De legendarische hacker Joe Grand staat in de cyberwereld bekend als Kingpin. Hij heeft een nieuwe uitdaging in zijn leven gevonden: geld terugwinnen dat verloren is gegaan door menselijke onzorgvuldigheid.
‘Ik ben het wachtwoord vergeten,’ vertelde zijn vriend aan Dan Reich, een elektrotechnisch ingenieur en oprichter van een start-up in New York. Het ging om het wachtwoord voor een digitale portemonnee met daarin Theta, een cryptocurrency. Het tweetal had in 2018 voor 50.000 dollar aan Theta gekocht. De digitale munt was nooit meer dan een paar cent waard geweest, maar begon tegen het eind van 2020 te stijgen. Binnen drie maanden was hun 50.000 dollar zo’n 2,5 miljoen dollar waard. De vriend van Reich die het wachtwoord vergeten was, is professioneel pokerspeler. Het is zijn werk om dingen te onthouden: ‘Hij had nummerborden van middelbare-schoolvrienden onthouden. Voor zijn levensonderhoud pokert hij aan acht tafels tegelijk en onthoudt hij het spel van tientallen verschillende spelers,’ schreef Reich in een artikel op zijn website.
Er was nog een probleem. De digitale portemonnee, een soort USB-stick, zou zichzelf na zestien mislukte pogingen wissen. En ze hadden er al twaalf gehad. Als ervaren elektrotechnicus wist Reich dat er een andere oplossing moest zijn. ‘De chats met onze vrienden werden steeds krankzinniger’, schreef hij. ‘Zoals dat als we geen technische manier zouden vinden om bij het geld te komen, we het op chemische wijze zouden moeten proberen: we zouden een weekend weggaan en hem hallucinogenen toedienen totdat hij zich het wachtwoord herinnerde.’ Het was ernstig.
Kingpin
Uiteindelijk, nadat hij eerst nog was gestuit op een mysterieuze, geheime Zwitserse groep met een lab in Parijs, die hij echter niet overtuigend vond, kwam hij Joe Grand tegen. Grand is in de wereld van hackers bekend als Kingpin. Hij was het jongste lid van de legendarische groep L0pht, een zevental dat in 1998 met nerdy kapsels en pakken en uitgestreken gezichten in de Amerikaanse Senaat verscheen om vragen van senatoren te beantwoorden: ‘Ik heb begrepen dat jullie in dertig minuten het internet in het hele land onklaar kunnen maken?‘ ‘Dat klopt’, was het antwoord. Grand geeft nu lessen en cursussen over de hele wereld. Maar, zegt hij in een videogesprek met El País vanuit zijn werkplek in Portland, Oregon, ‘diep vanbinnen ben ik nog steeds de zestienjarige hacker die het leuk vindt om mensen te ergeren’.
In februari 2021 vertelde Dan Reich Grand over zijn probleem. Het was tijdens de pandemie en Grand had tijd om na te denken over een oplossing. Grand is een hardware hacker, een speciale categorie in het wereldje. De aanval om bij de informatie in de digitale portemonnee te kunnen komen moest plaatsvinden op het niveau van de chip zelf, en betrof niet alleen de code. Bij crypto is je geld alleen toegankelijk met jouw persoonlijke sleutel, die in de portemonnee wordt bewaard. Zonder die sleutel, die in het geval van Reich ook nog eens was beveiligd met een wachtwoord van enkele cijfers, valt er niets te doen.
Beiden gingen ermee akkoord om een professionele video van het hele proces op te nemen. De opname werd gemaakt in mei 2021, maar de video werd pas op 24 januari dit jaar geüpload naar YouTube. Binnen drie weken had hij het ongelofelijke aantal van 4 miljoen views bereikt; inmiddels zijn het er 4,6 miljoen. De video van 32 minuten slaagt er op fraaie wijze in de complexiteit van het technische proces en de oplossingen die Grand aandraagt uit te leggen. ‘Hacken is niet wat je in speelfilms ziet,’ zegt Grand in de video. ‘Het is een enorme achtbaan, het betekent puzzels oplossen en computers en hardware dwingen dingen te doen die ze niet verwachten. Je wilt dat ze hun functie prijsgeven op een manier die jij kunt controleren.’
‘Het laat zien dat mensen problemen hebben met cryptocurrencies. Ze zijn niet echt gebruiksvriendelijk’
Inmiddels zijn Reich en Grand met nog enkele anderen partners in een nieuw bedrijf dat in de eerste plaats cryptobezitters wil bijstaan die de toegang tot hun portemonnee zijn kwijtgeraakt.
Grand weet niet goed hoe hij het ongelooflijke succes moet verklaren van de video, die ook leidde tot een geschreven versie in The Verge. ‘Wat het ook is, het laat zien dat mensen problemen hebben met cryptocurrencies. Ze zijn niet echt gebruiksvriendelijk‘, zegt hij. ’We worden overspoeld met e-mails, echt honderden en nog eens honderden berichten,’ voegt hij eraan toe. Sommige komen uit Spanje en Latijns-Amerika.
Niet alle problemen gaan over ontoegankelijke digitale portemonnees en verloren cryptomunten. Er zijn ook mensen die werden opgelicht en om die reden hulp zoeken; anderen hebben een versleuteld apparaat en weten niet meer hoe ze toegang kunnen krijgen. ‘En daarnaast zijn er ook mooie, legitieme probleemgevallen waarmee we kunnen helpen. Het is opwindend om de respons te zien,’ zegt hij. Het ontsluiten van digitale portemonnees is ook interessant omdat zijn honorarium een percentage bedraagt van het hervonden geld.
Weggegooide harde schijf
Overigens gaat het om veel meer gevallen dan we ons misschien voorstellen: volgens een vaak aangehaald onderzoek van Chainanalysis heeft 20 procent van de bitcoins die in omloop zijn, geen eigenaar. Dat gaat dus om vele miljarden euro’s. Sinds vorig jaar is Grand betrokken bij een veelbesproken geval van cryptoverlies. James Howells gooide per ongeluk een harde schijf weg met daarop zijn wachtwoorden, in plaats van een identieke waar ze niet op stonden. Zijn geval heeft veel aandacht gehad. BBC publiceerde een artikel met daarin een van de meest evidente zinnen in de geschiedenis van de journalistiek: ‘Howells wilde dat hij zijn harde schijf nooit had weggegooid.’ Het is dan ook niet al te moeilijk om je in te leven in iemand die in een stadje in Wales woont en meer dan 200 miljoen euro had kunnen bezitten, maar die is kwijtgeraakt.
Het probleem is volgens Grand in dit geval niet technisch van aard, maar ligt bij de gemeente. Om die harde schijf op te sporen is toestemming nodig om de vuilstort te doorzoeken. ‘Hij probeert zich er al bijna tien jaar bij neer te leggen’, zegt Grand over zijn gesprekken met Howells. ‘Maar ik ben hoopvol. Ik denk dat het met de juiste stappen en de juiste mensen gaat lukken. Het is een aansprekend verhaal omdat hij een harde schijf weggooide, wat niemand iets kan schelen. Het gaat erom hoe de gemeenschap hiervan kan profiteren,’ legt hij uit. Howells heeft 25 procent van de waarde aan zijn gemeente beloofd als de harde schijf wordt teruggevonden.
Niet iedereen die denkt miljoenen te bezitten, heeft die ook werkelijk
Naast het bedrijf van Grand zijn er meer die een gat in de markt zien voor het opsporen van portemonnees met miljoenen aan verloren cryptovaluta. Er zijn ook andere problemen waar de sector op stuit. Bijvoorbeeld dat niet iedereen die denkt miljoenen te bezitten, die ook werkelijk heeft. ‘Ik spreek mensen in deze business die zeggen steeds weer teleurgesteld te worden. Soms zeggen ze je dat ze geld hebben en dan vind je 2 dollar. Veel mensen overdrijven,’ aldus Grand.
Zijn nieuwe onderneming is meer dan alleen een technische uitdaging. Tijdens de lockdowns stelde Grand zichzelf andere, grotere vragen dan wanneer hij voor computeruitdagingen staat. ‘Ik kreeg een burn-out. Ik had geen zin meer in techniek, zelfs niet in hacken. Ik had als een gek gereisd en stressvolle achttienurige werkdagen gemaakt om producten te ontwerpen,’ zegt hij. Dat ging om entreepassen voor de beroemde Def Con-hackerconferenties; technische kunstwerken met gebruikmaking van hoogstandjes op het gebied van elektronica, hardware, codering en cryptografie. De opdracht leverde prestige op binnen het vakgebied, maar de vereiste inspanning was slopend.
‘Ik vroeg me uiteindelijk af wat mijn leven inhoudt en waar om mensen zich mij zullen herinneren. Iedereen heeft wel iets gedaan dat misschien memorabel is zonder dat er uiteindelijk iemand naar omkijkt, want je verandert toch in een voetnoot. Dus ik accepteerde mijn sterfelijkheid, denk ik. Ik kwam tot de conclusie dat ik gewoon moet doen waar ik van houd,’ zegt hij. En het hacken van cryptoportemonnees kwam precies op het juiste moment.
Trezor
Met de rust van de lockdowns had hij drie maanden om uit te dokteren hoe hij Dan Reichs cryptoportemonnee te lijf kon gaan. Het merk was Trezor, misschien wel het meest populaire merk. De software was verouderd en daarvan kon Grand profiteren. Maar ook met andere uitdagingen had hij niet veel moeite. ‘Alles is te hacken, alles,’ zegt hij. Hoewel de oude versie van de software van Trezor de aanval makkelijker maakte, beschikt Grand inmiddels ook over manieren om toegang te krijgen tot nieuwere versies, die hij momenteel nog even voor zich houdt.
Trezor was niet erg blij het onderwerp te zijn van een op video vastgelegde aanval die door miljoenen mensen werd bekeken. Het bedrijf haastte zich te zeggen dat een soortgelijke aanval door allerlei aanpassingen inmiddels niet meer zou werken. Grand begrijpt dat. ‘Als zoiets naar buiten komt, is dat natuurlijk niet leuk. Ik voel me er dan ook niet zo goed over en zou ze graag helpen,’ zegt hij. Maar hij heeft belangrijkere doelen: ‘Mijn doel is om mensen aan het denken te zetten en dingen te tonen die ze nog niet eerder hebben gezien. Ik wil de boel een beetje door elkaar schudden en daarmee de druk opvoeren om producten te verbeteren en het bewustzijn te vergroten. Hacker zijn betekent ook een mogelijk controversiële kant laten zien, die mensen niet altijd leuk vinden. Mensen zien hacken als magie, maar dat is het niet,’ voegt hij eraan toe.
Grand ontwierp bijvoorbeeld een kaartje om parkeermeters mee voor de gek te houden en een apparaatje om garagedeuren mee te openen: met elke klik veranderde het de code, zodat de deur uiteindelijk openging. ‘Ik zweer dat ik er nooit iets slechts mee heb gedaan‘, zegt hij.
