaterdag al meer dan 800 winkels sluiten, omdat de kassa’s waren lamgelegd.
‘We kunnen redelijkerwijs aannemen dat mogelijk duizenden kleine bedrijven getroffen kunnen worden’, vertelde beveiligingsexpert John Hammond aan NBC News. Voor de Amerikaanse zender zou deze nieuwe aanval met ransomware ‘wel eens een van de belangrijkste tot nu toe’ kunnen zijn.
De Verenigde Staten zijn de afgelopen maanden bijzonder hard geraakt door aanvallen waarbij verschillende grote bedrijven werden getroffen, zoals vleesgigant JBS en Colonial Pipeline, een beheerder van oliepijpleidingen, evenals verschillende lokale gemeenschappen en ziekenhuizen.
Escalatie
Volgens onderzoeker John Hammond, die met de Amerikaanse zender CBS News sprak, zou de Russische hackergroep REvil achter deze nieuwe cyberaanval zitten. Deze groep is ook verantwoordelijk voor de aanval met ransomware die JBS eind mei trof. ‘Een analyse van de malware door cyberbeveiligingsbedrijf Emsisoft toonde aan dat deze is gemaakt door REvil’, zo meldt ook CNN.
‘Als het de schuld van Rusland is, dan heb ik Poetin al laten weten dat we zullen reageren’, aldus Biden
‘Slachtoffers van de cyberaanval zijn getroffen door een update van de Kaseya-software’, liet beveiligingsexpert Kevin Beaumont aan The New York Times weten. ‘In plaats van de laatste update van Kaseya te ontvangen, kregen ze de ransomware’, is zijn verklaring. Voor de expert markeert deze nieuwe aanval ‘een serieuze escalatie in de tactieken’ die de hackers gebruiken. Bij eerdere aanvallen kwam REvil nog binnen ‘met een combinatie van phishing, gestolen wachtwoorden en geholpen door het ontbreken van multifactorauthenticatie’, aldus Beaumont.
‘De timing van deze aanval ligt politiek gevoelig, want hij komt slechts enkele weken nadat Biden de Russische president Vladimir Poetin had verzocht om cybercriminaliteit aan te pakken’, zo schrijft Bloomberg.
Zaterdag zei de Amerikaanse president, die opdracht gaf tot een onderzoek, dat het onwaarschijnlijk is dat de Russische regering verantwoordelijk is voor de aanval die Kaseya heeft getroffen, hoewel hij zegt dat de Amerikaanse regering er nog niet zeker van is. Als blijkt dat ‘dit is gebeurd met medeweten van Rusland of als het de schuld van Rusland is, dan heb ik Poetin al laten weten dat we zullen reageren’, aldus Biden.
Schandaal rond Bolsonaro bij aankoop coronavaccin
Negeerde Jair Bolsonaro opzettelijk de verdenking van corruptie bij de aanschaf van een Indiaas covid-19-vaccin? De Braziliaanse procureur-generaal heeft in ieder geval besloten de zaak te onderzoeken.
Het schandaal houdt de Braziliaanse samenleving al enkele dagen in haar greep en raakt nu ook president Jair Bolsonaro. Volgens de Braziliaanse krant O Globo, heeft de procureur-generaal afgelopen vrijdag besloten een onderzoek in te stellen naar de Braziliaanse president, die ervan wordt beschuldigd niet te hebben gehandeld nadat hij op de hoogte was gesteld van onregelmatigheden rond onderhandelingen over de aanschaf van het coronavaccin Covaxin, geproduceerd door het Indiase laboratorium Bharat Biotech. ‘Opnieuw imagoschade’ voor een zeer controversiële leider, zo schrijft het dagblad.
265 miljoen euro
Bolsonaro zou in maart ‘waarschuwingen hebben genegeerd’ vanwege verdenking van corruptie en te hoge prijzen, schrijft Estado de Minas. De krant schrijft dat het contract ter waarde van ongeveer 265 miljoen euro is opgeschort na onthullingen door het centrumrechtse parlementslid Luis Miranda en zijn broer Luis Ricardo Miranda, een ambtenaar van het ministerie van Volksgezondheid die verantwoordelijk is voor de invoer van vaccins.
De ambtenaar was verrast door de onderhandelde prijs, ongeveer 12 euro per dosis, die veel hoger lag dan de prijs die betaald wordt voor concurrerende vaccins. De Singaporese tussenpersoon die bij de onderhandelingen betrokken was, leek hem ook verdacht. Hij bracht zijn broer op de hoogte die het doorgaf aan zijn directeur. Die zou verzekerd hebben dat hij de federale politie zou verwittigen, wat hij vervolgens nooit zou hebben gedaan.
Alles wijst erop dat de president er bewust voor heeft gekozen om de vermeende corruptie niet te onderzoeken
‘Het onderzoek moet nu duidelijk maken of de president op de hoogte was van de onregelmatigheden en niet heeft gehandeld’, schrijft de Spaanse krant El País.
‘Alles wijst erop dat de president er inderdaad bewust voor heeft gekozen om de vermeende corruptie die onder zijn aandacht werd gebracht door gedeputeerde Luis Miranda en diens broer niet te onderzoeken’, zo bevestigen drie oppositiesenatoren, in Gazeta Do Povo, een weekblad uit Curitiba. ‘Het is een feit’, zegt ook Omar Aziz, voorzitter van de CPI, de parlementaire onderzoekscommissie naar de ontwikkeling van de pandemie, in een ander artikel. Gazeta do Povo voegt daaraan toe dat de commissie ‘een constant doelwit vormt voor aanvallen door de president’.
Kopzorgen
De zaak haalt de voorpagina’s van de kranten in het hele land, maar heeft ook de interesse gewekt van buitenlandse media. ‘Er zijn geen aanwijzingen dat Bolsonaro persoonlijk van de transactie heeft geprofiteerd’, schrijft Bloomberg. Maar een dergelijk onderzoek zou nieuwe kopzorgen voor de Braziliaanse president betekenen, en is koren op de molen van het lopende parlementaire onderzoek door de CPI.
Zodra het onderzoek is afgerond, zal de procureur-generaal ‘beoordelen of er sprake is van een misdrijf’ en indien nodig een klacht indienen, meldtCorreio Braziliense. Voor vervolging heeft de Hoge Raad toestemming nodig van het parlement. Mocht die toestemming er komen, dan zal Bolsonaro voor zes maanden van zijn functie worden ontheven.
