MIVD verstoort cyberaanval Rusland in Den Haag
De MIVD heeft op 13 april een Russische cyberaanval van vier militaire inlichtingenofficieren op het OPCW in Den Haag verstoord. De vier Russen zijn op een vlucht naar Rusland gezet, de Russische ambassadeur is donderdag op het matje geroepen.
Minister Ank Bijleveld noemt de cyberaanval „zeer zorgelijk.” Nederland onthult de operatie van de Russische militaire inlichtingendienst GRU, omdat Rusland „echt moet stoppen” met deze cyberaanvallen. „Onacceptabel”, verklaarde de minister van Defensie over de „ondermijnende” Russische cyberoperatie.
Nederland informeert internationale partners om de Russische cyberaanval aan de kaak te stellen. „Nederland geeft hier een signaal mee af.” De identiteit van de vier Russische officieren zijn donderdagmiddag in Den Haag bekendgemaakt.
Bekijk de tijdens de persconferentie getoonde Powerpoint-presentatie
Minister Bijleveld en directeur Eichelsheim van de Militaire Inlichtingen en Veiligheiddienst (MIVD) hebben de cyberoperatie op het OPCW, de organisatie voor het verbod op chemische wapens, donderdagmiddag in Den Haag toegelicht. „Een uitzonderlijke stap bij contra-cyberoperaties.”
De vier Russen zijn op 10 april vanuit Moskou naar Schiphol gereisd met diplomatieke paspoorten. De vier officieren hebben, onder begeleiding van een medewerker van de Russische ambassade, een Citroën C3 gehuurd die is gebruikt bij de hackpoging van de OPCW.
Russen hebben de hackpoging van het wifinetwerk vanaf korte afstand van het OPCW uitgevoerd met een nog niet bekende techniek, aldus MIVD-directeur Eichelsheim. De vier officieren van de Russische militaire inlichtendienst hebben eerder verkenningen uitgevoerd rond OPCW vanuit de omgeving. Bijvoorbeeld door foto’s te maken van het OPCW.
Op vrijdag 13 april parkeerden de Russen hun gehuurde Citroen C3 op parkeerterrein bij Mariothotel, zo dicht mogelijk met de kofferbak richting OPCW. In kofferbak heeft de MIVD hoogwaardige apparatuur aangetroffen om wifinetwerken te hacken. Een antenne was netjes afgedekt met een jas. Een laptop werd aangestuurd via 4G-netwerk. De accu voor de laptop was aangeschaft op 11 april.
Door de inzet op 13 april rond 16.30 uur actief op parkeerplaats op het Mariothotel ontstond „een directe dreiging tegen OPCW”, aldus MIVD-directeur Eichelsheim. „Mijn taak is om zo’n operatie te verstoren. De OPCW geniet bescherming in Nederland.”
Geen vakantie
Een „geslaagde operatie”, verklaarde generaal Eichelsheim donderdagochtend over de verstoorde Russische operatie. De vier waren volgens de MiVD-directeur duidelijk niet op vakantie in Nederland. „Zij maakten gebruik van operationele inlichtingen met een veelvoud aan telefoons van verschillende merken.”
De Russen waren zich zeer veiligheidsbewust, aldus de MIVD-baas. Bij de verstoring van hun actie, probeerden ze direct hun telefoons kapot te maken. „Gelukkig zijn telefoons iets sterker, kapot maken. Bovendien hadden de vier 20.000 euro en 20.000 dollar bij zich.” De generaal verklaarde dat toeristen doorgaans niet zoveel geld op zak op vakantie.
In een rugzak van een van de vier officieren is extra, specialistische apparatuur om hackoperaties uit te voeren, aangetroffen, waaronder een signaalversterker speciaal voor deze operatie. Uit onderzoek van een aangetroffen telefoons –Sony Experia– blijkt dat deze in april in Moskou is geactiveerd via een gsm-mast dichtbij de GRU-kazerne in Moskou, waar de militaire inlichtingendienst is gevestigd.
MH-17
Bij een van de vier is een taxibonnetje aangetroffen van 10 april, voor een taxirit vanaf de kazerne naar de luchthaven van Moskou op 10 april. Deze straat grenst aan uitgang van GRU-kazerne. Op een laptop zijn login gegevens gevonden Bovendien zijn logingegevens aangetroffen van een locatie in Lausanne, Zwitserland, waar tussen 20 en 22 september ook een hackoperatie is uitgevoerd. Ook uit Kuala Lumpur in Maleisie zijn logingegevens gevonden, van een locatie in de buurt van een organisatie die zich bezighoudt met het MH17-onderzoek.
De vier Russen wilden vanuit Nederland doorreizen naar Zwitersland. De MIVD heeft treintickets gevonden van Utrecht naar Zwitserland op 17 april. Met het voorkomen van de hackoperatie bij het OPCW is waarschijnlijk ook een cyberoperatie in Zwitserland voorkomen.
Eichelsheim wijst erop dat cyberdreiging niet alleen in het buitenland voorkomen, maar ook in eigen land. „De GRU is actief in Nederland, waar vele internationale organisaties actief zijn.” De MIVD is bezig dit soort operaties te verstoren. Eichelsheim en Bijleveld verklaarden „trots” te zijn op de MIVD-medewerkers.
Vraag blijft waarom de GRU op een redelijk onprofessionele manier een cyberaanval uitvoert in Nederland. Die vraag moet aan de GRU worden gesteld, aldus de MIVD-directeur. Hij wijst erop dat de GRU „een serieuse tegenstander” is die professioneel opereert.