Zijn mobiele telefoon gebruikt hij alleen voor bellen en navigatie, niet voor sociale media of e-mail
‘Ik ben een hacker die eerlijke kansen biedt. Ik ben aan niets en niemand verbonden en ik bevraag en wantrouw alles,’ voegt hij eraan toe. Om die reden is hij een ‘technologisch minimalist’: technologie is zijn leven, maar omdat hij de risico’s kent, gebruikt hij alleen wat strikt noodzakelijk is. Zijn mobiele telefoon gebruikt hij alleen voor bellen en navigatie, niet voor sociale media of e-mail.
‘Ik maak mijn afwegingen’, zegt hij. ‘Ik weet dat ik als ik een smartphone gebruik kan worden gevolgd via mijn telefoon. Dat is een grens. Ik ben me bewust van wat technologie is en wat bedrijven die jou technologie bieden met jouw gegevens doen,‘ voegt hij eraan toe.
‘Ik heb geen Amazon Echo of Alexa. Ze zeggen dat die alleen luisteren wanneer je bijvoorbeeld “Hé Alexa” zegt, maar ik weet dat dat niet waar is. Die dingen moeten namelijk luisteren om te horen wanneer je “Hé, Alexa” zegt,‘ redeneert hij. Hij voegt eraan toe: ‘Ik gebruik alleen wat ik nodig heb. Ik zal dergelijke dingen niet in huis halen, tenzij ze een specifiek doel dienen.’
Met zijn nieuwe project hoopt hij dat mensen de positieve kant van de hackerswereld zullen inzien: ‘Mensen vinden het fijn als er hackers zijn die goede dingen doen.’
‘’s Werelds meest gezochte hacker’ Kevin Mitnick is na vijf jaar in de gevangenis nu een white hat en houdt zich aan de wet. Hij adviseert tegenwoordig bedrijven – en ons – over veiligheid online.
Keuze uit het archief
Kevin Mitnick overleed op 16 juli aan de gevolgen van alvleesklierkanker. ‘’s Werelds meest gezochte hacker’, zoals The Wall Street Journal hem noemde, werd slechts negenenvijftig jaar. De Amerikaanse krant sprak Mitnick vier jaar geleden over zijn leven als over zijn oude leven als cybercrimineel en zijn nieuwe start als adviseur onlineveiligheid voor bedrijven.
U bent waarschijnlijk wel zo verstandig om een usb-stick van onbekende herkomst niet zomaar in uw computer te stoppen. Wie weet wat voor schadelijke software daarop staat. Maar bent u ook zo voorzichtig met een usb-kabeltje? Dat zou wel moeten.
Kevin Mitnick geeft me een oplaadkabel voor de iPhone. Als een volleerd goochelaar vraagt hij me eerst om er goed naar te kijken. Niets verdachts aan te zien. Hij stopt hem in de usb-poort van een laptop. Dan pakt hij een andere computer en ineens kan hij daarmee die laptop bedienen, inclusief de webcam. Anders dan een goochelaar laat hij ook zien hoe hij dat geflikt heeft. De usb-stekker van het kabeltje bevat een piepklein stukje extra hardware. Via bluetooth kan hij daarmee toetsaanslagen maken op de ‘gekaapte’ computer, waarop hij malware van internet heeft gedownload en geïnstalleerd.
White hat
Mitnick (56) noemt zichzelf ‘de beroemdste hacker ter wereld’. Toen hij na een twee jaar durende onlineklopjacht in februari 1995 werd opgepakt door de FBI, noemde die hem ’s werelds ‘meest gezochte hacker’. Het leverde hem een fikse gevangenisstraf op (niet zijn eerste), maar tegenwoordig is hij een zogenaamde white hat: een hacker die zich aan de wet houdt. Na vijf jaar in de cel heeft hij die witte hoed opgezet en adviseert hij nu bedrijven – en ons – over onze onlineveiligheid.
Tijdens ons etentje in het Trump International Hotel vertelt Mitnick over zijn beslissing om na zijn vrijlating in 2000 zijn expertise in te zetten om ‘mensen en bedrijven te helpen zich beter te beschermen’. Twee maanden na zijn vrijlating werd hij door een Senaatscommissie gevraagd om te komen vertellen over computerveiligheid. Hij had toestemming van de reclassering nodig om naar Washington te gaan. Hij zegt dat hij de wetgevers aanspoorde om ‘prioriteit te geven aan bewustwording van de gevaren bij burgers en overheden’. Hij haalt zijn schouders op: ‘Ik heb ze toen proberen te waarschuwen, negentien jaar geleden, maar ze hebben er niks mee gedaan.’
Tegenwoordig is computercriminaliteit, en de angst daarvoor, voortdurend in het nieuws. ‘De hackers hebben een voorsprong en de beveiligingsmensen hollen erachteraan,’ zegt Mitnick. Een week na ons etentje in juli maakt Capital One Financial Corporation bekend dat een cybercrimineel toegang heeft gehad tot de privégegevens van 106 miljoen mensen die bij de bank een creditcard hebben aangevraagd. In een telefoongesprek noemt Mitnick dat datalek ‘een les voor grote bedrijven, en ook voor kleine, dat je goed moet kijken naar de gevaren die er zijn’.
Een ander incident dat dit voorjaar veel publiciteit kreeg, was een computeraanval die de systemen van de gemeente Baltimore wekenlang lamlegde. Dit jaar zijn al 22 gemeentes door zulke ransomwareaanvallen getroffen, zegt de Amerikaanse vereniging van gemeenten, die in juli een resolutie heeft aangenomen om in zulke gevallen nooit losgeld te betalen. Mitnick vindt dat dom. ‘Die burgemeesters denken alleen maar in de trant van “dat kun je niet maken, dan financier je criminaliteit” of “misdaad mag nooit lonen”. Maar wat kan het mij als ondernemer nou schelen of de misdaad loont of niet. Ik wil gewoon mijn data terug, zodat mijn onderneming weer kan draaien.’
Volgens hem kunnen slachtoffers zich beter afvragen: ‘Is de “vergoeding” die ze eisen veel lager dan wat het me anders zou kosten om mijn data terug te krijgen?’ In Baltimore was het antwoord ja: het gevraagde losgeld bedroeg 13 bitcoins, zo’n 76.000 dollar. De hack schijnt de gemeente minstens 18 miljoen dollar te hebben gekost aan verloren inkomsten en herstelkosten.
En hoe zit het met het hacken van verkiezingen? ‘Alles valt te hacken als je tegenstander beschikt over een oneindige hoeveelheid tijd, geld, middelen en geduld,’ zegt Mitnick. En landen beschikken over alle vier. Hij heeft als onderaannemer geholpen de Ecuadoraanse presidentsverkiezingen van 2013 te beschermen tegen hackers die via internet probeerden in te breken bij het tellen van de stemmen. ‘Er zijn absoluut aanvallen gepleegd,’ zegt hij, ‘maar ze kwamen er niet in.’
Hij sluit niet uit dat hackers met stemmachines kunnen rommelen, al is dat volgens hem technisch heel lastig. Je moet jezelf dan bijvoorbeeld in de buurt van het gehackte apparaat bevinden, wat de pakkans enorm vergroot. De makkelijkste manier om verkiezingen te beïnvloeden is volgens hem de simpelste, zoals de truc die de Russen in 2016 zouden hebben gebruikt bij Hillary Clintons campagneleider John Podesta: een phishing mailtje met de mededeling dat hij zijn Google-wachtwoord moest veranderen. Zo konden de hackers in zijn Gmail inbreken en mails publiceren die het campagneteam in verlegenheid brachten.
Mitnicks eigen weg naar een plekje op de federale ‘Wanted’-posters begon heel onschuldig. Hij is geboren en getogen in Los Angeles. ‘Als kind was ik al gefascineerd door goochelaars,’ zegt hij. Goocheltrucs groeiden al snel uit tot practical jokes. Toen hij eenmaal wist hoe je radiosignalen kunt verzenden, gebruikte hij die kennis om via de intercom van een McDrive-restaurant puberale dingen naar de klanten te roepen. Lachend vertelt hij dat hij vooral graag paniekerig ‘Verstop de cocaïne!’ riep als er toevallig een politieauto stopte.
Op de middelbare school werden zijn vergrijpen serieuzer. ‘Dan hackte ik het telefoonbedrijf om grappen uit te halen met vrienden en familie,’ zegt hij. Phreaking werd dat toen genoemd. Een geliefde truc was een hack waardoor de telefoon van vrienden ging functioneren als een betaaltelefoon. Als ze dan iemand probeerden te bellen, hoorden ze een stem die zei dat er eerst een kwartje in het apparaat moest.
In 1981 belandde Mitnick voor het eerst in de cel nadat hij in een gebouw van Pacific Telephone geprobeerd had handleidingen voor hun systemen achterover te drukken. Hij was zeventien en kreeg drie maanden jeugddetentie. Maar hij kon het hacken niet laten, zegt hij: ‘Het was een obsessie, een verslaving.’In 1989 werd hij door de federale rechter veroordeeld voor het hacken van Digital Equipment Corporation met de bedoeling de broncode van een besturingssysteem te stelen. Hij moest bijna een jaar zitten.
Daarna begon hij telefoonbedrijven te hacken om erachter te komen hoe de nieuwste mobiele telefoons werkten – Motorola, Nokia en NEC behoorden tot zijn slachtoffers. Hij trok de aandacht van de FBI en dat wist hij, want hij hield stiekem ook hun telefoonactiviteit in de gaten. Hij sloeg op de vlucht. Nadat hij 26 maanden had geleefd onder verschillende schuilnamen, waaronder Eric Weiss, de echte naam van Harry Houdini, werd hij op een nacht van zijn bed gelicht in Raleigh, in North Carolina. Met hand- en voetboeien en een ketting om zijn middel werd hij afgevoerd. Hij bekende schuld aan een hele reeks gevallen van telefoon- en computerfraude.
Criminelen bieden tegenwoordig ‘ransomware als dienst’ aan
Inmiddels heeft hij zijn eigen adviesbureau. Organisaties betalen hem nu om in hun systeem in te breken en kwetsbaarheden aan te wijzen die criminelen kunnen uitbuiten. Hij zegt dat hij nog nooit een systeem is tegengekomen waar hij niet binnen kon komen. Hij houdt jaarlijks ook tientallen lezingen op conferenties over computerbeveiliging en is Chief Hacking Officer – ja, dat is echt zijn officiële functie – van KnowBe4, een beveiligingsbedrijf dat zichzelf omschrijft als een ‘team van vrijdenkende techneuten’.
De misdaad heeft hij twintig jaar geleden afgezworen, maar hij ziet bovendien een verschil tussen zijn eigen misdrijven en die van de hackers van tegenwoordig. Voor hem was hacken ‘het oplossen van een puzzel’, zegt hij. Hij kwam daarmee wel in het bezit van creditcardgegevens en waardevolle broncodes, maar ‘het geld interesseerde me geen bal. Het ging mij om het avontuur en de jacht op kennis.’ De wederrechtelijk verkregen bedrijfsgeheimen noemt hij bij herhaling een ‘trofee’.
Hij is nostalgisch naar de tijd van de ‘oldskool hackers’ die zich hielden aan het ‘ethische voorschrift’ dat ‘je niet hackt om schade aan te richten of geld te verdienen’. Het is allemaal veranderd toen bedrijven op internet zaken begonnen te doen, zegt hij. ‘Ik denk dat het eerder zo is dat criminelen zich het hacken eigen hebben gemaakt om beter te kunnen stelen en frauderen. Ik denk niet dat hackers criminelen zijn geworden.’