Maar Bruno Salles, hoofd van het Braziliaanse Instituut voor Criminologie, zegt tegen Bloomberg dat hij zich niet kan voorstellen dat het zo ver zal komen. ‘Zelfs als de aanklager de zaak niet sluit, wat de meest waarschijnlijke hypothese lijkt, zullen parlementariërs niet toestaan dat Bolsonaro voor de rechtbank moet getuigen. Er zijn eerder twee soortgelijke pogingen geweest tegen voormalig president Michel Temer. Beiden werden afgewezen.’
Champagneoorlog tussen Rusland en LVMH
Vladimir Poetin ondertekende afgelopen vrijdag een wet die bepaalt dat alleen mousserende wijnen uit Rusland het woord ‘champagne’ mogen gebruiken, terwijl Franse champagne de naam ‘mousserende wijn’ moet gebruiken. Het Franse luxeconcern LVMH, dat de beroemde Moët et Chandon produceert, heeft aangekondigd dat het van plan is de leveringen aan Rusland op te schorten.
De vraag is of rijke Russen afscheid zullen moeten nemen van hun flessen Moët et Chandon, Veuve Cliquot of zelfs Dom Pérignon, zo schrijft het Russische dagblad Kommersant. Volgens de krant zou dat namelijk het gevolg zijn van het dreigement van LVMH aan Rusland. Een Russische dochteronderneming van het Franse bedrijf heeft zijn lokale partners gewaarschuwd dat het de leveringen van champagne aan het land tijdelijk opschort, omdat Vladimir Poetin vrijdag een controversiële nieuwe wet heeft getekend ‘die nieuwe eisen stelt aan wijnproducten’.
‘In het cyrillisch geschreven wordt de term “champagne” in Rusland al sinds de Sovjettijd gebruikt’
De tekst bepaalt dat voortaan alleen Russische wijnen als ‘champagne’ mogen worden bestempeld, terwijl echte Franse champagne tevreden moet zijn met de aanduiding ‘mousserende wijn’. Het is een regelrechte belediging voor Frankrijk, waar de term ‘champagne’ angstvallig wordt verdedigd en beschermd door een appellation d’origine contrôlée, die voorschrijft dat wijn uit een specifiek omschreven gebied in een regio met dezelfde naam moet komen om het recht te hebben die naam te gebruiken.
‘Dit probleem rond terminologie is niet nieuw’, merkt de door het Kremlin gecontroleerde nieuwssite Sputnik op. ‘In het cyrillisch geschreven wordt de term “champagne” in Rusland al sinds de Sovjettijd gebruikt voor een industrieel geproduceerde schuimende drank. Dankzij een versnelde fermentatie duurt de productiecyclus slechts drie weken van deze “Sovjet-champagne”, die wordt geproduceerd in verschillende Russische distilleerderijen die niets te maken hebben met wijnregio’s’.
Sébastien Vilmot, directeur van Moët Hennessy in Rusland, de dochteronderneming van LVMH, heeft tot dusver geweigerd commentaar te geven op de controversiële Russische wet.
Met één transactie 6,9 miljoen dollar stelen, en je hoeft er de deur niet eens voor uit. De Russische hacker Michailovitsj Bogatsjev drong moeiteloos miljoenen computers binnen, pleegde talloze digitale bankovervallen en blijft ongrijpbaar. Houdt de Russische overheid hem de hand boven het hoofd, waar de VS drie miljoen op hebben gezet?
Op de ochtend van 30 december 2016, een dag nadat Barack Obama Rusland sancties had opgelegd wegens inmenging in de presidentsverkiezingen, zat Tillmann Werner in Bonn aan het ontbijt. Werner, onderzoeker bij cyberbeveiligingsbedrijf CrowdStrike, verdiepte zich in de details. Hij klikte een link naar een officiële verklaring aan en zag dat het Witte Huis een kleine stoet Russen en Russische instanties op de korrel had genomen: 2 inlichtingendiensten, 4 hoge medewerkers, 35 diplomaten, 3 techbedrijven en 2 hackers. De meeste details waren in nevelen gehuld. Maar Werners ogen bleven haken aan de naam van een van de doelwitten: Jevgeni Michailovitsj Bogatsjev.
Werner wist dat Bogatsjev jarenlang ongestraft financiële instellingen over de hele wereld online had geplunderd. Hij wist hoe het was om het tegen hem op te nemen. Maar hij had geen idee welke rol Bogatsjev in de verkiezingshack kon hebben gespeeld. Bogatsjev onderscheidde zich van de anderen die door de sancties werden getroffen: hij was een bankrover, misschien wel de succesvolste ter wereld. Werner vroeg zich af wat hij in vredesnaam op die lijst deed.
Slavik
De strijd van Amerika tegen Ruslands grootste cybercrimineel begon in de lente van 2009. Speciaal agent en ex-marinier James Craig, nieuw op de FBI-vestiging in Omaha, Nebraska, stelde een onderzoek in naar een paar vreemde gevallen van onlinediefstal. Craig was net een half jaar in dienst, maar zijn baas zette hem vanwege zijn achtergrond op de zaak: hij werkte al jaren als IT’er bij de FBI.
Het grootste slachtoffer in de zaak was een dochteronderneming van betaalverkeerreus First Data, die in mei 450.000 dollar was kwijtgeraakt. Kort daarna was 100.000 dollar gestolen van een cliënt van de First National Bank in Omaha. Het rare was dat de diefstallen leken te zijn gepleegd vanaf de eigen IP-adressen van de slachtoffers, met hun eigen inlogcodes en wachtwoorden. Toen Craig hun computers onderzocht zag hij dat ze met dezelfde malware waren besmet, een Trojaans paard dat Zeus heette.
Craig ontdekte dat Zeus in kringen van onlinebeveiligers berucht was. De malware, die in 2006 voor het eerst opdook, gold zowel onder criminelen als beveiligingsexperts als een meesterwerk: hij werkte feilloos en was effectief en veelzijdig. Wie hem had gemaakt was een raadsel. De maker was alleen online bekend, waar hij zich bediende van het pseudoniem Slavik, de alias lucky12345 en nog een handjevol andere namen.
