Den Haag strijdtoneel van digitale oorlog

Goedemorgen! Wat een week in cyberland. We kunnen hier wel vertellen waar we het vandaag over gaan hebben, maar dat weet je natuurlijk allang.

Het begon donderdagochtend met een cryptische uitnodiging voor een persconferentie op het ministerie van Defensie, samen met het Verenigd Koninkrijk. Omdat het Britse National Cyber Security Centre die ochtend al naar buiten bracht dat het Rusland verdacht van digitale aanvallen, was al vrij snel duidelijk dat het daarover moest gaan.

Maar dat maakte Cybernieuwtjes tegelijkertijd sceptisch over de nieuwswaarde. Waarom zou een Nederlandse persconferentie, riant gepland tijdens de Cyber Security Week, iets toevoegen aan de Britse beschuldiging?

Omdat een van de hacks waar we nog niet van wisten, zich op Nederlands grondgebied afspeelde, bleek even later. Het is uniek dat de Nederlandse geheime dienst zoveel informatie geeft over een hackoperatie.

Wat daarbij direct opviel is de brutaliteit. De vier Russen - twee hackers en twee HUMINT-types - deden weinig moeite om onder de radar te blijven. De medewerkers van inlichtingendienst GROe kwamen samen aan, werden op Schiphol begroet door een ambassademedewerker en bewogen zich samen door Den Haag en maakten foto’s van elkaar. Die lieten ze achter op hun apparaten, waardoor de MIVD ze er vanaf kon plukken (waren de laptops en telefoons versleuteld?).

De inlichtingenofficieren maakten tal van opsec-fouten: zo hadden ze laptops mee die bij eerdere hackoperaties waren gebruikt, soms zelfs jaren geleden. De MIVD was redelijk meedogenloos in het illustreren van de fouten van de vier - ook omdat de gemaakte fouten dienstdoen als bewijsmateriaal.

Tijdens de persconferentie kreeg Cybernieuwtjes zin om een flesje Mate open te trekken, zoveel details werden er uit de doeken gedaan. Het leek wel een reconstructie op Def Con of de CCC!

Maar na afloop begonnen we toch te twijfelen: is dat wel zo? We hebben veel gehoord over wie de vier Russen zijn, waar ze waren, we weten zelfs hun doopnamen en paspoortnummers - maar hoe zat de geplande hack zelf eigenlijk in elkaar? Hoe wilden ze inbreken op het wifi-netwerk?

Daarover weten we bijzonder weinig. MIVD-directeur Onno Eichelsheim zei dat de vier een methode gebruikten die de MIVD nog niet eerder had gezien. Wat bedoelde hij daarmee?

Een mogelijkheid: de MIVD wist niet dat de Russen de moeite nemen om het vliegtuig te pakken, een Citroën C3 te huren en te klungelen met een Wi-Fi Pineapple. Kan. Andere theorie: ze bezaten een zero-day-exploit - een nog niet eerder waargenomen beveiligingslek - om in te loggen op het wifi-netwerk van de OPCW, zonder een wachtwoord te hoeven invoeren.

Dat zou een lek kunnen zijn in de firmware van de wifi-router die de OPCW gebruikte, of een lek in het wifi-protocol zelf. Dat laatste zou de meeste impact hebben. Het is ernstige speculatie en alleen MIVD zou hierover duidelijkheid kunnen verschaffen, maar kiest erover om dat niet te doen vanwege de ‘modus operandi’.

Als een lezer van Cybernieuwtjes hier toevallig meer over weet, kan tippen natuurlijk altijd. Anonimiteit gegarandeerd.

Dat de vier gepakte Russen geen uitzondering zijn qua slordigheid, blijkt uit een onthulling van Bellingcat. Het onderzoekscollectief besloot uit te zoeken of de vier hun echte namen gebruikten (ja) en kwam er achter dat een van hen, Aleksei Morenets, zijn auto had geregistreerd op een adres van een een GROe-basis.

Hij was geen uitzondering: 305 auto’s staan geregistreerd op het adres van de GROe. Iedereen met toegang tot de database van de Russische RDW - waaronder Bellingcat - kan daardoor mogelijk achter de identiteiten van honderden GROe-medewerkers komen. Inclusief paspoortnummers.

Dat zou een van de grootste datalekken bij een inlichtingendienst in de recente geschiedenis zijn, aldus Bellingcat.

Waarom al dat GROe-personeel zijn auto zo graag op het adres van de zaak registreerde? Alexander Gabuev van het Carnegie Moscow Center heeft wel een theorie.

Bloomberg bracht een explosief verhaal over spionage-chips ter grootte van een rijstkorrel, die op server-moederborden van het bedrijf Supermicro zouden zijn aangebracht. Onder meer Apple en Amazon zouden die moederborden hebben gebruikt.

We hopen dat de journalisten die maandenlang aan dit verhaal hebben gewerkt, een sterke maag hebben, want het verhaal wordt ontkend door alle betrokkenen: Apple, Amazon, de Chinese overheid, en SuperMicro zelf.

Wat is vervelender dan een datalek? Een datalek bij een club waarvan je niet wist dat-ie je data had. Dat is het geval bij Apollo. Het bedrijf noemt zich een sales science platform designed to deliver prescriptive insights. Cybernieuwtjes noemt het een toko die persoonlijke info scrapet zonder toestemming en die verkoopt aan de hoogste bieder.

De database van Apollo bleek eenvoudig toegankelijk zonder wachtwoord. Met daarin 126 miljoen unieke e-mailadressen, maar ook namen, telefoonnummers en geolocatiedata. De data is ook verstrekt aan HaveIBeenPwned, dus je kunt eenvoudig uitvinden of je voorkomt in het lek.