Russische hackers in Amerika: een tussenbalans

Volgens de Amerikaanse inlichtingendiensten staat zo goed als vast dat de Russische hackers, die zich in de verkiezingscampagne in de VS hebben gemengd, door FSB en GROe zijn aangestuurd. Vrijdag 6 januari maakten CIA, FBI en NSA hun rapport daarover openbaar. Maar omdat ook de Amerikaanse diensten niet al hun 'informatieposities' openbaren, is dit bewijs niet sluitend. Wat is bekend en wat (nog) niet: een tussenbalans.

door Hans de Vreij

In Moskou ging bij de inner circle van Vladimir Poetin gejuich op toen in november 2016 duidelijk werd dat Donald Trump de Amerikaanse presidentsverkiezingen had gewonnen. Althans, dat blijkt volgens de Washington Post en de omroep NBC uit onderschepte communicatie tussen Russische topfunctionarissen. Wie die communicatie begin november had onderschept, meldde de krant en de omroep niet. Een actie van de ‘afluisterdienst’ NSA zou voor de voor de hand liggen.

Zeker is wel dat in de eerste week van januari 2017 bepaalde overheidsfunctionarissen in Moskou meer dan tevreden in hun handen moeten hebben gewreven. Zo ook de leiding van de FSB en GROe, respectievelijk de civiele en militaire inlichtingen- en veiligheidsdienst. Zonder al te veel moeite hadden ze vanuit Moskou een ongeëvenaarde wig gedreven tussen een aanstaande Amerikaanse president, die de berichten over Russische hacks ontkende en later bagatelliseerde, en de  17 inlichtingendiensten die na de 20ste januari van de nieuwe president de ‘zijne’ zijn.

CNN zei daarom dat Trump nu ‘in oorlog’ is met de inlichtingendiensten. Op zijn beurt maakte Trump in tweets duidelijk geen hoge pet op te hebben van die diensten en al helemaal niet van de Democratische Partij die zich gewoon beter had moeten beschermen tegen cyber-aanvallen.

Terwijl het Witte Huis en de media meer en meer over de Russische cyber-aanvallen berichtten, reageerde Trump steeds feller met zijn tweets. Deze onmin is naar Amerikaanse maatstaven ongebruikelijk en lijkt dus alleen al daarom koren op de molen van het Kremlin. Wat er nu wel en niet bekend was over de hacks bleef wat op de achtergrond.

Belangrijkste conclusies

Tot vrijdag 6 januari. De Amerikaanse inlichtingendiensten CIA, FBI en NSA publiceerden toen hun overigens ongerubriceerde rapport over de hack-operatie, een Russische beïnvloedingscampagne die volgens de diensten persoonlijk verordonneerd is door president Poetin. De belangrijkste conclusies uit het rapport zijn deze:

• De Russische militaire inlichtingendienst GROe zou achter het hacken zitten. De FSB wordt in het rapport niet genoemd. De buitenlandse inlichtingendienst SVR duikt slechts éénmaal op, in verband met de Amerikaanse presidentsverkiezingen in 2008 die toen werden gewonnen door Barack Obama. 

• Volgens het Amerikaanse rapport verschafte de GROe zich al in juni 2015 toegang tot de servers van de Democratische Partij. Die inbraak duurde tot juni 2016.

• Het was volgens de Amerikaanse diensten de GROe, die de verkregen informatie en e-mails doorspeelde aan WikiLeaks.

• Een belangrijke rol in de beïnvloedingscampagne was volgens CIA, FBI en NSA weggelegd voor de Russische propagandazender RT (voorheen Russia Today). Die kreeg van WikiLeaks exclusieve toegang tot het illegaal verkregen materiaal.

Omdat het rapport ongerubriceerd is bevat het geen informatie over de manier waarop de drie diensten de informatie hebben verkregen en waarop hun conclusies zijn gebaseerd. Het is ook veel minder technisch dan het eind december verschenen rapport van het Department of Homeland Security en de FBI. 