En computercriminaliteit is ook makkelijker geworden. Je ‘hoeft er geen technisch expert voor te zijn’, zegt Mitnick. Criminelen bieden tegenwoordig ‘ransomware als dienst’ aan: een soort franchisemodel voor digitale afpersing. Schadelijke programma’s worden op het darkweb te koop of te huur aangeboden. De afnemer stuurt phishingmailtjes om slachtoffers te verleiden tot het aanklikken van een link waarmee software wordt geïnstalleerd die hun computer lamlegt. Dan wordt er losgeld geëist, en de opbrengst daarvan wordt door de uitbater van de malware gedeeld met de leverancier. Volgens Coveware, een cyberbeveiligingsbureau dat bedrijven helpt zich hiertegen te beschermen, was het gemiddelde bedrag dat in het eerste kwartaal van 2019 aan losgeld werd geëist bijna 13.000 dollar.
De daders kunnen dit vaak straffeloos doen, omdat ze vanuit een ander land opereren. Daarom zegt Mitnick ook: ‘Elk bedrijf moet de situatie in eigen hand nemen, de risico’s analyseren en mensen, processen en technologie inzetten om de kans op een infectie te verkleinen.’ En er moet een ‘incidentenplan klaarliggen om de data zo snel mogelijk te kunnen herstellen’ als een aanval toch succes heeft. Dat houdt onder meer in: ‘goede backups, op een locatie die niet verbonden is met het netwerk’.
Voor een goede preventie is training cruciaal. Als werknemers een paar voorbeelden van phishingmails hebben gezien ‘wordt hun blik een stuk kritischer’, zegt Mitnick. Maar ‘training alleen is niet genoeg’: alleen oefening baart weerbaarheid. Hij raadt bedrijven aan om hun werknemers zelf met phishingmails op de proef te stellen. Dat zoiets het moreel ondermijnt, wuift hij weg: de managers moeten vooraf goed uitleggen dat het bedoeld is om ‘de kracht van de “menselijke firewall” te verbeteren’. Elke medewerker die erin trapt, krijgt een trainingsfilmpje voorgeschoteld.
Social engineering
Volgens Mitnick zijn vooral het midden- en kleinbedrijf kwetsbaar voor aanvallen met ransomware: ‘Die hebben geen beveiligingsafdeling. Ze hebben alleen een ICT-mannetje dat ze op afroep bellen, en als ze die bellen is het meestal al te laat.’ Maar ook bedrijven met onbeperkte middelen voor de beveiliging van hun systemen blijven afhankelijk van de zwakste schakel: ‘het menselijke element’. Werknemers zijn kwetsbaar voor wat hackers ‘social engineering’ noemen: ‘Al heb je de beste technologie ter wereld,’ zegt Mitnick, ‘zolang ik iemand in je bedrijf kan bellen, mailen of op een andere manier kan benaderen, kan ik die technologie meestal omzeilen door die persoon te manipuleren.’ Hij spreekt uit ervaring.
In zijn jonge jaren was hij er heel bedreven in om bedrijven te bellen en argeloze ‘collega’s’ zover te krijgen dat ze hem allerlei wachtwoorden en andere bedrijfsgeheimen gaven waarmee hij in hun systemen kon inbreken.
Tegenwoordig lukt hem dat zelfs zonder op iemand in te praten. Ter demonstratie vraagt hij om mijn e-mailadres en dat van een aantal mensen die ik ken. Met enkele toetsaanslagen weet hij op zijn laptop een van mijn wachtwoorden te achterhalen. Ik schrik me rot. Hij wijst naar het wachtwoord van iemand anders, dat is ‘lawyer1’. Het is waarschijnlijk een oud wachtwoord, zegt hij, maar ook dat kan nuttig zijn. ‘Als ik zou proberen in te breken, zou ik nu eerst lawyer2, lawyer3, lawyer4, lawyer5 uitproberen.’ Je moet altijd een website totaal willekeurige lange wachtwoorden laten genereren, en die moet je opslaan in een passwordmanager die niet beveiligd is met een wachtwoord maar met een wachtwoordzin, die nooit geraden kan worden.
Ik ben zo onder de indruk van zijn kunsten dat ik de verleiding niet kan weerstaan om hem nog iets te vragen: zou hij in de computers van mijn oude rechtenfaculteit kunnen inbreken om mijn zeventje voor het vak bejaardenrecht te veranderen in de negen die ik eigenlijk verdiende? Hij moet lachen: ‘Dat soort vragen krijg ik altijd.’
Russische spionnen – bruut, kil, verleidelijk en gewetenloos – zijn geliefde personages in westerse speelfilms. Maar ze worden in snel tempo vervangen door technologie.
Tot de impertinenties die Russen al generaties lang moeten dulden, behoort het beeld dat in de westerse popcultuur van hen wordt geschetst. Als stiefmoeder van alle kwaad geldt nog altijd de ongekend lompe Rosa Klebb, die de Britse held James Bond wilde doden met een giftig mes in de punt van haar schoen. Ook de Black Widow uit de vroege Marvel Comics, een met hightechwapens uitgeruste femme fatale, is een Russische agente. Russinnen en Russen waren meestal bruut, kil en gewetenloos, en als ze eens een keer aardig waren, zoals de hulpvaardige kosmonaut Lev Andropov in Armageddon, dan hadden ze een bontmuts met oorkleppen op en waren ze dronken.
Momenteel komt de herinnering aan Rosa Klebb weer tot leven, en dat komt niet zozeer door de film als wel door de werkelijkheid. De van oorsprong Russische en later Britse agent Sergej Skripal is onlangs in Engeland het slachtoffer geworden van een gifaanslag, uitgevoerd met een in de Sovjet-Unie ontwikkelde chemische stof. Dat misdrijf zou net zo goed uit de Koude Oorlog kunnen dateren als het verhaal van de Vietnamees Trinh Xuan Thanh, die kort geleden midden in Berlijn werd ontvoerd – op bevel van de Socialistische Republiek Vietnam, zijn geboorteland. Communistische of autoritaire diensten, waartoe ook de Russische behoren, hebben even weinig genade met hun slachtoffers als respect voor rechtsstaten. Het Westen bekruipt dan ook een gevoel van onbehagen.
De ontmaskerde spionne Anna Chapman begon een succesvolle tweede carrière als televisiepresentatrice
Lange tijd waren Russische agenten verdwenen uit het bewustzijn van Europeanen en Amerikanen. Dat kwam door het einde van de Koude Oorlog en door het islamistische terrorisme. De personificatie van het kwaad was niet meer een bejaarde leider van het politbureau met zijn hand op de atoomknop, maar een prediker met opgestoken wijsvinger in een Afghaanse tent. De islamisten hadden beter dan de communisten door welke kracht er uitging van beelden: nooit eerder heeft de werkelijkheid de film zo overtroffen als op 11 september 2001, toen Al-Qaida de massamoord live op televisie bracht. De geheime diensten van Amerika bestreden het nieuwe gevaar met methoden waarvan het Westen eerder de Sovjet-Unie zou hebben verdacht – met ontvoeringen, martelingen en gevangenissen die boven recht en grondwet waren verheven.
De post-Sovjet-Russen waren ondertussen weliswaar niet gestopt met het bespioneren van het Westen, maar wekten geen al te groot onbehagen meer op. In 2010 werd bijvoorbeeld een spionagenet in de VS opgerold – tien Russinnen en Russen hadden zich jarenlang voorgedaan als brave burgers, maar in het geheim informatie doorgespeeld aan Moskou. Als ze in code met elkaar spraken, zeiden ze grappige dingen als: ‘Het is geweldig om een kerstman in mei te zijn.’ De Amerikanen reageerden eerder verbluft en geamuseerd dan gealarmeerd, en de ontmaskerde spionne Anna Chapman begon – ook dat paste goed bij die tijd – een succesvolle tweede carrière als televisiepresentatrice.
Scenarioschrijver Joseph Weisberg maakte van deze ware gebeurtenis een televisieserie over spionnen ‘onder ons’, over Philip en Elizabeth die aan de rand van Washington twee kinderen opvoeden en daarnaast – of beter gezegd als hoofdtaak – voor Moskou werken. Ze verleiden, folteren en moorden; op een keer snijden ze het lijk van een vrouw in stukken, zodat het in een koffer past. Weisberg ondervond maar één probleem met dit thema: de griezelfactor ontbrak, want niemand was meer bang voor de Russen. De schrijver loste dit op door vooral de spanningen binnen het agentengezin te belichten en de handeling terug te verplaatsen naar de jaren tachtig, toen de Amerikaanse president Ronald Reagan de Sovjet-Unie het ‘Rijk van het Kwaad’ noemde.
Als Weisberg zijn serie The Americans vandaag de dag had geschreven, dan zou hij de handeling met een gerust hart weer in het heden kunnen laten plaatsvinden, waarin dan misschien geen Koude Oorlog heerst, maar op zijn minst wel Koude Vrede. De Russische president Vladimir Poetin ziet zijn land belegerd door het Westen, vooral door de uitbreidingen van de NAVO. Zijn onmiskenbare doel dat Rusland weer serieus wordt genomen of misschien zelfs wordt gevreesd, heeft hij inmiddels bereikt. Sinds de annexatie van de Krim en zijn breed uitgemeten bondgenootschap met de Syrische vatbommenwerper Bashar al-Assad acht het Westen Poetin tot nagenoeg alles in staat. De Britse regering uit zelfs de verdenking dat hij persoonlijk verantwoordelijk is voor de moord op Skripal. Bewijzen ontbreken, maar de Britse pers mag er graag op wijzen dat Poetin ooit KGB-agent is geweest, wat verdere bewijsvoering kennelijk overbodig maakt. Poetin voltooit het beeld door verraders ‘een slechte afloop’ te voorspellen of door te dreigen terroristen in de wc te verdrinken.
Maar zijn de geheime diensten van de landen die ten oosten van het IJzeren Gordijn lagen echt gewetenlozer dan de westerse? Het verleden biedt in elk geval tal van filmrijpe aanwijzingen daarvoor. In 1959 stierf de Oekraïense anticommunist Stephan Bandera in München nadat een agent met een speciaal pistool blauwzuur in zijn gezicht had geschoten. In 1978 brachten de KGB en de Bulgaarse geheime dienst de dissident Georgi Markov om het leven: op een brug in Londen stak iemand de punt van een paraplu in zijn huid, waarmee het dodelijke ricine werd toegediend. In 1981 probeerde de Stasi Wolfgang Welsch, die mensen de DDR uit smokkelde, uit de weg te ruimen door zijn gehaktballen met thallium te prepareren.
Ook veel andere geheime diensten grijpen echter naar het uiterste. De Israëlische Mossad heeft duizenden echte en vermeende terroristen gedood; in 2010 vermoordden vermoedelijk Israëlische agenten Hamas-leider Mahmud al-Mabhuh in een hotel in Dubai. Ze deden dat zo handig dat het aanvankelijk leek alsof Al-Mabhuh een natuurlijke dood in bed was gestorven. In de leerboeken zal ook een plaatsje ingeruimd blijven voor de commandoactie waarbij Amerikaanse agenten Al-Qaida-leider Osama bin Laden in Pakistan om het leven brachten; later werd hiervan de film Zero Dark Thirty gemaakt. Werkelijkheid en fictie zijn in een eeuwige wedloop met elkaar verwikkeld. Dat de werkelijkheid vaak wint, ligt beslist niet alleen aan de Russen.
