Een hack in Amsterdam leidt in 2020 tot groot alarm. De Nederlandse politie heeft aanwijzingen gevonden dat Rusland mogelijk een ingang heeft bij belangrijke Europese organisaties. Wat gebeurt er met de Nederlandse noodkreet?
Door Huib Modderkolk
Fotografie Joris van Gennip
Een rechercheur van de Nederlandse politie doet in het voorjaar van 2021 iets opmerkelijks. Al maanden is de politie betrokken bij een opsporingsonderzoek naar een ernstige hack – genaamd 26Blackburn – bij een internationale organisatie in Amsterdam. Ze komen alleen niet verder, het spoor loopt dood.
Rechercheurs en Openbaar Ministerie maken zich grote zorgen. Ze zijn ervan overtuigd dat de dreiging die uitgaat van de aanvallers niet is weggenomen. Sterker, ze zouden zo weer kunnen toeslaan.
Daarom zet de politieman een zeldzame stap: hij stelt een notitie op om de wereld te waarschuwen. De rapportage, die het stempel ‘urgent verzoek’ krijgt en in het bezit is van de Volkskrant, leest als een noodkreet. Het gaat over een ‘aanhoudend risico’. Over het onderkennen van een volgende aanval op Europese instellingen en ‘wellicht zelfs’ het voorkomen van nieuwe slachtoffers. In vetgedrukte letters staat er: ‘Let wel: het gevaar is [...] niet geweken.’
Fragment uit politienoodkreet
De notitie toont wat er gebeurt als hackers van een Russische veiligheidsdienst in Nederland toeslaan. Hoe de instanties reageren. En waarom het niet lukt om de dreiging weg te nemen.
Het laat zien waarom Nederland en Europa nog steeds geen goed antwoord hebben op spionage uit China en Rusland. Een gevaar waar inlichtingendiensten in 2020 al luidkeels voor waarschuwden. ‘Steeds meer spionage – economisch en politiek – gebeurt digitaal. Onder meer Rusland probeert op grote schaal of het andermans ICT-systemen kan binnendringen’, schreef de algemene inlichtingendienst AIVD in 2020.
De Volkskrant onderzocht wat er voorafging aan de vertrouwelijke notitie en wat er gebeurde nadat de noodkreet in 2021 de wereld in was gegaan. De krant sprak met politiemedewerkers, ambtenaren en beveiligingsexperts in Nederland en daarbuiten, deed diverse informatieverzoeken bij de politie, ministeries en Europese instanties en kreeg inzage in vertrouwelijke rapporten en mails.
In de nieuwbouw van het Europees Geneesmiddelenbureau (EMA) aan de zuidkant van Amsterdam, een glazen kolos van negentien verdiepingen, kijken systeembeheerders in de ochtend van 1 december geschrokken naar inlogdata. Om 2 uur ’s nachts is er een verdachte login op het netwerk geweest. Enkele uren daarna heeft een onbekende geprobeerd de gehele database met wachtwoorden en gebruikersnamen van de honderden medewerkers van de Europese instelling te downloaden. Die actie heeft een alarm doen afgaan.
De EMA doet wetenschappelijk onderzoek, houdt toezicht en is verantwoordelijk voor de veiligheid van medicijnen in Europa. Het instituut staat onder hoogspanning: het coronavirus heeft het openbare leven platgelegd; razendsnel ontwikkelde vaccins zijn een mogelijke uitweg uit de crisis, maar er is ook protest vanwege wantrouwen in de vaccins met hun revolutionaire ‘mRNA’-techniek. Aan de EMA om een secuur oordeel te vellen. Een inbraak op het goedbeveiligde systeem en toegang tot de zeer vertrouwelijke medische informatie zou uitermate pijnlijk zijn.
De EMA schakelt direct de hulp in van CERT-EU, dat Europese instellingen bijstaat en adviseert bij digitale incidenten. Het Geneesmiddelenbureau mag fysiek in Amsterdam staan, Nederland heeft geen rol bij de digitale beveiliging van internationale organisaties. Het is een bureaucratische werkelijkheid die de respons bij een aanval kan bemoeilijken.
Als de eerste sporen wijzen op een ernstige hack, neemt de EMA contact op met de Nederlandse politie. Dat verwijst door naar het Team High Tech Crime in Driebergen, een specialistisch opsporingsteam dat de meest impactvolle digitale misdaadzaken onderzoekt.
Daar vragen ze zich af of ze de juiste partij zijn. Als sprake is van buitenlandse spionage, is het logischer dat inlichtingendienst AIVD betrokken raakt.