Zeus besmette computers op kenmerkende manieren: nepmails van de fiscus en van koeriersbedrijf UPS lieten de ontvangers een bestand downloaden. Stond Zeus eenmaal op hun computer, dan liet hij hackers voor God spelen: ze konden websites kapen en met zogeheten keyloggers gebruikersnamen, wachtwoorden en pinpasnummers onderscheppen. De truc staat bekend als ‘man-in-de-browser’-aanval. Terwijl jij achter je computer inlogt op een schijnbaar veilige site, manipuleert de malware de pagina’s voordat ze geladen worden en sluist je vertrouwelijke gegevens en banksaldo door. Pas wanneer je vanaf een andere computer inlogt zie je dat je geld verdwenen is.
Toen Craig aan zijn onderzoek begon was Zeus inmiddels de favoriete malware van de digitale onderwereld, zeg maar de Microsoft Office van de onlinefraude. Slavik was een zeldzaamheid in de malwarewereld: een echte professional. Hij kwam geregeld met een update van de Zeuscode en testte nieuwe functies. Op zijn product kon je voor verschillende soorten aanvallen en doelen eindeloos variëren. Een computer die met Zeus was besmet kon zelfs dienen als schakel in een botnet: een netwerk van geïnfecteerde computers die tezamen kunnen worden ingezet als spamserver, om DoS-aanvallen uit te voeren of nog meer nepmailtjes te versturen die de malware verder verspreiden.
Craig en zijn collega’s belden financiële instellingen en bedrijven die het slachtoffer waren geworden van cyberfraude. Sommige hadden werknemers ontslagen die ze onterecht van diefstal hadden verdacht
Kort voordat Craig in 2009 aan zijn klus begon had Slavik zijn koers verlegd. Hij was begonnen een selecte groep onlinecriminelen een variant van zijn malware te verstrekken, Jabber Zeus. Die ging vergezeld van een tool waarmee groepsleden ongemerkt met elkaar konden communiceren en aanvallen konden coördineren, zoals in Omaha. In plaats van zich bezig te houden met grootschalige besmettingscampagnes richtten ze zich op specifieke bedrijven en mensen die toegang hadden tot financiële systemen.
Terwijl Slavik de kant van de georganiseerde misdaad opging snoeide hij drastisch in zijn malwarehandel. In 2010 kondigde hij online aan dat hij ‘met pensioen ging’ en vervolgens kwam hij met wat onder beveiligingsexperts bekendstaat als Zeus 2.1, een geavanceerde versie die wordt beschermd met een encryptiesleutel, waarmee elk exemplaar wordt gekoppeld aan één specifieke gebruiker. Prijskaartje: 10.000 dollar per exemplaar. Slavik werkte alleen nog maar met een ambitieuze groep elitehackers.
Andere financiële instellingen begonnen melding te maken van diefstal en fraude. Craig besefte dat hij achter een goed georganiseerd, internationaal crimineel netwerk aanzat. De cybercrime waar de FBI eerder mee te maken had gehad viel erbij in het niet.
Craigs eerste grote doorbraak in de zaak vond plaats in september 2009. Met behulp van experts achterhaalde hij een server in New York die een rol in het Zeus-netwerk leek te spelen. Dankzij een huiszoekingsbevel kon een forensisch FBI-team de data naar een harde schijf kopiëren, die naar Nebraska werden gestuurd. Toen een softwarespecialist ze onderzocht was hij zwaar onder de indruk. De schrijf bevatte tienduizenden chatsessies in het Russisch en het Oekraïens. Hij kon Craig melden dat hij de Jabberserver te pakken had.
Op de server stonden alle digitale activiteiten van de hele bende: een soort wegenkaart van de hele zaak. Cyberveiligheidsbedrijf Mandiant detacheerde een paar maanden lang een technicus in Omaha om de code van Jabber Zeus te ontrafelen. Slavisten uit het hele land hielpen de chatgesprekken te ontcijferen. De berichten bevatten verwijzingen naar honderden slachtoffers, van wie de persoonsgegevens overal in de bestanden opdoken. Craig en zijn collega’s belden financiële instellingen en bedrijven die het slachtoffer waren geworden van cyberfraude. Sommige hadden werknemers ontslagen die ze onterecht van diefstal hadden verdacht.
De zaak beperkte zich niet tot de virtuele wereld. In New York kwamen op een dag in 2009 drie jonge Kazachse vrouwen met een vreemd verhaal het plaatselijke FBI-kantoor binnen. Als werkzoekenden waren ze naar de VS gekomen, waar ze in een schimmig complot verwikkeld waren geraakt. Ze werden naar een bank gebracht door een man die zei dat ze er een rekening moesten openen. Ze moesten zeggen dat ze studeerden en op vakantie waren. Een paar dagen later bracht de man hen terug naar de bank, waar ze al het geld van hun rekening haalden. Ze kregen een klein deel en gaven de rest aan hem. De vrouwen bleken ‘geldezels’: ze moesten het online gestolen geld opnemen dat Slavik en de zijnen naar hun rekening hadden gesluisd.
In de zomer van 2010 hadden agenten die op de zaak zaten banken in de wijde omtrek van New York gewaarschuwd voor verdachte geldopnames en gezegd dat ze in zulke gevallen de FBI moesten inschakelen. Tientallen geldezels werden opgepakt, die tienduizenden dollars hadden opgenomen. De meesten waren studenten of kersverse immigranten. Een vrouw was geldezel geworden toen een baantje in een supermarkt niet doorging. ‘Het was of dit of stripper worden.’ De meeste opnames bedroegen ongeveer 9000 dollar, net onder het transactiebedrag dat banken aan de federale bank moeten melden. Een geldezel kreeg 5 tot 10 procent, een deel ging naar zijn of haar ronselaar, de rest naar het buitenland.
De Verenigde Staten bleken slechts een van de vele landen in een internationale fraudeoperatie, beseften de rechercheurs al snel. Vergelijkbare geldezelroutes werden gevonden in Roemenië, Tsjechië, het Verenigd Koninkrijk, Oekraïne en Rusland. De rechercheurs telden de gestolen bedragen op tot een totaal van ongeveer 70 tot 80 miljoen dollar, maar vermoedden dat het werkelijke bedrag veel hoger lag.