Meer echter dan in het Westen worden in het Oosten diensten ook tegen dissidenten en critici ingezet. Na de ervaring met het stalinisme zag de Sovjetleiding erop toe dat een individu niet meer willekeurig agenten kon inzetten: partij en politbureau oefenden controle uit over de leiding van de geheime dienst. Onder Poetin daarentegen heerst opnieuw een man uit de diensten met de diensten en is er geen enkele politieke kracht te bekennen die toezicht op hem houdt.
Maar ook in de VS waren het niet zozeer rechtsstatelijke principes die de methoden van de geheime dienst dicteerden als wel de toestand in de wereld en het heersende dreigingsgevoel. In de jaren vijftig smeedde de CIA groteske plannen om de Cubaanse revolutionair Fidel Castro om het leven te brengen. Later distantieerde de organisatie zich van dergelijke methoden, tot met de terreur van 2001 alle scrupules weer verdwenen. De Amerikaanse president Barack Obama breidde zijn dronesoorlog aanvankelijk uit, maar stelde er later ook nieuwe grenzen aan door gericht doden te beperken tot gevallen waarin terroristen een ‘direct’ gevaar betekenden. In beide gevallen hadden de burgers nauwelijks mogelijkheden om de staat te controleren.
Een bijzonder bewijs voor de meedogenloosheid van autoritaire veiligheidsapparaten zien experts in ‘honingvallen’: agentes of agenten die buitenlandse tegenhangers verleiden of seksuele omgang met hen hebben. Ook westerse diensten hebben deze truc gehanteerd, maar de Sovjet-Unie was daarin onverslaanbaar, wat uit westerse optiek verband hield met hun meedogenloosheid. Frederick Hitz, een voormalige inspecteur-generaal van de CIA, duidt dat als volgt: ‘Maar weinig westerse diensten konden hun burgers opleggen dat hun lichaam aan de staat toebehoorde.’
Dat hierover net een film draait in de bioscoop is zeker geen toeval. Red Sparrow, een film over een Russische agente die andere spionnen moet verleiden, zou in 2010 nauwelijks kijkers hebben getrokken. Nu voegt hij zich bij een lange lijst westerse films waarin Russen beestachtig te werk gaan en bereid zijn tot geweld. Red Sparrow is een film die zó in 1988 had kunnen draaien (als je even buiten beschouwing laat dat de Amerikaanse hoofdrolspeelster Jennifer Lawrence, die de Russische agente speelt, toen nog helemaal niet was geboren).
Maar moet je nog met de vijand naar bed om hem uit te horen? Voor geheime diensten hebben de grootste veranderingen tegenwoordig meer van doen met technologie dan met ideologie. Waarom zou je iemand in bed geheimen ontlokken als je diens telefoon kunt uitlezen? Waarom zou je het leven van een agent riskeren als je de vijand ook met een drone kunt doden?
Over de spionagefilm werd altijd gezegd dat het een onverwoestbaar genre was: regimes en ideologieën mogen komen en gaan, de strijder die zich in zijn eentje en voor een hoger doel blootstelt aan de grootste gevaren zal er altijd zijn. Maar voor twee centrale taken van de geheime dienst zijn mensen steeds minder nodig. Als het zo doorgaat met de bots en drones, dan zou de spionagefilm wel eens spoedig zijn belangrijkste acteur kunnen kwijtraken: de agent zelf.
Zo beschouwd maakten juist de VS de voorbije jaren de indruk van een schurkenstaat. Ten eerste vanwege Obama’s drones, ten tweede vanwege de verzamelwoede van de National Security Agency, die in het wilde weg telefoongegevens opsloeg. Dat het veiligheidsapparaat van de aardige meneer Obama uitgerekend de mobiele telefoon van de Bondskanselier liet afluisteren, stond voor de Duitsers praktisch gelijk aan verraad. Sinds de annexatie van de Krim begin 2014 is het weer Moskou dat onder een vergrootglas ligt. Sindsdien doen de VS hun beklag over Russische hackeraanvallen en het doelbewust lekken van e-mails van de Democraten om de presidentsverkiezingen van 2016 te beïnvloeden. Speciaal aanklager Robert Mueller heeft gereconstrueerd hoe Russische agenten de VS bespioneerden en vervolgens vanuit Sint-Petersburg met geautomatiseerde socialmedia-accounts probeerden kiezers te beïnvloeden en het vertrouwen in de staat te ondermijnen. Is dat hoe de nieuwe oorlogsvoering eruitziet? Ophitsing, destabilisering, verwarring – zo geraffineerd uitgevoerd dat Moskou het steeds plausibel kan bestrijden? De voormalige FBI-man Clint Watts heeft ooit in het Amerikaanse congres gezegd: ‘Rusland hoopt de tweede Koude Oorlog met de macht van de politiek te winnen, niet meer met de politiek van de macht.’ De ironie wil dat de Amerikanen als uitvinders van Facebook en Twitter de Russen zelf van de noodzakelijke instrumenten hebben voorzien. Aan de andere kant: is de situatie zo dramatisch als politici en diensten in het westen schetsen? Tenslotte is politiek in de VS al sinds lange tijd toxisch, en dat de Amerikanen hun staat wantrouwen blijkt al uit hun grondwet. Wat hebben de Russen daar eigenlijk precies aan veranderd?
In Duitsland is het niet anders: voor de Bondsdagverkiezingen verzamelden de Duitse geheime diensten bewijzen voor mogelijke beïnvloeding door Moskou – maar geen enkel schrikbeeld is bewaarheid. De stroom van slechte berichten over Moskous destructieve rol droogt desondanks niet op. De Amerikaanse regering stelde onlangs over bewijzen te beschikken dat Russische hackers westerse krachtcentrales kunnen binnendringen. Verschillende autoritaire diensten zouden zich er wel eens heimelijk over kunnen verkneukelen met welke lowbudgettrucs ze het Westen van zijn stuk kunnen brengen.
Poetin lijkt de beschuldigingen uit het Westen niet erg serieus te nemen, alsof hij ervan geniet dat Europeanen en Amerikanen zich onzeker voelen. De New Yorkse professor Nina Khrushcheva heeft eens de theorie geponeerd dat Poetin nauwkeurig heeft bekeken hoe Russen in Hollywoodfilms overkomen. En dat hij toen heeft besloten zich precies zo te gedragen om het Westen angst in te boezemen.
Auteurs: Georg Mascolo en Nicolas Richter
Vertaler: Pieter Streutker
Openingsbeeld: Still uit Hitchcocks The 39 Steps (1935).
Opgericht in 1945. De intellectuele, liberale krant van links Duitsland. Samen met de FAZ een van de belangrijkste dagbladen van het land. De SZ staat bekend om de drie-eenheid: tolerantie, onafhankelijkheid en waakzaamheid.
Consumenten die het slachtoffer worden van een cyberaanval, draaien zelf op voor de gevolgen. Maar hoe zit het met de verantwoordelijkheid van de softwarefabrikant die de kwetsbare code ontwierp?
Toen autofabrikanten auto’s met ondeugdelijke remmen afleverden, legde de staat hun boetes van vele miljoenen dollars op. Bedrijven die apparaten maken, hebben forse bedragen moeten betalen voor wettelijk verplichte schikkingen wegens de verkoop van ondeugdelijke koffiepotten. En de overheid heeft een strafrechtelijke vervolging ingesteld tegen leidinggevenden van voedselbedrijven omdat ze besmette pindakaas op de markt brachten.
Maar de Amerikaanse software-industrie, die goed is voor vele miljarden dollars, is tot nog toe nooit civiel dan wel strafrechtelijk aansprakelijk gesteld voor ernstige – en toenemende – problemen die het resultaat zijn van een slechte code. Als het gaat om het beveiligen van computers tegen malware of virussen, het afweren van criminele hackers of simpelweg het updaten van ondeugdelijke programma’s, ligt de verantwoordelijkheid grotendeels bij de consumenten, zelfs als de ondersteunende technologie gebreken vertoont.
Na de recente ‘ransomware-aanval’ – die over de hele wereld naar schatting ruim 300 duizend computers aantastte en data van slachtoffers versleutelde tot ze losgeld betaalden om de files vrij te geven – vragen cyberveiligheidsexperts zich af of het geen tijd wordt om softwareontwikkelaars te verplichten zich aan bepaalde richtlijnen te houden, zoals die in andere industrieën ook bestaan. Op die manier zijn we ervan verzekerd dat hun producten beveiligd zijn tegen ernstige en kostbare computeraanvallen.
‘Wacht maar tot dit met jouw auto gebeurt, of jouw ijskast, of jouw vliegtuigelektronica, of tot jouw door internet ondersteunde slot je buitengesloten heeft’
‘De oplossing ligt in regelgeving. Die moeten we nu aanpakken,’ zegt Bruce Schneier, een bekende cryptograaf en hoofd technologie bij IBM Resilient. ‘We hebben gekozen voor snel en goedkoop. Wacht maar tot dit met jouw auto gebeurt, of jouw ijskast, of jouw vliegtuigelektronica, of tot jouw door internet ondersteunde slot je buitengesloten heeft.’
Zo is het, want hoewel de ergste veiligheidsproblemen kwaadwillende hackers de gelegenheid hebben gegeven om zakelijke en overheidssystemen lam te leggen of gevoelige persoonlijke gegevens naar buiten te brengen, kunnen cyberaanvallen binnenkort veel duurdere consequenties hebben omdat er hoe langer hoe meer software wordt gebruikt in auto’s, medische apparatuur, consumptieartikelen en andere essentiële systemen. Daarom, zeggen experts, wordt het steeds urgenter om te zorgen dat een gebrekkige code niet zo makkelijk uitgebuit of gemanipuleerd kan worden.
Natuurlijk waarschuwen softwarebedrijven hun gebruikers als ze een kwetsbare plek ontdekken in hun producten en sturen ze een software-update rond die het gat in de beveiliging repareert. Dat deed Microsoft toen het hoorde over een ernstige zwakke plek in Windows die criminelen de mogelijkheid bood om een ransomware-aanval uit te voeren.
WannaCry
Of die boodschap ook alle slachtoffers van de aanval heeft bereikt is onduidelijk. Dit speciale soort ransomware – WannaCry – lijkt zich te hebben verspreid via een kwaadaardige e-mailcampagne die het virus door middel van bijlagen op de computers van de slachtoffers installeerde.
De zwakke plek in de Windows-software waarvan WannaCry gebruikmaakte, was al eerder ontdekt door de National Security Agency (NSA), en door hen opgeslagen als mogelijk cyberwapen.
Een hackersgroep die zichzelf de Shadow Brokers noemt, dumpte de spyware eerder dit jaar op het web. In een blogpost kapittelde Microsoft-voorzitter Brad Smith de NSA over het feit dat ze de zwakke plek hadden opgeslagen en geheim hadden gehouden. Hij vergeleek het probleem met een situatie waarin er ‘een paar Tomahawkraketten waren gestolen’ van de Amerikaanse overheid.