Ongebruikelijk en uniek

De onmin tussen de aanstaande president en zijn inlichtingendiensten is ongekend in de Amerikaanse geschiedenis. Presidenten moeten kunnen vertrouwen op de informatie van de 17 civiele en militaire diensten. Wat zij vervolgens met die informatie doen, is een andere zaak. De grote vraag is: kan de ontstane kloof tussen Trump en de diensten nog gedicht worden of werpt dat een blijvende smet op het komende presidentschap? Een onderliggende vraag is: had de politiek onervaren zakenman Trump altijd al een afkeer van diensten als de CIA en FBI, of is dat iets dat ontstaan is tijdens de verkiezingscampagne, al dan niet gevoed door Rusland? En is die, vooral via Twitter geuite, afkeer nog te repareren?

Donald TrumpWikipedia
Donald Trump. augustus 2015. Foto Wikipedia

Dat de Russische diensten hinderlijke activiteiten uitvoeren tegen de VS en andere Westerse landen is geen nieuws. Dan doen zulke diensten nu eenmaal. Wat er nu in de VS is gebeurd, is niet uniek vanwege de gebruikte (digitale) methodes, maar wel uniek voor zover het de effecten betreft.

De vraag is of Moskou erop uit was ‘hun’ man Trump in het Oval Office te krijgen. Die optie veronderstelt dat Trump op de een of andere manier beïnvloedbaar is vanuit Rusland, of dat álles beter zou zijn dan Hillary Clinton, aan wie Vladimir Poetin een bloedhekel heet te hebben.  De andere mogelijkheid is dat het puur ging om het scheppen van tweespalt en wantrouwen in de Amerikaanse politiek. Dat laatste was volgens de Amerikaanse inlichtingendiensten zeker het oorspronkelijke doel van de Russische geheime diensten. Maar in oktober, een maand voor de verkiezingen, zouden zij ertoe over zijn gegaan Trump persoonlijk actief te ondersteunen.

Hacking en spearfishing

Het begon allemaal in juni vorig jaar toen duidelijk werd dat de Democratische Partij het doelwit was geweest van hacking en spearfishing (het gebruik van valse e-mails e.d. om malware te plaatsen). De Democraten hadden het particuliere beveiligingsbedrijf Crowdstrike ingehuurd om uit te zoeken waar de lekken zaten. Crowdstrike kwam tot de conclusie dat de Russische diensten erachter zaten, een conclusie die volgens het bedrijf bleek uit ‘verfijnde methodes die zijn gebruikt’. Resultaten van het hacken werden ‘gelekt’ naar de websites van WikiLeaks en DCleaks.

In september 2016 sprak president Obama zijn Russische ambtgenoot Poetin persoonlijk aan op de hackingactiviteiten tegen de Democratische Partij. ‘Cut it out’ (hou ermee op), voegde hij naar eigen zeggen Poetin toe tijdens een topconferentie van de G20 in China.

Daarop volgde in oktober een verklaring van het departement van Homeland Security (DHS) en de Office of the Director of National Intelligence, het overkoepeld orgaan van de 17 Amerikaanse inlichtingendiensten. Daarin stond dat de diensten ervan overtuigd waren dat de Russische regering achter de aanvallen zat ‘op Amerikaanse personen en organisaties, inclusief politieke organisaties’. De onthulling op DCLeaks.com en WikiLeaks stemde volgens de verklaring overeen met de ‘motivatie en methoden’ van eerdere Russische bemoeienis.

Op 29 december publiceerden DHS en FBI een openbaar rapport over de Russische hack-activiteiten onder de titel 'Grizzly Steppe’. Wie in dit rapport harde bewijzen voor Russische overheidsbemoeienis met de aanvallen op de Democratische en/of Republikeinse partij verwacht komt bedrogen uit. Het Joint Analysis Report noemt wel een 40-tal namen die de hackers gebruikten en waarachter men de FSB of GROe vermoedt, zoals ‘Cozybear’, ‘Fancy Bear’ en de entiteiten ATP28 en ATP29. Ook vrijgegeven zijn zo’n 850 IP-adressen die bij de aanvallen zijn gebruikt, en de locatie van de gebruikte servers.