Banken riepen de FBI op een einde aan de fraude te maken en de verliezen tegen te gaan. In de zomer sloot de New Yorkse afdeling het net rond belangrijke ronselaars en breinen achter de fraude. Twee Moldaviërs werden gearresteerd in een hotel in Milwaukee. In Boston moest een verdachte die wilde vluchten van een brandtrap worden gered.
Intussen zette Craig zijn zaak tegen de Jabber-Zeus-bende voort. De FBI en het ministerie van Justitie hadden een gebied rond Donetsk, in Oost-Oekraïne, in het vizier, waar enkele spilfiguren rond Jabber Zeus zouden wonen. Aleksej Bron, alias ‘thehead,’ was gespecialiseerd in wereldwijd geldtransport. Ivan Viktorvitsj Klepikov (schuilnaam ‘petr0vich’) deed de IT, de webhosting en de domeinnamen van de bende. Vjatsjeslav Igorevitjs Pentsjoekov, bijnaam ‘tank’, bestuurde de hele operatie, waarmee hij de rechterhand van Slavik was. Ze spendeerden de enorme winsten aan dure auto’s, terwijl het in chatsessies vaak ging over buitensporige vakanties in Turkije, de Verenigde Arabische Emiraten en de Krim.
20 terabyte
In de herfst van 2010 was de FBI klaar om het netwerk te ontmantelen. Terwijl in Washington een persconferentie werd voorbereid reisde Craig per boemeltrein naar Donetsk, waar hij zich bij agenten van de Oekraïense veiligheidsdienst voegde om de huizen van tank en petr0vich binnen te vallen. De invallen duurden tot diep in de nacht; Craig ging pas om drie uur terug naar zijn hotel. Hij nam bijna 20 terabyte in beslag genomen data mee terug naar Omaha.
Met 39 arrestaties in 4 landen slaagden de rechercheurs erin het netwerk op te rollen. Belangrijke leden wisten echter te ontkomen. Slavik, het grote brein, bleef tevens de grote onbekende. Rechercheurs gingen ervan uit dat hij vanuit Rusland opereerde en getrouwd was. Meer wisten ze niet. De formele aanklacht tegen de maker van Zeus verwijst naar hem met zijn onlinepseudoniem. Craig had zelfs geen idee hoe zijn hoofdverdachte eruitzag: ‘We hebben duizenden foto’s van tank en petr0vich, maar niet één van Slavik.’ Niet lang daarna wiste Slavik zelfs de sporen die hij op internet had achtergelaten. Wie hij ook was, hij verdween van de radar. Na zich zeven jaar met de jacht op Jabber Zeus te hebben beziggehouden, stapte James Craig over op andere zaken.
Ongeveer een jaar nadat de FBI de groep rond Jabber Zeus had opgerold zagen, cybersecurityexperts dat een nieuwe variant van Zeus de ronde deed. De broncode van de malware was in 2011 op internet gelekt – wellicht doelbewust – waarmee Zeus in feite een open-sourceproject werd en de aanzet gaf tot een hele reeks nieuwe varianten. Maar de versie die de aandacht van de rechercheurs trok was anders: krachtiger en verfijnder, vooral als het ging om het opzetten van botnets.
Tot dan toe programmeerde een hacker die een botnet wilde maken één zogeheten command server die rechtstreeks opdrachten gaf aan besmette computers: ‘zombiecomputers’. Die verstuurden vervolgens spam, verspreidden malware of voerden DoS-aanvallen op sites uit. Botnets met zo’n ontwerp waren voor wetshandhavers en beveiligingsexperts relatief makkelijk te ontmantelen. Als je de command server in handen kreeg of het de hacker onmogelijk maakt ermee te communiceren, hielp je het botnet om zeep.
Op 12 november 2012 keek de FBI toe terwijl het GameOver-netwerk met één transactie 6,9 miljoen dollar stal, waarna het een dagenlange DoS-aanval op de benadeelde bank uitvoerde
De nieuwe Zeusvariant maakte echter gebruik van zowel traditionele command servers als communicatie tussen zombiecomputers onderling, waardoor hij heel lastig was uit te schakelen. Besmette pc’s hielden een telkens bijgewerkte lijst van andere besmette machines bij. Zodra een pc ‘merkte’ dat de verbinding met de command server werd verstoord viel hij terug op het contact met andere pc’s om een nieuwe te zoeken.
Het netwerk was ontworpen om ontmanteling tegen te gaan; zodra een command server offline werd gehaald kon de botnetbeheerder gewoon ergens anders een nieuwe installeren en de pc’s in het netwerk ernaartoe leiden. De nieuwe versie zou GameOver Zeus gaan heten, naar een van de bestandsnamen: gameover2.php. De naam getuigde van galgenhumor: zo’n ding op je computer betekende einde verhaal voor je bankrekeningen.
Voorzover bekend werd GameOver Zeus beheerd door een groep elitehackers met Slavik als leider. Hij was sterker dan ooit teruggekomen. Slaviks nieuwe bende werd de Business Club genoemd. Net als bij het Jabber-Zeus-netwerk waren banken het voornaamste doelwit, waar de club zich nog genadelozer op richtte dan zijn voorganger.
Het ging als volgt. Eerst stal GameOver Zeus de bankgegevens van een gebruiker, die werden onderschept zodra iemand met een besmette computer inlogde op een onlinerekening. Vervolgens haalde de Business Club de rekening leeg en maakte het geld over naar andere rekeningen in het buitenland. Was dat gebeurd, dan gebruikte de groep zijn machtige botnet voor een DoS-aanval op de getroffen financiële instellingen om bankemployees af te leiden en ervoor te zorgen dat het geld was veiliggesteld voordat klanten erachter kwamen dat het verdwenen was. Op 12 november 2012 keek de FBI toe terwijl het GameOver-netwerk met één transactie 6,9 miljoen dollar stal, waarna het een dagenlange DoS-aanval op de benadeelde bank uitvoerde.
Anders dan de Jabber-Zeus-bende richtte het geavanceerdere netwerk achter GameOver zich op bankdiefstallen met bedragen van zes of zeven cijfers. Daardoor was het niet meer nodig om geldezels geld te laten opnemen in kantoren in Brooklyn. In plaats daarvan gebruikte de bende de zwakte van het stelsel van onderling met elkaar verbonden banken door de grootschalige diefstallen weg te moffelen tussen het dagelijkse verkeer van biljoenen dollars. Rechercheurs hadden vooral aandacht voor twee gebieden in het verre oosten van China, dicht bij de Russische stad Vladivostok. Daar sluisden geldezels grote bedragen gestolen geld door naar rekeningen van de Business Club. Die strategie betekende een evolutie in de georganiseerde misdaad. Bankrovers lieten niet langer sporen in de VS achter. Ze konden alles vanaf een afstand doen, buiten de Amerikaanse wetgeving om.