De Nederlandse reactie op dreigingen loopt langs afgebakende kaders: bij criminele vermoedens komt de politie in actie, bij statelijke de inlichtingendienst. Rusland test dit institutionele hokjesdenken van het Westen al langer. Door bijvoorbeeld samen te werken met criminele hackers die Europese bedrijven afpersen met gijzelsoftware. Of door ‘gewone’ olietankers onderzeese kabels kapot te laten trekken.
Volgens een betrokkene houdt de AIVD de boot af. De dienst ziet voor zichzelf geen rol, omdat de EMA een Europese organisatie is: de AIVD onderzoekt dreigingen gericht tegen de nationale veiligheid. Deze omissie speelt vaker in discussies rond incidenten bij internationale instellingen in Nederland, zeggen bronnen. Zoals bij het Internationaal Strafhof, dat geregeld doelwit is van buitenlandse staten.
Team 3 van de High Tech Crime-eenheid begint, zes dagen na de ontdekking van verdachte activiteiten op het netwerk van de EMA, officieel aan het onderzoek in Amsterdam. Doel: vaststellen of er strafbare feiten zijn gepleegd en door wie.
Bij de EMA is een bonte verzameling specialisten aan het werk, met ieder een afzonderlijk belang. Eigen experts van het Geneesmiddelenbureau, die de systemen zo snel als mogelijk schoon willen hebben.
Technici van CERT-EU, die de aanvalsmethode onderzoeken om andere Europese instellingen te kunnen adviseren.
En deskundigen van het Amerikaanse bedrijf RSA, dat een identificatiesysteem aan de EMA levert. RSA wil weten of de aanvallers hun software hebben misbruikt.
Alleen het Team High Tech Crime heeft als primair doel om te achterhalen wie de aanval heeft gepleegd. Geen eenvoudige taak: bij hacks lukt het zelden om de daders te identificeren, zeker niet als de inbraak het werk is van een buitenlandse staat.
De EMA stelt in een korte verklaring doelwit te zijn van een cyberaanval. Verdere details verstrekt de instelling niet. Slachtoffers van een hack zijn vaak terughoudend met informatie. Officieel omdat ze het onderzoek niet willen belemmeren. Een andere reden is dat ze geen trek hebben in lastige vragen van klanten en de buitenwereld.
Diezelfde dag schrijven de vaccinmakers Biontech en Moderna dat bepaalde documenten ‘onrechtmatig’ zijn ingezien, een eerste indicatie dat de hackers tot ver in het systeem kwamen. Beide medische partijen benadrukken dat de hackers niet bij informatie over proefpersonen voor de vaccins konden komen.
Specialisten van Team High Tech Crime ontdekken op het EMA-netwerk sporen van aanvallers die maanden teruggaan. In elk geval ‘vanaf 30 juli 2020’ – vier maanden voor de ontdekking van verdachte activiteiten – werden ’s nachts ‘vertrouwelijke documenten’ geraadpleegd, noteren de rechercheurs.
In het politierapport staat later dat het gaat om ‘ongeoorloofde toegang tot kennis van covid 19-vaccins en persoonlijke correspondentie’. De hackers haalden ‘hoog-confidentiële documenten’ binnen. Ondanks de publiekelijke ontkenning van Moderna en Biontech bevatten deze stukken volgens de politie wel degelijk ‘gegevens van proefpersonen voor de vaccins’.
Fragment uit politienoodkreet
Op het darkweb verschijnt om 15 uur ’s middags een bericht in het Russisch met een link naar gestolen EMA-documenten. Enkele uren later volgt op een ander forum een verwijzing naar het bericht, onder de kop ‘Astonishing fraud Evil Pfizer!!’ Meer dan 33 MB aan interne documenten staat online, waaronder schermafbeeldingen, mails en PDF-files uit een beveiligde portal. De intentie is helder: schade toebrengen aan de geloofwaardigheid van EMA en westerse vaccinontwikkelaars.
CERT-EU stuurt een ‘dreigingsupdate’ naar nationale cybercentra door heel Europa. In het vertrouwelijke rapport – TA-20-051-REV1 – staan technische details over de hack bij de EMA, zodat specialisten in Europa weten waarop ze moeten letten.
Beveiligingsbedrijven en overheden delen permanent dit soort informatie met elkaar. Hackers passen daarom hun methoden voortdurend aan. Een Europese ontvangende partij noemt de info van CERT-EU uit het rapport over EMA ‘vrij summier’.