Maar sommige experts zijn niet zo voor het straffen van veiligheidsdiensten die profiteren van zwakke plekken in besturingssystemen en mobiele telefoons. ‘Het is oneerlijk om de NSA eruit te pikken,’ zegt Patrick Wardle, een computerexpert die bij de NSA heeft gewerkt en nu beveiligingsonderzoeker is bij de firma Synack. ‘Waarom geven we Microsoft niet de schuld? Ze hebben een gebrekkige code ontwikkeld en toegepast. Ze zouden een deel van de schuld op zich moeten nemen.’
In tegenstelling tot in veel andere industrieën, zoals de gezondheidszorg en de elektronische sector, worden aan softwareontwikkelaars geen juridische eisen gesteld als het op productveiligheid aankomt. In een serie artikelen uit 2013 in New Republic over het debat wie aansprakelijk is voor software, zegt Jane Chong van het Hoover Institution dat softwarebedrijven altijd aansprakelijkheidsclaims over ondeugdelijke codes hebben ontweken met een beroep op de gebruikersovereenkomst.
‘Softwareleveranciers schuiven met die licentieovereenkomst, die door rechters meestal als een afdwingbaar contract wordt gezien, alle risico’s van hun producten af op de gebruikers,’ schreef mevrouw Chong, docent rechten en nationale veiligheid aan het instituut.
De keren dat gebruikers hebben geprobeerd om softwarebedrijven gerechtelijk te vervolgen wegens het lekken van data, werden de zaken vaak onontvankelijk verklaard, merkte ze op. Een gerechtshof in Californië verwierp een groepsgeding van LinkedIn-gebruikers, die aanvoerden dat het sociale-mediabedrijf slachtoffer was geworden van een serieuze hack, omdat LinkedIn zelf niet de veiligheidsmaatregelen had getroffen die gangbaar waren in de industrie. Om te zorgen dat gerechtshoven softwarebedrijven verantwoordelijk gaan houden voor nalatigheid op het gebied van cyberveiligheid, moeten er strengere federale regels komen wat betreft de kwaliteit van de code. Het vergt ook rechters die begrip hebben voor de ingewikkelde kwesties rondom de kwetsbaarheid van software en hoe die kan leiden tot cyberaanvallen.
In dit geval waren sommige van de getroffen Microsoft Windows-systemen oude versies die niet waren geüpdatet of gecorrigeerd, zei Ross Schulman, mededirecteur van het Cybersecurity Initiative en beleidsadviseur aan het New America’s Open Technology Institute. Microsoft heeft die systemen ‘al een heel lange tijd ondersteund; ze hebben iedereen ruim op tijd gewaarschuwd dat ze daarmee zouden ophouden’.
Verantwoordelijk gehandeld
Volgens veel experts heeft Microsoft in deze zaak verantwoordelijk gehandeld en zijn klanten gewaarschuwd voor de zwakke plekken. In plaats van Microsoft de schuld te geven, zegt Tom Cross, hoofd technologie bij het cyberveiligheidsbedrijf OPAQ, ‘zouden toezichthouders zich moeten afvragen waarom bepaalde organisaties niet waren voorbereid, in het bijzonder als dat organisaties zijn in essentiële sectoren van de infrastructuur.’
Experts trachten te achterhalen wie er achter de aanval zat, maar het zou voor de industrie en de overheid ook een moment kunnen zijn om nogmaals te evalueren of er een manier bestaat om softwarebedrijven aan te moedigen producten uit te rusten met een code die bij dit soort aanvallen betrouwbaarder en veerkrachtiger is, zegt Joshua Corman, directeur van het Cyber Statecraft Initiative van Atlantic Council, een denktank in Washington.
‘Ik denk zeker dat het een keerpunt is,’ zegt Mr Corman. ‘Het is nu veel makkelijker om te pleiten voor een bepaalde vorm van verantwoordelijkheid voor software. Ik hoop heel erg dat dit aanleiding is voor een correctieve actie.’
Na meer dan een eeuw is deze krant uit Boston in 2009 gestopt met de printversie en verdergegaan op internet. Heeft nog wel een wekelijkse printeditie. Niet religieus, dankt zijn naam aan de financier: de Christian Science Church.
Met één transactie 6,9 miljoen dollar stelen, en je hoeft er de deur niet eens voor uit. De Russische hacker Michailovitsj Bogatsjev drong moeiteloos miljoenen computers binnen, pleegde talloze digitale bankovervallen en blijft ongrijpbaar. Houdt de Russische overheid hem de hand boven het hoofd, waar de VS drie miljoen op hebben gezet?
Op de ochtend van 30 december 2016, een dag nadat Barack Obama Rusland sancties had opgelegd wegens inmenging in de presidentsverkiezingen, zat Tillmann Werner in Bonn aan het ontbijt. Werner, onderzoeker bij cyberbeveiligingsbedrijf CrowdStrike, verdiepte zich in de details. Hij klikte een link naar een officiële verklaring aan en zag dat het Witte Huis een kleine stoet Russen en Russische instanties op de korrel had genomen: 2 inlichtingendiensten, 4 hoge medewerkers, 35 diplomaten, 3 techbedrijven en 2 hackers. De meeste details waren in nevelen gehuld. Maar Werners ogen bleven haken aan de naam van een van de doelwitten: Jevgeni Michailovitsj Bogatsjev.
Werner wist dat Bogatsjev jarenlang ongestraft financiële instellingen over de hele wereld online had geplunderd. Hij wist hoe het was om het tegen hem op te nemen. Maar hij had geen idee welke rol Bogatsjev in de verkiezingshack kon hebben gespeeld. Bogatsjev onderscheidde zich van de anderen die door de sancties werden getroffen: hij was een bankrover, misschien wel de succesvolste ter wereld. Werner vroeg zich af wat hij in vredesnaam op die lijst deed.
Slavik
De strijd van Amerika tegen Ruslands grootste cybercrimineel begon in de lente van 2009. Speciaal agent en ex-marinier James Craig, nieuw op de FBI-vestiging in Omaha, Nebraska, stelde een onderzoek in naar een paar vreemde gevallen van onlinediefstal. Craig was net een half jaar in dienst, maar zijn baas zette hem vanwege zijn achtergrond op de zaak: hij werkte al jaren als IT’er bij de FBI.
Het grootste slachtoffer in de zaak was een dochteronderneming van betaalverkeerreus First Data, die in mei 450.000 dollar was kwijtgeraakt. Kort daarna was 100.000 dollar gestolen van een cliënt van de First National Bank in Omaha. Het rare was dat de diefstallen leken te zijn gepleegd vanaf de eigen IP-adressen van de slachtoffers, met hun eigen inlogcodes en wachtwoorden. Toen Craig hun computers onderzocht zag hij dat ze met dezelfde malware waren besmet, een Trojaans paard dat Zeus heette.
Craig ontdekte dat Zeus in kringen van onlinebeveiligers berucht was. De malware, die in 2006 voor het eerst opdook, gold zowel onder criminelen als beveiligingsexperts als een meesterwerk: hij werkte feilloos en was effectief en veelzijdig. Wie hem had gemaakt was een raadsel. De maker was alleen online bekend, waar hij zich bediende van het pseudoniem Slavik, de alias lucky12345 en nog een handjevol andere namen.
Zeus besmette computers op kenmerkende manieren: nepmails van de fiscus en van koeriersbedrijf UPS lieten de ontvangers een bestand downloaden. Stond Zeus eenmaal op hun computer, dan liet hij hackers voor God spelen: ze konden websites kapen en met zogeheten keyloggers gebruikersnamen, wachtwoorden en pinpasnummers onderscheppen. De truc staat bekend als ‘man-in-de-browser’-aanval. Terwijl jij achter je computer inlogt op een schijnbaar veilige site, manipuleert de malware de pagina’s voordat ze geladen worden en sluist je vertrouwelijke gegevens en banksaldo door. Pas wanneer je vanaf een andere computer inlogt zie je dat je geld verdwenen is.
Toen Craig aan zijn onderzoek begon was Zeus inmiddels de favoriete malware van de digitale onderwereld, zeg maar de Microsoft Office van de onlinefraude. Slavik was een zeldzaamheid in de malwarewereld: een echte professional. Hij kwam geregeld met een update van de Zeuscode en testte nieuwe functies. Op zijn product kon je voor verschillende soorten aanvallen en doelen eindeloos variëren. Een computer die met Zeus was besmet kon zelfs dienen als schakel in een botnet: een netwerk van geïnfecteerde computers die tezamen kunnen worden ingezet als spamserver, om DoS-aanvallen uit te voeren of nog meer nepmailtjes te versturen die de malware verder verspreiden.
Craig en zijn collega’s belden financiële instellingen en bedrijven die het slachtoffer waren geworden van cyberfraude. Sommige hadden werknemers ontslagen die ze onterecht van diefstal hadden verdacht
Kort voordat Craig in 2009 aan zijn klus begon had Slavik zijn koers verlegd. Hij was begonnen een selecte groep onlinecriminelen een variant van zijn malware te verstrekken, Jabber Zeus. Die ging vergezeld van een tool waarmee groepsleden ongemerkt met elkaar konden communiceren en aanvallen konden coördineren, zoals in Omaha. In plaats van zich bezig te houden met grootschalige besmettingscampagnes richtten ze zich op specifieke bedrijven en mensen die toegang hadden tot financiële systemen.
Terwijl Slavik de kant van de georganiseerde misdaad opging snoeide hij drastisch in zijn malwarehandel. In 2010 kondigde hij online aan dat hij ‘met pensioen ging’ en vervolgens kwam hij met wat onder beveiligingsexperts bekendstaat als Zeus 2.1, een geavanceerde versie die wordt beschermd met een encryptiesleutel, waarmee elk exemplaar wordt gekoppeld aan één specifieke gebruiker. Prijskaartje: 10.000 dollar per exemplaar. Slavik werkte alleen nog maar met een ambitieuze groep elitehackers.
Andere financiële instellingen begonnen melding te maken van diefstal en fraude. Craig besefte dat hij achter een goed georganiseerd, internationaal crimineel netwerk aanzat. De cybercrime waar de FBI eerder mee te maken had gehad viel erbij in het niet.
Craigs eerste grote doorbraak in de zaak vond plaats in september 2009. Met behulp van experts achterhaalde hij een server in New York die een rol in het Zeus-netwerk leek te spelen. Dankzij een huiszoekingsbevel kon een forensisch FBI-team de data naar een harde schijf kopiëren, die naar Nebraska werden gestuurd. Toen een softwarespecialist ze onderzocht was hij zwaar onder de indruk. De schrijf bevatte tienduizenden chatsessies in het Russisch en het Oekraïens. Hij kon Craig melden dat hij de Jabberserver te pakken had.
Op de server stonden alle digitale activiteiten van de hele bende: een soort wegenkaart van de hele zaak. Cyberveiligheidsbedrijf Mandiant detacheerde een paar maanden lang een technicus in Omaha om de code van Jabber Zeus te ontrafelen. Slavisten uit het hele land hielpen de chatgesprekken te ontcijferen. De berichten bevatten verwijzingen naar honderden slachtoffers, van wie de persoonsgegevens overal in de bestanden opdoken. Craig en zijn collega’s belden financiële instellingen en bedrijven die het slachtoffer waren geworden van cyberfraude. Sommige hadden werknemers ontslagen die ze onterecht van diefstal hadden verdacht.