De clubleden had het niet alleen op banken voorzien. Ze plunderden ook de rekeningen van andere dan financiële instellingen, non-profitorganisaties en zelfs privépersonen. In oktober 2013 begon Slaviks groep malware met de naam CryptoLocker te gebruiken, een vorm van ransomware die bestanden op een geïnfecteerde computer versleutelde en om dat ongedaan te maken de gebruiker dwong een vergoeding te betalen, zeg 300 tot 500 dollar. Het werd algauw een favoriete tool in de cybercrimewereld. Een gigantisch botnet inzetten om fraude te plegen in de wereld van de haute finance heeft als nadeel dat de meeste zombiecomputers niet aan vette zakenrekeningen verbonden zijn; Slavik en zijn kompanen werkten met tienduizenden voornamelijk inactieve zombiecomputers. Ook al leverde de ransomware geen grote bedragen op, de criminelen konden er munt uit slaan met verder inactieve besmette computers. Een beveiligingsfirma schatte dat in 2013 wereldwijd maar liefst een kwart miljoen computers met CryptoLocker waren besmet. Een onderzoeker bracht 771 ransom-gevallen in kaart die de bende van Slavik in totaal 1,1 miljoen dollar opleverden.
Dagelijks stegen de verliezen van banken, bedrijven en personen; de slachtoffers varieerden van een plaatselijke bank in het noorden van Florida tot een Indianenstam in de staat Washington. Eén geval van diefstal kon een bedrijf makkelijk de hele jaarwinst kosten, zo niet meer. GameOver vergde intussen steeds meer inspanningen van de particuliere cybersecurity-industrie. ‘Ik denk dat maar weinig mensen beseffen hoe gigantisch het was. Een diefstal van 5 miljoen leidt de aandacht af van honderden kleinere gevallen,’ zegt beveiligingsexpert Michael Sandee van het Nederlandse bedrijf Fox-IT. ‘Als een bank een spervuur van aanvallen te verduren krijgt – honderd transacties per week – ben je niet meer geïnteresseerd in het specifieke soort malware. Je moet gewoon het bloeden stelpen.’
Niet dat er geen poging werd gedaan. Tussen 2011 en 2014 probeerden cybersecurity-onderzoekers en bedrijven drie keer GameOver Zeus plat te leggen. Drie Europese beveiligingsexperts werkten in 2012 samen aan de eerste poging. Slavik sloeg die met gemak af. Vervolgens ondernam de Digital Crime-divisie van Microsoft in maart 2012 legale actie tegen het netwerk. Met een gerechtelijk bevel viel de Amerikaanse politie datacentra in Illinois en Pennsylvania binnen waar servers van Zeus stonden. 39 personen die aan het Zeus-netwerk waren gelieerd werden in staat van beschuldiging gesteld. (Slavik stond boven aan de lijst.) Maar het plan van Microsoft sloeg nog geen deuk in het pakje boter van GameOver. Het gaf Slavik inzicht in de kennis van de rechercheurs over zijn netwerk, zodat hij zijn tactiek kon verfijnen.
Botnetbestrijders vormen een klein clubje trotse beveiligingstechneuten: het zijn zelfverklaarde ‘internetbewakers’ die hun best doen om onlinenetwerken soepel te laten functioneren. Binnen die groep stond Tillmann Werner van CrowdStrike bekend om zijn flair en enthousiasme. In februari 2013 nam hij tijdens een grote conferentie van de cybersecurity-industrie live op een podium de besturing over van het Kelihos-botnet, een berucht malwarenetwerk dat werkte via spam voor Viagra. Maar Kelihos, wist Werner, was geen GameOver Zeus. Hij volgde GameOver sinds het ontstaan ervan en verbaasde zich over de kracht en de flexibiliteit.
In 2012 trok hij samen op met beveiligingsexpert Brett Stone-Gross – een Amerikaan uit Californië die net een paar maanden klaar was met school – en enkele onderzoekers om een plan te beramen om GameOver aan te vallen. Ze communiceerden via chats en bestudeerden de eerdere Europese poging om te bekijken waar die was mislukt.
In januari 2013 waren ze zover: ze sloegen diepvriespizza’s in omdat ze rekening hielden met een langdurige belegering van Slaviks netwerk. (Tegen een botnet heb je volgens Werner maar één kans: ‘Het lukt of het lukt niet.’) Het idee was om het verkeer van het zombienetwerk van GameOver om te leiden naar een door de aanvallers beheerde server, een aanpak die ‘sinkholing’ wordt genoemd. Daarmee hoopten ze Slaviks communicatielijnen met het botnet af te snijden. In eerste instantie leek het te lukken. Niets wees erop dat Slavik terugvocht en Werner en Stone-Gross zagen dat steeds meer besmette computers met hun ‘sinkhole’ verbonden raakten.
Op het hoogtepunt van de aanval hadden ze 99 procent van Slaviks netwerk in handen. Maar ze hadden een kritiek onderdeel in de architectuur van GameOver over het hoofd gezien: een kleine deelverzameling besmette computers die in het geheim communiceerde met Slaviks command servers. Slavik kon daardoor een software-update naar zijn netwerk sturen en het beheer weer in handen krijgen. De onderzoekers zagen met lede ogen toe hoe een nieuwe versie van GameOver Zeus zich over het internet verspreidde en Slaviks netwerk zich begon te herconfigureren. ‘We begrepen meteen wat er gebeurde. We hadden het communicatiekanaal straal over het hoofd gezien,’ zegt Werner.
De list van de aanvallers – negen maanden werk – was mislukt. Slavik had gewonnen. In een onlinechat met een Pools beveiligingsteam kraaide hij dat alle pogingen om zijn netwerk over te nemen op niets waren uitgelopen. ‘Ik denk dat hij het onmogelijk achtte om zijn botnet te vloeren,’ zegt Werner. Stone-Gross en hij wilden niets liever dan een nieuwe poging ondernemen. Maar ze hadden hulp nodig.