Rechercheurs van het Team High Tech Crime doen een verontrustende ontdekking: sporen van de inbraak lopen naar twee inhuurkrachten bij de EMA. Ze hebben verschillende rollen binnen het Geneesmiddelenbureau en kennen elkaar niet.
Wat de vondst extra zorgelijk maakt, is dat ze bij dezelfde Griekse IT-dienstverlener, UniSystems, werken. Een groot bedrijf, met een omzet van 180 miljoen euro in 2023, dat door heel Europa IT-diensten levert aan telecombedrijven, energiepartijen, de bankenwereld en vele EU-instellingen. Van politieorganisatie Europol tot de Europese luchtvaartautoriteit, van de Raad van Europa tot het Europese agentschap voor chemicaliën.
Het kantoor van het Europees Geneesmiddelenbureau (EMA) in Amsterdam, waar de hack plaatsvond.
‘Tijdens het opsporingsonderzoek werd duidelijk dat via het (EMA-)netwerkaccount van deze UniSystems-inhuurkracht al vanaf juni 2020 ongebruikelijke activiteiten plaatsvonden’, schrijven de rechercheurs. Het account van de andere UniSystems-medewerker werd gebruikt om in een applicatie te komen met tientallen wachtwoorden van servers en software van de EMA. De politie vond bewijs ‘dat een export van gegevens vanuit deze wachtwoordapplicatie heeft plaatsgevonden’.
De rechercheurs zijn zich bewust van de implicaties. ‘Het risico was niet beperkt tot de EMA’, zoals een van hen later zegt. De aanvallers hebben waarschijnlijk toegang tot UniSystems en via hen tot wie weet hoeveel andere Europese organisaties. Een bom onder de digitale veiligheid van Europa.
De zaak lijkt sterk op een enorme hack die op dat moment wordt ontdekt in de Verenigde Staten. Zonder dat iemand het doorhad, waren Russen een Texaans softwarebedrijf, SolarWinds, binnengedrongen. Ze pasten de code van SolarWinds aan en stuurden die middels een update naar duizenden klanten van het bedrijf. Door die stap, had de Russische veiligheidsdienst in één klap toegang tot een belangrijk deel van de Amerikaanse overheid en het bedrijfsleven. Ze kwamen zelfs bij de mails van het kantoor van president Donald Trump.
Voor de Nederlandse politie is er maar één manier om erachter te komen of Europa zijn eigen SolarWinds heeft: onderzoek doen bij het Griekse bedrijf. De politie zoekt contact en wil volgens bronnen logbestanden inzien om de ernst van het gevaar te kunnen inschatten.
De interne documenten van de EMA verschijnen op steeds meer hackersfora en belanden bij media. EMA weigert aanvankelijk commentaar, de instelling wil niet reageren op ‘gestolen’ stukken. Maar als Business Insider een artikel maakt over de druk die de Europese Commissie uitoefende op de EMA om coronavaccins goed te keuren – geschreven op basis van de gelekte stukken – volgt een persbericht van het Geneesmiddelenbureau. Dat stelt dat ‘sommige correspondentie door de daders dusdanig is gemanipuleerd dat het vertrouwen in vaccins kan worden ondermijnd’.
Wereldwijd pikken media die mededeling op. Van persbureau AP tot Yahoo News, van de Washington Post tot NRC. ‘Hackers pasten vertrouwelijke documenten EMA aan’, schrijft de krant. Maar journalisten die de stukken analyseren, zien die manipulatie niet terug. Nieuwsmedium Follow the Money krijgt, ondanks herhaaldelijk aandringen, geen bewijs van het geknoei te zien.
Experts van het Amerikaanse RSA wijzen een dader aan. In een interne notitie schrijven ze dat een ‘Russische actor’ achter de aanval op het Geneesmiddelenbureau zit. Ze schrijven dat het ‘waarschijnlijk’ gaat om APT29, onderdeel van Ruslands buitenlandse veiligheidsdienst SVR. Dezelfde groep is verantwoordelijk voor de hack bij SolarWinds.
De infiltratie in de EMA is volgens de Amerikanen onderdeel van een ‘gecoördineerd’ offensief op alles wat met westerse vaccins te maken heeft. De Russen konden volgens RSA het identificatiesysteem misbruiken, omdat het Geneesmiddelenbureau dat minder strikt had afgesteld dan voorgeschreven. Er was een vinkje in de software voor tweestapsverificatie uitgezet, waardoor het mogelijk was om meerdere apparaten als ‘authenticatiemiddel’ te gebruiken. Zo kregen de Russen toegang, waarna ze op slimme wijze hun IP-adres maskeerden om maandenlang ongestoord te kunnen inloggen op het EMA-netwerk. Een betrokken bron: ‘Laksheid van de EMA heeft de hack veroorzaakt.’