Nederland scoort met tientallen zogeheten Command and Control (C2)-servers hoog op die lijst, wat volgens experts te verklaren is uit de centrale plek van Nederland in het internationale internetverkeer. De helft van het DHS/FBI-rapport bestaat overigens uit tips ter preventie van hacken en spearfishing.

Bronnenbescherming aan weerskanten

Het zou naïef zijn te veronderstellen dat geheime diensten als de FSB en GROe digitale sporen achterlaten die als de spreekwoordelijke broodkruimels direct naar hen terugwijzen. En mochten zulke sporen er al zijn, dan zullen hun Amerikaanse tegenstanders de details geheim houden. Wat dat betreft valt het op dat Washington de NSA (National Security Agency, dé dienst die dit soort zaken kan opsporen) nog in de publicitaire luwte houdt. Voor geheime diensten is hun ‘informatiepositie’ het hoogst denkbare goed. Wat weet men precies over de tegenstander en zijn werkwijzen? Publicatie van die kennis zou diezelfde tegenstander inzicht verschaffen in het kennisniveau en de technische mogelijkheden van de dienst in kwestie.

Tijdens een hoorzitting van de Amerikaanse Senaat, donderdag 5 januari , benadrukte de Director of National Intelligence, James Clapper, nog eens de noodzaak om de eigen capaciteiten (hij noemde ‘bronnen en methodes’) niet prijs te geven. Die donderdag is ook president Obama door de diensten gebriefd over de laatste stand van zaken, vrijdag was het de beurt aan Trump. Clapper kondigde aan dat begin volgende week een niet-geheime versie van een door Obama bevolen intelligence review over de Russische inmenging in de verkiezingen wordt gepubliceerd. Dit rapport zal ‘grotendeels’ door de CIA, FBI en NSA zijn opgesteld, zei Clapper.

PoetinbijGROeFotoKremlin
President Poetin en zijn toenmalige rechterhand Ivanov op het hoofdkwartier van de GROe. Foto Kremlin

Naïef is echter ook de veronderstelling van sommige computerexperts dat de FBI en/of DHS grote fouten hebben gemaakt in hun eerste rapport over het hacken. Zo ‘ontdekte’ men dat het rapport als een van de hacking-instrumenten software noemt die niet alleen sterk verouderd is, maar ook nog eens in Oekraïne is gemaakt. Dat betreft de software P.A.S. Kwestieus vond men ook dat het rapport van FBI/DHS vermeldde dat tegen Amerikaanse doelwitten versie 3.1.7. van de software werd gebruikt, terwijl versie 4.1.1. al door iedereen te downloaden is. Bovendien is ‘Made in Ukraine’ geen bewijs voor Russische activiteiten. Hetzelfde geldt voor de gemelde detectie van het gebruik van Cyrillische (Russische) computertoetsenborden.

Maar dat sommige ‘experts’ nu melden dat tientallen miljoenen mensen zulke toetsenborden gebruiken is natuurlijk een open deur. Het bewijst ook minder dan het lijkt. Misschien hebben de inlichtingendiensten ook andere aanwijzingen. Want ook de FBI en DHS zullen hun werkmethodes en ‘informatiepositie’ niet willen prijsgeven.

Van een andere orde is het nieuws dat de FBI niet zelf de aangevallen computers van de Democratische Partij zou hebben doorzocht. Dat nieuws komt tot nu toe uit één enkele bron, de nieuwssite Buzzfeed. De FBI heeft dat bericht tegengesproken. Volgens deze dienst was het juist de Democratische Partij zelf die geen toegang wilde verlenen tot haar servers.

Een goede samenvatting van de gebeurtenissen in de afgelopen dagen is te vinden in het artikel U.S. Spy Report Blames Putin for Hacks, But Doesn’t Back It Up. Dat meldt onder meer dat het rapport van CIA, FBI en NSA over het Russische hacken in drie varianten bestaat: niet-gerubriceerd, gerubriceerd (voor de leden van het Congres) en topgeheim (voor Obama en Trump).  Vermoedelijk staan alleen in die laatste versie de ‘echte’ geheimen vermeld: het bronmateriaal op basis waarvan de diensten hun conclusies hebben getrokken.