Cybersquad
Het afgelopen decennium heeft het kantoor van de FBI in Pittsburgh zich opgewerkt tot grootste leverancier van cybercrimedagvaardingen, wat voor een belangrijk deel te danken is aan het hoofd van de ‘cybersquad’ aldaar, de voormalige vertegenwoordiger in meubelen J. Keith Mularski.
Mularski is een soort beroemdheid in cybersecuritykringen. Eind jaren negentig kwam hij bij de FBI werken. De eerste zeven jaar deed hij in Washington spionage- en terrorismezaken. In 2005 greep hij de kans aan om terug te keren naar zijn geboorteplaats, Pittsburgh, waar hij aan een nieuw cyberinitiatief werkte, hoewel hij weinig van computers wist. Mularski kreeg het vak in de praktijk onder de knie tijdens een undercoveroperatie van twee jaar. Daarmee werd jacht gemaakt op criminelen die zich op het onlineforum DarkMarket schuldig maakten aan identiteitsdiefstal. Onder de schuilnaam Master Splyntr – geïnspireerd op de Teenage Mutant Ninja Turtles – slaagde Mularski erin DarkMarket-beheerder te worden, waarmee hij zich in het middelpunt plaatste van een ontluikende criminele onlinecommunity. In die hoedanigheid chatte hij zelfs met Slavik en besprak hij een vroege versie van de Zeus-malware. Dankzij zijn toegang tot DarkMarket werden uiteindelijk zestig mensen op drie continenten gearresteerd.
De directeur van de FBI-vestiging in Pittsburgh besloot agressief in te zetten op de bestrijding van cybercrime. In 2014 fungeerden agenten uit Mularski’s team als aanklagers in enkele grote zaken. Twee van hen, Elliott Peterson en Steven J. Lampo, zaten de hackers achter GameOver Zeus op de hielen, terwijl hun collega’s werkten aan een zaak tegen vijf Chinese hackers die hadden ingebroken in computersystemen van Amerikaanse bedrijven.
De FBI zat al een jaar op de GameOver-zaak toen Werner en Stone-Gross aanboden om met het Pittsburghse team samen te werken aan de ontmanteling van Slaviks botnet. Samenwerking tussen overheid en industrie was toen nog nieuw. Tot dusver nam de overheid aanwijzingen vanuit het bedrijfsleven over zonder zelf informatie te delen. Maar het Pittsburghse team geloofde juist in samenwerking en wist dat Werner en Stone-Gross de besten in hun vak waren. ‘We grepen de kans met beide handen aan,’ aldus Mularski.
Beide partijen realiseerden zich dat ze, om het botnet neer te halen, tegelijk op drie fronten moesten werken. Ten eerste moesten ze er definitief achter zien te komen wie GameOver beheerde en een dossier voor gerechtelijke vervolging opbouwen; ook al waren er miljoenen dollars gestolen, de FBI noch de beveiligingsindustrie had ook maar één naam van een lid van de Business Club. Ten tweede moesten ze de digitale infrastructuur van GameOver zelf platleggen; daar kwamen Werner en Stone-Gross om de hoek kijken. Ten derde moesten ze de fysieke infrastructuur van het botnet uitschakelen door met dwangbevelen en hulp van buitenlandse overheden de servers in handen te krijgen. Was dat eenmaal gebeurd, dan moesten ze partners in de private sector zoeken om met software-updates en beveiligingspatches de geïnfecteerde computers op te schonen zodra het botnet was overgenomen.
Mularski’s team bracht een voor de Amerikaanse overheid ongekende samenwerking tot stand tussen de Britse National Crime Agency, overheidsfunctionarissen uit Zwitserland, Nederland, Oekraïne, Luxemburg en nog een stuk of tien andere landen plus experts van Microsoft, CrowdStrike, McAfee, Dell SecureWorks en andere bedrijven.
Op één foto poseerde Bogatsjev in een pyjama met luipaardprint, met een zonnebril op en in zijn armen een grote kat. Het onderzoeksteam besefte dat hij al op z’n tweeëntwintigste de eerste versie van Zeus had geschreven
Om Slaviks identiteit te achterhalen en informatie over de Business Club te verzamelen werkte de FBI samen met Fox-IT, het Nederlandse bedrijf dat vermaard was om zijn deskundigheid op het gebied van forensisch onderzoek binnen de cyberwereld. De Nederlanders trokken oude gebruikersnamen en e-mailadressen van de kring rond Slavik na om een idee te krijgen van de manier waarop de groep opereerde.
De Business Club bleek een los samenwerkingsverband van ongeveer vijftig criminelen, die ieder een soort entreegeld hadden betaald om achter de knoppen van GameOver te mogen plaatsnemen. Het netwerk werd beheerd via twee met wachtwoorden afgeschermde Britse websites, Visitcoastweekend.com en Work.businessclub.so. Toen rechercheurs toestemming kregen om een kijkje te nemen op de server van de Business Club, troffen ze een uiterst gedetailleerd logboek aan met alle fraudeoperaties van dat moment. ‘De professionaliteit spatte ervan af,’ volgens Michael Sandee. ‘Ze wisten beter dan de banken zelf wanneer er transacties tussen financiële instellingen plaatsvonden.’
Na maandenlang elke aanwijzing te hebben nagetrokken, kregen de medewerkers van Fox-IT op een dag een tip binnen over een e-mailadres dat mogelijk interessant was. Ze kregen dat soort tips wel vaker, ‘broodkruimels’ volgens Mularski. Maar deze leidde naar iets belangrijks: het team wist het adres te herleiden tot een Britse server die Slavik gebruikte om de sites van de Business Club te beheren. Nog meer speurwerk en huiszoekingsbevelen leidden de autoriteiten uiteindelijk naar Russische socialmediasites, waar het adres werd gelinkt aan een naam: Jevgeni Michailovitsj Bogatsjev. Die zei de onderzoekers in eerste instantie niets. Er waren nog weken onderzoek voor nodig eer bleek dat het de naam was van de maker van Zeus en de oprichter van de Business Club.
Slavik bleek een man van dertig die in Anapa woonde, een Russische badplaats aan de Zwarte Zee. Op foto’s genoot hij van een boottochtje met zijn vrouw. Het stel had een dochtertje. Op één foto poseerde Bogatsjev in een pyjama met luipaardprint, met een zonnebril op en in zijn armen een grote kat. Het onderzoeksteam besefte dat hij al op z’n tweeëntwintigste de eerste versie van Zeus had geschreven.