De frustratie bij het Nederlandse opsporingsteam is groot. Om te achterhalen hoe de aanvallers in het systeem van UniSystems kwamen en hoe groot het gevaar voor Europese instellingen is, is onderzoek bij het Griekse IT-bedrijf cruciaal. Maar daarvoor is de hulp nodig van de Griekse autoriteiten. Veel meer dan vriendelijk verzoeken kunnen de Nederlandse rechercheurs niet.
Het contrast met de Amerikaanse reactie op SolarWinds is groot: opsporingsdienst FBI heeft, samen met afluisterdienst NSA, cybercenter CISA en de directeur Nationale Inlichtingen, meteen een stuurgroep opgericht. ‘Onze acties om cyberdreigingen te bestrijden, hebben de meeste impact als ze gezamenlijk, gericht en in de juiste volgorde worden uitgevoerd’, stelt de FBI.
Hoe groot de schade in Europa is, kan de politie niet onderzoeken. Ze laat het er niet bij zitten. Een politieman neemt het initiatief om de ‘ervaringen binnen Blackburn’ op te schrijven. Zo hoopt hij alsnog de Griekse autoriteiten en Europese instanties te bewegen tot actie.
Politie en OM zijn ervan overtuigd dat de ‘cyberdreiging’ rond UniSystems ‘niet weggenomen is’, staat in de notitie. Ze roepen Griekse opsporingsdiensten op om ‘digitaal forensisch onderzoek’ mogelijk te maken bij de Griekse IT-partij. Dat moet een ‘beeld geven’ van de situatie bij UniSystems, waar ‘meerdere digitale deuren waarschijnlijk nog openstaan voor hackers’. De recherche wil dat de Grieken ‘mailboxen, het interne netwerk, logbestanden en de screening van het personeel’ bij UniSystems inspecteren.
In de eerste plaats […] een beeld moeten geven van de situatie bij UniSystems, waar meerdere digitale deuren waarschijnlijk nog open staan voor hackers. Het gaat onder meer om analyseren van de mailboxen, het interne netwerk, logbestanden en screening van het personeel.
Dit ‘urgente verzoek’ heeft nog een tweede doel: gebruik de EMA-hack om de internationale coördinatie rond cyberdreigingen van Europese instellingen beter te organiseren, schrijft de politie,. Zo kan de aanpak van dit ‘gevaar’ dienen ‘als voorbeeld van Europese samenwerking.’
De top van de politie is tevreden. ‘Mooi stuk waarin genuanceerd staat uitgelegd wat voor probleem we ervaren in Europa’, mailt een leidinggevende. ‘And now we wait’, schrijft een ander.
Wat volgt is wekenlange afstemming tussen politie en OM waar dit verzoek moet worden ingebracht. De een denkt aan het ministerie van Justitie en Veiligheid. Een ander suggereert het Nationaal Cyber Security Center. Er is enige haast bij, de zomervakantie komt eraan en Den Haag gaat op slot. ‘Morgen rijden we naar het pittoreske Drenthe. Na de vakantie maak ik hier graag werk van’, mailt een ambtenaar.
Het stuk landt uiteindelijk bij het Nationaal Cyber Security Center (NCSC). Een ambtenaar van die organisatie laat op 30 juli weten geen rol voor het NCSC te zien, omdat het een dreiging van Europese organisaties betreft. ‘Het lijkt ons goed om CERT-EU opnieuw te attenderen op operatie 26Blackburn en (...) meer druk op het onderzoek te zetten.’ Zo gaat de noodkreet van de politie pal voor de zomervakantie Europa in.
Wat gebeurde er met het urgente politieverzoek? Werd de zo ernstig geachte cyberdreiging bij UniSystems weggenomen? Om antwoord te krijgen op deze vragen heeft de Volkskrant alle betrokken instanties over een periode van enkele maanden specifieke vragen gesteld, waar veelal nietszeggende of ontwijkende antwoorden op kwamen.
CERT-EU, de Europese cybersecurity service, laat weten enkel een ‘adviserende’ en ‘coördinerende’ instantie te zijn. De organisatie kan geen veiligheidsonderzoeken doen bij private partijen. Ze kon het Nederlandse verzoek alleen doorgeleiden naar Griekenland. Een bron dicht bij CERT-EU vermoedt dat het is doorgegeven aan de Griekse autoriteiten, maar weet niet of er reactie kwam. De Griekse digitale autoriteit en politie hullen zich in stilzwijgen. Het hoofd van de digitale autoriteit laat via sms-contact weten niet inhoudelijk te willen reageren.