De zaak beperkte zich niet tot de virtuele wereld. In New York kwamen op een dag in 2009 drie jonge Kazachse vrouwen met een vreemd verhaal het plaatselijke FBI-kantoor binnen. Als werkzoekenden waren ze naar de VS gekomen, waar ze in een schimmig complot verwikkeld waren geraakt. Ze werden naar een bank gebracht door een man die zei dat ze er een rekening moesten openen. Ze moesten zeggen dat ze studeerden en op vakantie waren. Een paar dagen later bracht de man hen terug naar de bank, waar ze al het geld van hun rekening haalden. Ze kregen een klein deel en gaven de rest aan hem. De vrouwen bleken ‘geldezels’: ze moesten het online gestolen geld opnemen dat Slavik en de zijnen naar hun rekening hadden gesluisd.
In de zomer van 2010 hadden agenten die op de zaak zaten banken in de wijde omtrek van New York gewaarschuwd voor verdachte geldopnames en gezegd dat ze in zulke gevallen de FBI moesten inschakelen. Tientallen geldezels werden opgepakt, die tienduizenden dollars hadden opgenomen. De meesten waren studenten of kersverse immigranten. Een vrouw was geldezel geworden toen een baantje in een supermarkt niet doorging. ‘Het was of dit of stripper worden.’ De meeste opnames bedroegen ongeveer 9000 dollar, net onder het transactiebedrag dat banken aan de federale bank moeten melden. Een geldezel kreeg 5 tot 10 procent, een deel ging naar zijn of haar ronselaar, de rest naar het buitenland.
De Verenigde Staten bleken slechts een van de vele landen in een internationale fraudeoperatie, beseften de rechercheurs al snel. Vergelijkbare geldezelroutes werden gevonden in Roemenië, Tsjechië, het Verenigd Koninkrijk, Oekraïne en Rusland. De rechercheurs telden de gestolen bedragen op tot een totaal van ongeveer 70 tot 80 miljoen dollar, maar vermoedden dat het werkelijke bedrag veel hoger lag.
Banken riepen de FBI op een einde aan de fraude te maken en de verliezen tegen te gaan. In de zomer sloot de New Yorkse afdeling het net rond belangrijke ronselaars en breinen achter de fraude. Twee Moldaviërs werden gearresteerd in een hotel in Milwaukee. In Boston moest een verdachte die wilde vluchten van een brandtrap worden gered.
Intussen zette Craig zijn zaak tegen de Jabber-Zeus-bende voort. De FBI en het ministerie van Justitie hadden een gebied rond Donetsk, in Oost-Oekraïne, in het vizier, waar enkele spilfiguren rond Jabber Zeus zouden wonen. Aleksej Bron, alias ‘thehead,’ was gespecialiseerd in wereldwijd geldtransport. Ivan Viktorvitsj Klepikov (schuilnaam ‘petr0vich’) deed de IT, de webhosting en de domeinnamen van de bende. Vjatsjeslav Igorevitjs Pentsjoekov, bijnaam ‘tank’, bestuurde de hele operatie, waarmee hij de rechterhand van Slavik was. Ze spendeerden de enorme winsten aan dure auto’s, terwijl het in chatsessies vaak ging over buitensporige vakanties in Turkije, de Verenigde Arabische Emiraten en de Krim.
20 terabyte
In de herfst van 2010 was de FBI klaar om het netwerk te ontmantelen. Terwijl in Washington een persconferentie werd voorbereid reisde Craig per boemeltrein naar Donetsk, waar hij zich bij agenten van de Oekraïense veiligheidsdienst voegde om de huizen van tank en petr0vich binnen te vallen. De invallen duurden tot diep in de nacht; Craig ging pas om drie uur terug naar zijn hotel. Hij nam bijna 20 terabyte in beslag genomen data mee terug naar Omaha.
Met 39 arrestaties in 4 landen slaagden de rechercheurs erin het netwerk op te rollen. Belangrijke leden wisten echter te ontkomen. Slavik, het grote brein, bleef tevens de grote onbekende. Rechercheurs gingen ervan uit dat hij vanuit Rusland opereerde en getrouwd was. Meer wisten ze niet. De formele aanklacht tegen de maker van Zeus verwijst naar hem met zijn onlinepseudoniem. Craig had zelfs geen idee hoe zijn hoofdverdachte eruitzag: ‘We hebben duizenden foto’s van tank en petr0vich, maar niet één van Slavik.’ Niet lang daarna wiste Slavik zelfs de sporen die hij op internet had achtergelaten. Wie hij ook was, hij verdween van de radar. Na zich zeven jaar met de jacht op Jabber Zeus te hebben beziggehouden, stapte James Craig over op andere zaken.
Ongeveer een jaar nadat de FBI de groep rond Jabber Zeus had opgerold zagen, cybersecurityexperts dat een nieuwe variant van Zeus de ronde deed. De broncode van de malware was in 2011 op internet gelekt – wellicht doelbewust – waarmee Zeus in feite een open-sourceproject werd en de aanzet gaf tot een hele reeks nieuwe varianten. Maar de versie die de aandacht van de rechercheurs trok was anders: krachtiger en verfijnder, vooral als het ging om het opzetten van botnets.
Tot dan toe programmeerde een hacker die een botnet wilde maken één zogeheten command server die rechtstreeks opdrachten gaf aan besmette computers: ‘zombiecomputers’. Die verstuurden vervolgens spam, verspreidden malware of voerden DoS-aanvallen op sites uit. Botnets met zo’n ontwerp waren voor wetshandhavers en beveiligingsexperts relatief makkelijk te ontmantelen. Als je de command server in handen kreeg of het de hacker onmogelijk maakt ermee te communiceren, hielp je het botnet om zeep.
Op 12 november 2012 keek de FBI toe terwijl het GameOver-netwerk met één transactie 6,9 miljoen dollar stal, waarna het een dagenlange DoS-aanval op de benadeelde bank uitvoerde
De nieuwe Zeusvariant maakte echter gebruik van zowel traditionele command servers als communicatie tussen zombiecomputers onderling, waardoor hij heel lastig was uit te schakelen. Besmette pc’s hielden een telkens bijgewerkte lijst van andere besmette machines bij. Zodra een pc ‘merkte’ dat de verbinding met de command server werd verstoord viel hij terug op het contact met andere pc’s om een nieuwe te zoeken.
Het netwerk was ontworpen om ontmanteling tegen te gaan; zodra een command server offline werd gehaald kon de botnetbeheerder gewoon ergens anders een nieuwe installeren en de pc’s in het netwerk ernaartoe leiden. De nieuwe versie zou GameOver Zeus gaan heten, naar een van de bestandsnamen: gameover2.php. De naam getuigde van galgenhumor: zo’n ding op je computer betekende einde verhaal voor je bankrekeningen.
Voorzover bekend werd GameOver Zeus beheerd door een groep elitehackers met Slavik als leider. Hij was sterker dan ooit teruggekomen. Slaviks nieuwe bende werd de Business Club genoemd. Net als bij het Jabber-Zeus-netwerk waren banken het voornaamste doelwit, waar de club zich nog genadelozer op richtte dan zijn voorganger.
Het ging als volgt. Eerst stal GameOver Zeus de bankgegevens van een gebruiker, die werden onderschept zodra iemand met een besmette computer inlogde op een onlinerekening. Vervolgens haalde de Business Club de rekening leeg en maakte het geld over naar andere rekeningen in het buitenland. Was dat gebeurd, dan gebruikte de groep zijn machtige botnet voor een DoS-aanval op de getroffen financiële instellingen om bankemployees af te leiden en ervoor te zorgen dat het geld was veiliggesteld voordat klanten erachter kwamen dat het verdwenen was. Op 12 november 2012 keek de FBI toe terwijl het GameOver-netwerk met één transactie 6,9 miljoen dollar stal, waarna het een dagenlange DoS-aanval op de benadeelde bank uitvoerde.
Anders dan de Jabber-Zeus-bende richtte het geavanceerdere netwerk achter GameOver zich op bankdiefstallen met bedragen van zes of zeven cijfers. Daardoor was het niet meer nodig om geldezels geld te laten opnemen in kantoren in Brooklyn. In plaats daarvan gebruikte de bende de zwakte van het stelsel van onderling met elkaar verbonden banken door de grootschalige diefstallen weg te moffelen tussen het dagelijkse verkeer van biljoenen dollars. Rechercheurs hadden vooral aandacht voor twee gebieden in het verre oosten van China, dicht bij de Russische stad Vladivostok. Daar sluisden geldezels grote bedragen gestolen geld door naar rekeningen van de Business Club. Die strategie betekende een evolutie in de georganiseerde misdaad. Bankrovers lieten niet langer sporen in de VS achter. Ze konden alles vanaf een afstand doen, buiten de Amerikaanse wetgeving om.
De clubleden had het niet alleen op banken voorzien. Ze plunderden ook de rekeningen van andere dan financiële instellingen, non-profitorganisaties en zelfs privépersonen. In oktober 2013 begon Slaviks groep malware met de naam CryptoLocker te gebruiken, een vorm van ransomware die bestanden op een geïnfecteerde computer versleutelde en om dat ongedaan te maken de gebruiker dwong een vergoeding te betalen, zeg 300 tot 500 dollar. Het werd algauw een favoriete tool in de cybercrimewereld. Een gigantisch botnet inzetten om fraude te plegen in de wereld van de haute finance heeft als nadeel dat de meeste zombiecomputers niet aan vette zakenrekeningen verbonden zijn; Slavik en zijn kompanen werkten met tienduizenden voornamelijk inactieve zombiecomputers. Ook al leverde de ransomware geen grote bedragen op, de criminelen konden er munt uit slaan met verder inactieve besmette computers. Een beveiligingsfirma schatte dat in 2013 wereldwijd maar liefst een kwart miljoen computers met CryptoLocker waren besmet. Een onderzoeker bracht 771 ransom-gevallen in kaart die de bende van Slavik in totaal 1,1 miljoen dollar opleverden.
Dagelijks stegen de verliezen van banken, bedrijven en personen; de slachtoffers varieerden van een plaatselijke bank in het noorden van Florida tot een Indianenstam in de staat Washington. Eén geval van diefstal kon een bedrijf makkelijk de hele jaarwinst kosten, zo niet meer. GameOver vergde intussen steeds meer inspanningen van de particuliere cybersecurity-industrie. ‘Ik denk dat maar weinig mensen beseffen hoe gigantisch het was. Een diefstal van 5 miljoen leidt de aandacht af van honderden kleinere gevallen,’ zegt beveiligingsexpert Michael Sandee van het Nederlandse bedrijf Fox-IT. ‘Als een bank een spervuur van aanvallen te verduren krijgt – honderd transacties per week – ben je niet meer geïnteresseerd in het specifieke soort malware. Je moet gewoon het bloeden stelpen.’