Boeiend is de passage over de houding van Donald Trump tegenover de inlichtingendiensten.  Het blijft natuurlijk speculeren, maar The Daily Beast veronderstelt dat de geheime briefing die Trump vrijdag kreeg zijn visie op de diensten in positieve zin kan hebben veranderd.

Dat het artikel de openbare versie van het rapport kritiseert is wat flauw: iedereen met ook maar de minste kennis van inlichtingendiensten kan begrijpen dat er in openbare geen geheimen kunnen staan, dat speelt potentiële tegenstanders alleen maar in de kaart.  Ook de gepresenteerde kritiek van beveiligingsbedrijven is wat gratuit: die hebben heel andere belangen dan overheden. Wat wel hout snijdt: de kritiek dat de informatie over de propagandazender Russia Today (RT) al vijf jaar geleden is gepubliceerd en dus deels verouderd of achterhaald is.

Tussenbalans

Vrijdag 6 januari heeft de aanstaande president Trump van de inlichtingendiensten een geheime briefing gekregen over de Russische activiteiten rond de verkiezingen. Dat is in meerdere opzichten interessant. Zo zal men op de twitter-timeline van Trump kunnen zien of hij in staat is om geheime informatie geheim te houden (zo niet, dan wacht hem zonder twijfel na zijn inauguratie op 20 januari snel een impeachment-procedure). Verder zal daar ook te lezen zijn of hij zijn uitgesproken negatieve houding ten opzichte van de diensten zal afzwakken.

Maandag 9 januari verschijnt een ‘schoongemaakte’ versie van het inlichtingenrapport van CIA, FBI en NSA over de Russische bemoeienis. Afgaande op de woorden van James Clapper mag daarin geen echt spannende informatie worden verwacht. Zoals eerder gesteld: bronnen, werkwijzen en informatiepositie van de diensten wil men koste wat het kost geheimhouden.

Meer boeiende informatie is te verwachten door lekken vanuit de geheime diensten. De afgelopen week waren er al een paar, maar dat betrof nog geen brisante zaken. Die zijn echter wel te verwachten, heeft de voormalige NSA-analist en publicist John Schindler voorspeld. Individuele medewerkers van de geheime diensten zullen het naar zijn verwachting niet echt lang pikken dat Trump hen voortdurend tegen de schenen schopt, en de weg naar de pers is simpel te vinden.

Interessant is ook of er meer informatie komt over de gemelde link tussen de Russische geheime diensten en WikiLeaks. Julian Assange heeft in alle toonaarden ontkend dat de door zijn club gepubliceerde e-mails van de Democratische Partij afkomstig zijn van de Russische overheid. Dat sluit niet uit dat de informatie via tussenpersonen naar WikiLeaks is gelekt. Wie zijn dat? De Amerikaanse geheime diensten zeggen hun identiteit inmiddels te kennen, maar wordt die kennis ook openbaar gemaakt?

En hoe zit dat nou precies met de samenwerking tussen de FBI en de Democratische Partij? Vast staat alleen dat er tussen de twee intensief contact is geweest over het hacken van de e-mails.  Maar was het de FBI die zelf geen blik wilde werpen op de servers van de partij, of wilden de Democraten juist de FBI geen inzage geven?

Voorlopig zijn er dus naar het lijkt meer vragen dan antwoorden in de zaak van het Russische hacken. In Moskou zelf speelt men uiteraard de vermoorde onschuld.

Eén ding is hoe dan ook zeker: wordt vervolgd.

Wekelijkse update?

Iedere donderdag uitgelichte artikelen in uw mailbox

Eerst doorlezen? U kunt zich ook later aanmelden via de home pagina.

Als u in uw browser de cookies blokkeert, ziet u deze popup steeds weer. Daarvoor excuus.