Ook UniSystems gaat aanvankelijk niet in op vragen en verwijst naar de Nederlandse politie. Op een reeks specifieke vervolgvragen, beweert UniSystems dat er nooit een ‘veiligheidsgerelateerd incident’ is geweest bij het leveren van ICT-services aan Europese instituties. Beschuldigingen of insinuaties over UniSystems zullen het bedrijf ernstige schade toebrengen, voegt het management toe, en het bedrijf behoudt zich alle rechten voor om de eigen integriteit te beschermen.
Verspreid over verschillende Europese landen heeft (of had) IT-bedrijf UniSystems sinds 2012 veel belangrijke Europese instanties als klant, zoals Frontex (Polen) en Europol (Nederland). Ook heeft het bedrijf klanten als banken en universiteiten in Oost- en Zuidoost Europa.
Bron: UniSystems
Als de Volkskrant vervolgens passages uit het politierapport deelt met daarin de beschuldiging over de twee inhuurkrachten van UniSystems en de informatie dat er waarschijnlijk digitale deuren openstaan bij het Griekse bedrijf, reageert UniSystems niet meer.
De Nederlandse politie komt, na ‘behoorlijk wat uitzoekwerk’, met een korte reactie. De conclusie is ontnuchterend: na het versturen van het ‘urgente verzoek’ aan CERT-EU en NCSC in juli 2021 heeft de politie nooit meer iets vernomen. Noch het Openbaar Ministerie noch de korpsleiding heeft een reactie gekregen. ‘Vaak krijgen we een terugkoppeling. Van deze partijen hebben we geen terugkoppeling gekregen’, mailt de politiewoordvoerder.
Om te achterhalen of de Griekse politie ooit actie heeft ondernomen, schakelt de Volkskrant de Griekse journalist Tasos Telloglou in. Hij ontdekt dat UniSystems begin 2021 contact heeft gehad met de Nederlandse politie en kort daarna nog eens met de Griekse politie. Twee politiebronnen stellen onafhankelijk van elkaar dat de betrokkenheid van de Griekse politie te maken had met een Nederlands bevel tot ‘inbeslagname’. Dit speelde in de periode dat de Nederlanders hun opsporingsonderzoek deden, waarna ze concludeerden dat het spoor doodliep. Het ‘urgente verzoek’ om alsnog een forensisch onderzoek te doen bij UniSystems, dateert van daarna.
In een laatste poging meer te achterhalen, komt de journalist met verrassend nieuws. ‘Er heeft geen apart Grieks onderzoek in deze kwestie plaatsgevonden’, vertellen twee bronnen hem. De noodkreet van de Nederlandse politie uit de zomer van 2021 om de dreiging bij het Griekse UniSystems grondig te onderzoeken, werd niet serieus genomen. Het initiatief van de Nederlanders werd niet, zoals de politie hoopte, een voorbeeld van succesvolle Europese samenwerking. En het gevaar van Russische spionage in Europa werd niet weggenomen.
Huib Modderkolk is onderzoeksjournalist bij de Volkskrant met als specialisatie cybersecurity en inlichtingendiensten.
Met medewerking van Erik Verwiel.
Grafieken en visualisatie door Marien Jonkers, Titus Knegtel en Eleanor Mohren.
De European Medicines Agency (EMA) is vorig jaar gehackt door een Russische inlichtingendienst en een Chinese spionagegroep. De Russen kwamen tot in het interne netwerk, mede door een instelling in het authenticatiesysteem van EMA waardoor ze de tweestapsverificatie konden misbruiken, zo blijkt uit onderzoek van de Volkskrant.
Een eerste succes is geboekt. Reconstructie van operatie 'magnus' tegen ‘misschien wel de grootste dreiging van het moment’: infostelers.
Als een Nederlandse AIVD-agent apparatuur weet te installeren in het zwaarbeveiligde nucleaire complex van Iran, is dat het begin van een nieuw tijdperk: de digitale oorlogsvoering door landen. De inlichtingendienst handelde op verzoek van de Verenigde Staten en Israël, maar was totaal onwetend van de geopolitieke gevaren, blijkt uit Volkskrant-onderzoek. ‘Dit is een oorlogsdaad.’
Source: Volkskrant