Niet dat er geen poging werd gedaan. Tussen 2011 en 2014 probeerden cybersecurity-onderzoekers en bedrijven drie keer GameOver Zeus plat te leggen. Drie Europese beveiligingsexperts werkten in 2012 samen aan de eerste poging. Slavik sloeg die met gemak af. Vervolgens ondernam de Digital Crime-divisie van Microsoft in maart 2012 legale actie tegen het netwerk. Met een gerechtelijk bevel viel de Amerikaanse politie datacentra in Illinois en Pennsylvania binnen waar servers van Zeus stonden. 39 personen die aan het Zeus-netwerk waren gelieerd werden in staat van beschuldiging gesteld. (Slavik stond boven aan de lijst.) Maar het plan van Microsoft sloeg nog geen deuk in het pakje boter van GameOver. Het gaf Slavik inzicht in de kennis van de rechercheurs over zijn netwerk, zodat hij zijn tactiek kon verfijnen.
Botnetbestrijders vormen een klein clubje trotse beveiligingstechneuten: het zijn zelfverklaarde ‘internetbewakers’ die hun best doen om onlinenetwerken soepel te laten functioneren. Binnen die groep stond Tillmann Werner van CrowdStrike bekend om zijn flair en enthousiasme. In februari 2013 nam hij tijdens een grote conferentie van de cybersecurity-industrie live op een podium de besturing over van het Kelihos-botnet, een berucht malwarenetwerk dat werkte via spam voor Viagra. Maar Kelihos, wist Werner, was geen GameOver Zeus. Hij volgde GameOver sinds het ontstaan ervan en verbaasde zich over de kracht en de flexibiliteit.
In 2012 trok hij samen op met beveiligingsexpert Brett Stone-Gross – een Amerikaan uit Californië die net een paar maanden klaar was met school – en enkele onderzoekers om een plan te beramen om GameOver aan te vallen. Ze communiceerden via chats en bestudeerden de eerdere Europese poging om te bekijken waar die was mislukt.
In januari 2013 waren ze zover: ze sloegen diepvriespizza’s in omdat ze rekening hielden met een langdurige belegering van Slaviks netwerk. (Tegen een botnet heb je volgens Werner maar één kans: ‘Het lukt of het lukt niet.’) Het idee was om het verkeer van het zombienetwerk van GameOver om te leiden naar een door de aanvallers beheerde server, een aanpak die ‘sinkholing’ wordt genoemd. Daarmee hoopten ze Slaviks communicatielijnen met het botnet af te snijden. In eerste instantie leek het te lukken. Niets wees erop dat Slavik terugvocht en Werner en Stone-Gross zagen dat steeds meer besmette computers met hun ‘sinkhole’ verbonden raakten.
Op het hoogtepunt van de aanval hadden ze 99 procent van Slaviks netwerk in handen. Maar ze hadden een kritiek onderdeel in de architectuur van GameOver over het hoofd gezien: een kleine deelverzameling besmette computers die in het geheim communiceerde met Slaviks command servers. Slavik kon daardoor een software-update naar zijn netwerk sturen en het beheer weer in handen krijgen. De onderzoekers zagen met lede ogen toe hoe een nieuwe versie van GameOver Zeus zich over het internet verspreidde en Slaviks netwerk zich begon te herconfigureren. ‘We begrepen meteen wat er gebeurde. We hadden het communicatiekanaal straal over het hoofd gezien,’ zegt Werner.
De list van de aanvallers – negen maanden werk – was mislukt. Slavik had gewonnen. In een onlinechat met een Pools beveiligingsteam kraaide hij dat alle pogingen om zijn netwerk over te nemen op niets waren uitgelopen. ‘Ik denk dat hij het onmogelijk achtte om zijn botnet te vloeren,’ zegt Werner. Stone-Gross en hij wilden niets liever dan een nieuwe poging ondernemen. Maar ze hadden hulp nodig.
Cybersquad
Het afgelopen decennium heeft het kantoor van de FBI in Pittsburgh zich opgewerkt tot grootste leverancier van cybercrimedagvaardingen, wat voor een belangrijk deel te danken is aan het hoofd van de ‘cybersquad’ aldaar, de voormalige vertegenwoordiger in meubelen J. Keith Mularski.
Mularski is een soort beroemdheid in cybersecuritykringen. Eind jaren negentig kwam hij bij de FBI werken. De eerste zeven jaar deed hij in Washington spionage- en terrorismezaken. In 2005 greep hij de kans aan om terug te keren naar zijn geboorteplaats, Pittsburgh, waar hij aan een nieuw cyberinitiatief werkte, hoewel hij weinig van computers wist. Mularski kreeg het vak in de praktijk onder de knie tijdens een undercoveroperatie van twee jaar. Daarmee werd jacht gemaakt op criminelen die zich op het onlineforum DarkMarket schuldig maakten aan identiteitsdiefstal. Onder de schuilnaam Master Splyntr – geïnspireerd op de Teenage Mutant Ninja Turtles – slaagde Mularski erin DarkMarket-beheerder te worden, waarmee hij zich in het middelpunt plaatste van een ontluikende criminele onlinecommunity. In die hoedanigheid chatte hij zelfs met Slavik en besprak hij een vroege versie van de Zeus-malware. Dankzij zijn toegang tot DarkMarket werden uiteindelijk zestig mensen op drie continenten gearresteerd.
De directeur van de FBI-vestiging in Pittsburgh besloot agressief in te zetten op de bestrijding van cybercrime. In 2014 fungeerden agenten uit Mularski’s team als aanklagers in enkele grote zaken. Twee van hen, Elliott Peterson en Steven J. Lampo, zaten de hackers achter GameOver Zeus op de hielen, terwijl hun collega’s werkten aan een zaak tegen vijf Chinese hackers die hadden ingebroken in computersystemen van Amerikaanse bedrijven.
De FBI zat al een jaar op de GameOver-zaak toen Werner en Stone-Gross aanboden om met het Pittsburghse team samen te werken aan de ontmanteling van Slaviks botnet. Samenwerking tussen overheid en industrie was toen nog nieuw. Tot dusver nam de overheid aanwijzingen vanuit het bedrijfsleven over zonder zelf informatie te delen. Maar het Pittsburghse team geloofde juist in samenwerking en wist dat Werner en Stone-Gross de besten in hun vak waren. ‘We grepen de kans met beide handen aan,’ aldus Mularski.
Beide partijen realiseerden zich dat ze, om het botnet neer te halen, tegelijk op drie fronten moesten werken. Ten eerste moesten ze er definitief achter zien te komen wie GameOver beheerde en een dossier voor gerechtelijke vervolging opbouwen; ook al waren er miljoenen dollars gestolen, de FBI noch de beveiligingsindustrie had ook maar één naam van een lid van de Business Club. Ten tweede moesten ze de digitale infrastructuur van GameOver zelf platleggen; daar kwamen Werner en Stone-Gross om de hoek kijken. Ten derde moesten ze de fysieke infrastructuur van het botnet uitschakelen door met dwangbevelen en hulp van buitenlandse overheden de servers in handen te krijgen. Was dat eenmaal gebeurd, dan moesten ze partners in de private sector zoeken om met software-updates en beveiligingspatches de geïnfecteerde computers op te schonen zodra het botnet was overgenomen.
Mularski’s team bracht een voor de Amerikaanse overheid ongekende samenwerking tot stand tussen de Britse National Crime Agency, overheidsfunctionarissen uit Zwitserland, Nederland, Oekraïne, Luxemburg en nog een stuk of tien andere landen plus experts van Microsoft, CrowdStrike, McAfee, Dell SecureWorks en andere bedrijven.
Op één foto poseerde Bogatsjev in een pyjama met luipaardprint, met een zonnebril op en in zijn armen een grote kat. Het onderzoeksteam besefte dat hij al op z’n tweeëntwintigste de eerste versie van Zeus had geschreven
Om Slaviks identiteit te achterhalen en informatie over de Business Club te verzamelen werkte de FBI samen met Fox-IT, het Nederlandse bedrijf dat vermaard was om zijn deskundigheid op het gebied van forensisch onderzoek binnen de cyberwereld. De Nederlanders trokken oude gebruikersnamen en e-mailadressen van de kring rond Slavik na om een idee te krijgen van de manier waarop de groep opereerde.
De Business Club bleek een los samenwerkingsverband van ongeveer vijftig criminelen, die ieder een soort entreegeld hadden betaald om achter de knoppen van GameOver te mogen plaatsnemen. Het netwerk werd beheerd via twee met wachtwoorden afgeschermde Britse websites, Visitcoastweekend.com en Work.businessclub.so. Toen rechercheurs toestemming kregen om een kijkje te nemen op de server van de Business Club, troffen ze een uiterst gedetailleerd logboek aan met alle fraudeoperaties van dat moment. ‘De professionaliteit spatte ervan af,’ volgens Michael Sandee. ‘Ze wisten beter dan de banken zelf wanneer er transacties tussen financiële instellingen plaatsvonden.’
Na maandenlang elke aanwijzing te hebben nagetrokken, kregen de medewerkers van Fox-IT op een dag een tip binnen over een e-mailadres dat mogelijk interessant was. Ze kregen dat soort tips wel vaker, ‘broodkruimels’ volgens Mularski. Maar deze leidde naar iets belangrijks: het team wist het adres te herleiden tot een Britse server die Slavik gebruikte om de sites van de Business Club te beheren. Nog meer speurwerk en huiszoekingsbevelen leidden de autoriteiten uiteindelijk naar Russische socialmediasites, waar het adres werd gelinkt aan een naam: Jevgeni Michailovitsj Bogatsjev. Die zei de onderzoekers in eerste instantie niets. Er waren nog weken onderzoek voor nodig eer bleek dat het de naam was van de maker van Zeus en de oprichter van de Business Club.
Slavik bleek een man van dertig die in Anapa woonde, een Russische badplaats aan de Zwarte Zee. Op foto’s genoot hij van een boottochtje met zijn vrouw. Het stel had een dochtertje. Op één foto poseerde Bogatsjev in een pyjama met luipaardprint, met een zonnebril op en in zijn armen een grote kat. Het onderzoeksteam besefte dat hij al op z’n tweeëntwintigste de eerste versie van Zeus had geschreven.
Maar de meest verbijsterende onthulling was dat iemand aan het roer van GameOver soms tienduizenden geïnfecteerde computers niet alleen had doorzocht op e-mailadressen van Georgische medewerkers van inlichtingendiensten en leiders van elite-eenheden van de Turkse politie, maar ook op geheime Oekraïense documenten. Wie het ook was, hij zocht naar geheime informatie over het conflict in Syrië en Russische wapenleveranties. Op een gegeven moment viel het kwartje. ‘Het waren spionageopdrachten,’ volgens Sandee.
GameOver was niet louter geavanceerde criminele malware, maar een verfijnde tool om inlichtingen te verzamelen. Voorzover de onderzoekers konden vaststellen was Bogatsjev de enige die van die functie van zijn botnet wist. Hij bleek onder de neus van ’s werelds succesvolste bankrovers een dekmanteloperatie te runnen. De FBI en het team van Fox-IT konden geen bewijs vinden van een verband tussen Bogatsjev en de Russische overheid, maar iets of iemand leek Slavik specifieke zoekopdrachten te verstrekken voor zijn gigantische zombiecomputernetwerk. Bogatsjev bleek van nut voor Russische inlichtingenoperaties.