Maar de meest verbijsterende onthulling was dat iemand aan het roer van GameOver soms tienduizenden geïnfecteerde computers niet alleen had doorzocht op e-mailadressen van Georgische medewerkers van inlichtingendiensten en leiders van elite-eenheden van de Turkse politie, maar ook op geheime Oekraïense documenten. Wie het ook was, hij zocht naar geheime informatie over het conflict in Syrië en Russische wapenleveranties. Op een gegeven moment viel het kwartje. ‘Het waren spionageopdrachten,’ volgens Sandee.
GameOver was niet louter geavanceerde criminele malware, maar een verfijnde tool om inlichtingen te verzamelen. Voorzover de onderzoekers konden vaststellen was Bogatsjev de enige die van die functie van zijn botnet wist. Hij bleek onder de neus van ’s werelds succesvolste bankrovers een dekmanteloperatie te runnen. De FBI en het team van Fox-IT konden geen bewijs vinden van een verband tussen Bogatsjev en de Russische overheid, maar iets of iemand leek Slavik specifieke zoekopdrachten te verstrekken voor zijn gigantische zombiecomputernetwerk. Bogatsjev bleek van nut voor Russische inlichtingenoperaties.
In maart 2014 keken onderzoekers toe hoe een internationale crisis mede werd uitgevochten in de sneeuwbol van Bogatsjevs criminele botnet. Enkele weken na de Olympische Winterspelen in Sotsji vielen Russische troepen de Krim binnen en probeerden ze het oostelijke grensgebied van Oekraïne te destabiliseren. In aansluiting op de Russische campagne gebruikte Bogatsjev een deel van zijn botnet om politiek gevoelige informatie op geïnfecteerde Oekraïense computers te zoeken die de Russen kon helpen hun vijand te slim af te zijn.
Met pensioen
Het team liet een voorlopige theorie en ontstaansgeschiedenis op het ontstaan van Bogatsjev’s spionageactiviteiten los. Blijkbaar verklaarde een band met de overheid waarom Bogatsjev wegkwam met zoiets misdadigs, maar die wierp ook nieuw licht op een paar mijlpalen in het bestaan van Zeus. Het systeem dat Slavik gebruikte voor zijn inlichtingenqueries dateerde ongeveer van het moment in 2010 waarop hij deed alsof hij ‘met pensioen’ ging en de toegang tot zijn malware exclusief maakte.
Mogelijk was Slavik ergens in dat jaar op de radar van de Russische geheime diensten verschenen en stelde de staat bepaalde eisen in ruil voor toestemming om zonder rechtsvervolging fraude te mogen plegen – uiteraard buiten Rusland. Om daar efficiënt en in het diepste geheim aan te kunnen voldoen, haalde Bogatsjev de teugels rond zijn criminele netwerk aan.
De ontdekking dat Bogatsjev waarschijnlijk banden met inlichtingendiensten onderhield maakte de operatie om GameOver uit te schakelen riskant, vooral als het ging om samenwerking met Rusland. Verder verliep alles voorlopig volgens plan. Nu de rechercheurs Bogatsjevs identiteit kenden kon hij eindelijk als brein achter GameOver Zeus worden aangeklaagd. Amerikaanse openbare aanklagers haastten zich om gerechtelijke bevelen uit te vaardigen met als doel het netwerk over te nemen. Negen van de vijfenvijftig medewerkers van het Amerikaanse openbaar ministerie in Pittsburgh zaten op de zaak. Het team vroeg internetproviders de proxyservers van GameOver over te mogen nemen zodat ze die op het juiste moment konden ‘omzetten’ om Slavik het beheer afhandig te maken. Intussen stonden het Amerikaanse ministerie van Binnenlandse Veiligheid, de Carnegie Mellon University en enkele antivirusbedrijven klaar om klanten te helpen de macht over hun geïnfecteerde computers terug te geven.
Aan het einde van de lente van 2014, terwijl pro-Russische troepen in Oekraïne vochten, stonden de troepen onder leiding van de Amerikanen klaar om GameOver over te nemen. Ze troffen al een jaar voorbereidingen. ‘Tegen die tijd kenden de onderzoekers de malware beter dan Slavik,’ zegt Elliott Peterson, een van de FBI-agenten die de operatie leidden. Mularski liep met het team alles nog eens door: ‘We zijn er juridisch, praktisch en technisch toe in staat.’ Enkele tientallen medewerkers, die communiceerden via ruim zeventig internetproviders, en nog eens tien handhavende instanties – van Canada en het Verenigd Koninkrijk tot Japan en Italië – zetten zich schrap om de aanval op vrijdag 30 mei in te zetten. Het Witte Huis was over het plan ingelicht en wachtte de resultaten af.
De week voorafgaand aan de aanval was het een en al chaos. De code die Werner had geschreven bleek nog niet klaar en de laatste gerechtelijke bevelen waren nog niet binnen. En het dreigde ook nog eens bijna mis te gaan.
Het team wist al maanden dat het GameOver-botnet werd beheerd via een server in Canada. Maar enkele dagen voor de aanval kwam het erachter dat er een tweede server in Oekraïne stond. De schrik sloeg iedereen om het hart. ‘Als je niet eens weet dat er een tweede server is,’ zegt Werner, ‘hoe weet je dan of er niet ook een derde is?’
Op donderdag sprak Stone-Gross zorgvuldig de tijdens de aanval te volgen procedure met alle internetproviders door. Op het laatste moment haakte er een af, bang dat hij zich de woede van Slavik op de hals zou halen. Vervolgens kwamen Werner en Stone-Gross erachter dat een van de partners, McAfee, per ongeluk een blogbericht over de aanval had gepost.
Nadat het bericht was verwijderd kon de aanval beginnen. Canadese en Oekraïense autoriteiten legden de command servers van GameOver een voor een plat. Werner en Stone-Gross leidden de zombiecomputers intussen om naar de uitgekiende sinkhole, waarmee ze de toegang van de Business Club tot zijn systemen blokkeerden. Urenlang leek de aanval geen effect te hebben; de onderzoekers speurden intensief naar bugs in hun code.