In maart 2014 keken onderzoekers toe hoe een internationale crisis mede werd uitgevochten in de sneeuwbol van Bogatsjevs criminele botnet. Enkele weken na de Olympische Winterspelen in Sotsji vielen Russische troepen de Krim binnen en probeerden ze het oostelijke grensgebied van Oekraïne te destabiliseren. In aansluiting op de Russische campagne gebruikte Bogatsjev een deel van zijn botnet om politiek gevoelige informatie op geïnfecteerde Oekraïense computers te zoeken die de Russen kon helpen hun vijand te slim af te zijn.
Met pensioen
Het team liet een voorlopige theorie en ontstaansgeschiedenis op het ontstaan van Bogatsjev’s spionageactiviteiten los. Blijkbaar verklaarde een band met de overheid waarom Bogatsjev wegkwam met zoiets misdadigs, maar die wierp ook nieuw licht op een paar mijlpalen in het bestaan van Zeus. Het systeem dat Slavik gebruikte voor zijn inlichtingenqueries dateerde ongeveer van het moment in 2010 waarop hij deed alsof hij ‘met pensioen’ ging en de toegang tot zijn malware exclusief maakte.
Mogelijk was Slavik ergens in dat jaar op de radar van de Russische geheime diensten verschenen en stelde de staat bepaalde eisen in ruil voor toestemming om zonder rechtsvervolging fraude te mogen plegen – uiteraard buiten Rusland. Om daar efficiënt en in het diepste geheim aan te kunnen voldoen, haalde Bogatsjev de teugels rond zijn criminele netwerk aan.
De ontdekking dat Bogatsjev waarschijnlijk banden met inlichtingendiensten onderhield maakte de operatie om GameOver uit te schakelen riskant, vooral als het ging om samenwerking met Rusland. Verder verliep alles voorlopig volgens plan. Nu de rechercheurs Bogatsjevs identiteit kenden kon hij eindelijk als brein achter GameOver Zeus worden aangeklaagd. Amerikaanse openbare aanklagers haastten zich om gerechtelijke bevelen uit te vaardigen met als doel het netwerk over te nemen. Negen van de vijfenvijftig medewerkers van het Amerikaanse openbaar ministerie in Pittsburgh zaten op de zaak. Het team vroeg internetproviders de proxyservers van GameOver over te mogen nemen zodat ze die op het juiste moment konden ‘omzetten’ om Slavik het beheer afhandig te maken. Intussen stonden het Amerikaanse ministerie van Binnenlandse Veiligheid, de Carnegie Mellon University en enkele antivirusbedrijven klaar om klanten te helpen de macht over hun geïnfecteerde computers terug te geven.
Aan het einde van de lente van 2014, terwijl pro-Russische troepen in Oekraïne vochten, stonden de troepen onder leiding van de Amerikanen klaar om GameOver over te nemen. Ze troffen al een jaar voorbereidingen. ‘Tegen die tijd kenden de onderzoekers de malware beter dan Slavik,’ zegt Elliott Peterson, een van de FBI-agenten die de operatie leidden. Mularski liep met het team alles nog eens door: ‘We zijn er juridisch, praktisch en technisch toe in staat.’ Enkele tientallen medewerkers, die communiceerden via ruim zeventig internetproviders, en nog eens tien handhavende instanties – van Canada en het Verenigd Koninkrijk tot Japan en Italië – zetten zich schrap om de aanval op vrijdag 30 mei in te zetten. Het Witte Huis was over het plan ingelicht en wachtte de resultaten af.
De week voorafgaand aan de aanval was het een en al chaos. De code die Werner had geschreven bleek nog niet klaar en de laatste gerechtelijke bevelen waren nog niet binnen. En het dreigde ook nog eens bijna mis te gaan.
Het team wist al maanden dat het GameOver-botnet werd beheerd via een server in Canada. Maar enkele dagen voor de aanval kwam het erachter dat er een tweede server in Oekraïne stond. De schrik sloeg iedereen om het hart. ‘Als je niet eens weet dat er een tweede server is,’ zegt Werner, ‘hoe weet je dan of er niet ook een derde is?’
Op donderdag sprak Stone-Gross zorgvuldig de tijdens de aanval te volgen procedure met alle internetproviders door. Op het laatste moment haakte er een af, bang dat hij zich de woede van Slavik op de hals zou halen. Vervolgens kwamen Werner en Stone-Gross erachter dat een van de partners, McAfee, per ongeluk een blogbericht over de aanval had gepost.
Nadat het bericht was verwijderd kon de aanval beginnen. Canadese en Oekraïense autoriteiten legden de command servers van GameOver een voor een plat. Werner en Stone-Gross leidden de zombiecomputers intussen om naar de uitgekiende sinkhole, waarmee ze de toegang van de Business Club tot zijn systemen blokkeerden. Urenlang leek de aanval geen effect te hebben; de onderzoekers speurden intensief naar bugs in hun code.
“Het was een cyberversie van een man-tegen-mangevecht,” volgens de Pittsburghse aanklager David Hickton. “Fantastisch om naar te kijken”
Rond enen had de sinkhole nog maar ongeveer honderd computers aangesproken, een minuscuul percentage van het botnet, dat was uitgegroeid tot minstens een half miljoen computers. Een hele stoet medewerkers keek in een vergaderzaal mee over de schouders van Werner en Stone-Gross terwijl ze hun code bugvrij maakten. ‘We willen jullie niet onder druk zetten, hoor,’ drong Mularski op een gegeven moment aan, ‘maar het zou wel fijn zijn als jullie de boel aan de praat kregen.’
Eindelijk begon het dataverkeer naar de sinkhole te lopen. Aan de andere kant van de wereld kwam Bogatsjev online. De aanval verstoorde zijn weekend. Misschien was hij eerst niet erg onder de indruk omdat hij eerdere aanvallen eenvoudig had afgeslagen. ‘Hij keek de kat uit de boom, want wist niet wat we hadden gedaan,’ herinnert Peterson zich. Maar toen gordde Bogatsjev zich opnieuw aan voor de strijd om het beheer over zijn netwerk te behouden. Hij testte het, leidde verkeer om naar nieuwe servers en probeerde de strategie van het team te ontrafelen. ‘Het was een cyberversie van een man-tegen-mangevecht,’ volgens de Pittsburghse aanklager David Hickton. ‘Fantastisch om naar te kijken.’
Het team kon de communicatie van Bogatsjev zien zonder dat hij het wist en schakelde zijn Turkse proxyserver uit. Vervolgens zagen ze dat hij via het anonieme Tornetwerk opnieuw online probeerde te komen in een wanhopige poging de schade te beperken. Ten slotte, nadat hij urenlang het ene na het andere gevecht had verloren, zweeg Slavik. De aanval werd hem te veel. ‘Hij moet hebben beseft dat justitie erachter zat en het niet zomaar een aanval van experts was,’ zegt Stone-Gross.
Het team in Pittsburgh haalde de hele nacht door. Zondagavond, bijna zestig uur later, wist het dat het had gewonnen. Op maandag 2 juni maakten de FBI en het ministerie van Justitie bekend dat het botnet was uitgeschakeld en dat tegen Bogatsjev een aanklacht op veertien punten was ingediend.
In de weken daarna namen Slavik en het team nog een paar keer de wapens op – Slavik voerde een tegenaanval uit toen Werner en Stone-Gross een presentatie hielden op een conferentie in Montreal – maar uiteindelijk won het team. Twee jaar later duurt het succes nog steeds voort: het botnet is niet opnieuw opgebouwd, hoewel wereldwijd nog zo’n vijfduizend computers met Zeusmalware zijn besmet. De sinkholeserver slokt al hun dataverkeer op.
Nasleep
Ongeveer een jaar na de aanval is zogeheten account-takeover-fraude nog steeds aan de orde van de dag. Onderzoekers en rechercheurs gingen er al langer vanuit dat tientallen bendes verantwoordelijk zijn voor grootschalige cybercrime tussen 2012 en 2014. Bijna alle diefstallen waren echter gepleegd door de Business Club. ‘Toen ik met dit werk begon zaten ze overal,’ zegt Peterson, ‘maar het is maar een klein netwerk, dat gemakkelijker is uit te schakelen dan je zou denken.’
In 2015 zette het Amerikaanse ministerie van Buitenlandse Zaken een premie van 3 miljoen dollar op het hoofd van Bogatsjev, de hoogste van de VS voor een cybercrimineel ooit. Hij is nog steeds op vrije voeten. Volgens bronnen bij Amerikaanse inlichtingendiensten gelooft de overheid helemaal niet dat Bogatsjev heeft deelgenomen aan de Russische campagne om de Amerikaanse verkiezingen te manipuleren. De regering-Obama zou hem onderdeel van de sancties hebben gemaakt om druk op de Russische overheid uit te oefenen. Ze hoopte dat de Russen Bogatsjev wilden overdragen als teken van goede wil, want het botnet waarmee hij succes had bestaat niet meer. Of misschien was de bijbedoeling dat iemand die 3 miljoen zou willen cashen door de FBI te tippen.
Maar de ongemakkelijke waarheid is dat Bogatsjev en andere Russische cybercriminelen ver buiten het bereik van Amerika liggen. De grote vragen in verband met de GameOver-zaak – Wat is de precieze relatie tussen Russische inlichtingendiensten en Bogatsjev? Klopt het dat hij zo’n 100 miljoen dollar heeft buitgemaakt? – werpen hun schaduw vooruit op de uitdagingen die de onderzoekers van de verkiezingsfraude staan te wachten.
Ook Mularski’s team en de cybersecurity-industrie staan nieuwe uitdagingen te wachten. De tactieken waar Bogatsjev in pionierde zijn gemeengoed geworden. Ransomware verspreidt zich steeds sneller. De botnets van nu – zoals Mirai, een netwerk van besmette Internet-of-Things-apparaten – zijn nog gevaarlijker dan de zijne.
Geen mens weet intussen wat Bogatsjev bekokstooft. In Pittsburgh komen regelmatig tips binnen over zijn vermeende verblijfplaats. Niets wijst erop dat hij weer actief is. Nog niet.
Wired bericht in print en online over de verbanden tussen technologische ontwikkelingen en cultuur, politiek en economie. Absolute referentie voor internationale technologie. Spraakmakende covers, ongeëvenaarde inhoud.
Deze website gebruikt cookies. Door de site te gebruiken gaan we er vanuit dat je ze accepteert. OK
Manage consent
Over onze cookies
Deze website gebruiks cookies die de gebruikservaring verbeteren. De cookies die we als noodzakelijk categoriseren worden opgeslagen door je browser en zijn essentiëel voor een goede werking van de basisfuncties van deze website. We gebruiken ook third-party cookies die ons helpen te analyseren hoe deze website gebruikt wordt. Deze cookies kunnen ook voor marketingdoeleinden worden gebruikt. Ze worden alleen door je browser opgeslagen als je daar toestemming voor geeft.
Onze noodzakelijke cookies zijn essentiëel voor het goed functioneren van deze website. De basisfuncties en beveiliging van deze website zijn hiervan afhankelijk. Deze cookies slaan geen persoonlijke informatie op.