“Het was een cyberversie van een man-tegen-mangevecht,” volgens de Pittsburghse aanklager David Hickton. “Fantastisch om naar te kijken”
Rond enen had de sinkhole nog maar ongeveer honderd computers aangesproken, een minuscuul percentage van het botnet, dat was uitgegroeid tot minstens een half miljoen computers. Een hele stoet medewerkers keek in een vergaderzaal mee over de schouders van Werner en Stone-Gross terwijl ze hun code bugvrij maakten. ‘We willen jullie niet onder druk zetten, hoor,’ drong Mularski op een gegeven moment aan, ‘maar het zou wel fijn zijn als jullie de boel aan de praat kregen.’
Eindelijk begon het dataverkeer naar de sinkhole te lopen. Aan de andere kant van de wereld kwam Bogatsjev online. De aanval verstoorde zijn weekend. Misschien was hij eerst niet erg onder de indruk omdat hij eerdere aanvallen eenvoudig had afgeslagen. ‘Hij keek de kat uit de boom, want wist niet wat we hadden gedaan,’ herinnert Peterson zich. Maar toen gordde Bogatsjev zich opnieuw aan voor de strijd om het beheer over zijn netwerk te behouden. Hij testte het, leidde verkeer om naar nieuwe servers en probeerde de strategie van het team te ontrafelen. ‘Het was een cyberversie van een man-tegen-mangevecht,’ volgens de Pittsburghse aanklager David Hickton. ‘Fantastisch om naar te kijken.’
Het team kon de communicatie van Bogatsjev zien zonder dat hij het wist en schakelde zijn Turkse proxyserver uit. Vervolgens zagen ze dat hij via het anonieme Tornetwerk opnieuw online probeerde te komen in een wanhopige poging de schade te beperken. Ten slotte, nadat hij urenlang het ene na het andere gevecht had verloren, zweeg Slavik. De aanval werd hem te veel. ‘Hij moet hebben beseft dat justitie erachter zat en het niet zomaar een aanval van experts was,’ zegt Stone-Gross.
Het team in Pittsburgh haalde de hele nacht door. Zondagavond, bijna zestig uur later, wist het dat het had gewonnen. Op maandag 2 juni maakten de FBI en het ministerie van Justitie bekend dat het botnet was uitgeschakeld en dat tegen Bogatsjev een aanklacht op veertien punten was ingediend.
In de weken daarna namen Slavik en het team nog een paar keer de wapens op – Slavik voerde een tegenaanval uit toen Werner en Stone-Gross een presentatie hielden op een conferentie in Montreal – maar uiteindelijk won het team. Twee jaar later duurt het succes nog steeds voort: het botnet is niet opnieuw opgebouwd, hoewel wereldwijd nog zo’n vijfduizend computers met Zeusmalware zijn besmet. De sinkholeserver slokt al hun dataverkeer op.
Nasleep
Ongeveer een jaar na de aanval is zogeheten account-takeover-fraude nog steeds aan de orde van de dag. Onderzoekers en rechercheurs gingen er al langer vanuit dat tientallen bendes verantwoordelijk zijn voor grootschalige cybercrime tussen 2012 en 2014. Bijna alle diefstallen waren echter gepleegd door de Business Club. ‘Toen ik met dit werk begon zaten ze overal,’ zegt Peterson, ‘maar het is maar een klein netwerk, dat gemakkelijker is uit te schakelen dan je zou denken.’
In 2015 zette het Amerikaanse ministerie van Buitenlandse Zaken een premie van 3 miljoen dollar op het hoofd van Bogatsjev, de hoogste van de VS voor een cybercrimineel ooit. Hij is nog steeds op vrije voeten. Volgens bronnen bij Amerikaanse inlichtingendiensten gelooft de overheid helemaal niet dat Bogatsjev heeft deelgenomen aan de Russische campagne om de Amerikaanse verkiezingen te manipuleren. De regering-Obama zou hem onderdeel van de sancties hebben gemaakt om druk op de Russische overheid uit te oefenen. Ze hoopte dat de Russen Bogatsjev wilden overdragen als teken van goede wil, want het botnet waarmee hij succes had bestaat niet meer. Of misschien was de bijbedoeling dat iemand die 3 miljoen zou willen cashen door de FBI te tippen.
Maar de ongemakkelijke waarheid is dat Bogatsjev en andere Russische cybercriminelen ver buiten het bereik van Amerika liggen. De grote vragen in verband met de GameOver-zaak – Wat is de precieze relatie tussen Russische inlichtingendiensten en Bogatsjev? Klopt het dat hij zo’n 100 miljoen dollar heeft buitgemaakt? – werpen hun schaduw vooruit op de uitdagingen die de onderzoekers van de verkiezingsfraude staan te wachten.
Ook Mularski’s team en de cybersecurity-industrie staan nieuwe uitdagingen te wachten. De tactieken waar Bogatsjev in pionierde zijn gemeengoed geworden. Ransomware verspreidt zich steeds sneller. De botnets van nu – zoals Mirai, een netwerk van besmette Internet-of-Things-apparaten – zijn nog gevaarlijker dan de zijne.
Geen mens weet intussen wat Bogatsjev bekokstooft. In Pittsburgh komen regelmatig tips binnen over zijn vermeende verblijfplaats. Niets wijst erop dat hij weer actief is. Nog niet.
Wired bericht in print en online over de verbanden tussen technologische ontwikkelingen en cultuur, politiek en economie. Absolute referentie voor internationale technologie. Spraakmakende covers, ongeëvenaarde inhoud.
Deze website gebruikt cookies. Door de site te gebruiken gaan we er vanuit dat je ze accepteert. OK
Manage consent
Over onze cookies
Deze website gebruiks cookies die de gebruikservaring verbeteren. De cookies die we als noodzakelijk categoriseren worden opgeslagen door je browser en zijn essentiëel voor een goede werking van de basisfuncties van deze website. We gebruiken ook third-party cookies die ons helpen te analyseren hoe deze website gebruikt wordt. Deze cookies kunnen ook voor marketingdoeleinden worden gebruikt. Ze worden alleen door je browser opgeslagen als je daar toestemming voor geeft.
Onze noodzakelijke cookies zijn essentiëel voor het goed functioneren van deze website. De basisfuncties en beveiliging van deze website zijn hiervan afhankelijk. Deze cookies slaan geen persoonlijke informatie op.
