Het ministerie van Defensie en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) maakten donderdag bekend afgelopen april een Russische hackoperatie op chemische-wapenwaakhond OPCW in Den Haag te hebben verijdeld. Hoe kwam de MIVD de hackers op het spoor?

10 april

De hackers Aleksei Morenets (41) en Evgenii Serebriakov (37) en ondersteuningsagenten Oleg Sotnikov en Aleksey Minin (beiden 46) vliegen vanuit Moskou naar Schiphol. De mannen hebben allemaal een diplomatiek paspoort. Op de nationale luchthaven worden ze opgehaald door een assistent van de Russische ambassade, die hen naar het Marriott Hotel in Den Haag rijdt. 

Het hotel ligt naast het hoofdkantoor van de OPCW. De chemische-wapenwaakhond onderzoekt op dat moment de vergiftiging van de Russische oud-dubbelspion Sergei Srkipal in het Engelse Salisbury en de inzet van chemische wapens door het regime van Ruslands Syrische bondgenoot Bashar al-Assad. De vier Russische officieren werken voor de GRU, de militaire inlichtingendienst. Ze hebben opdracht gekregen het wifi-netwerk van de OPCW te hacken.

De Russen zijn goed voorbereid: ze hebben hackapparatuur bij zich, als ook 20.000 euro en 20.000 dollar in contanten. 

De Russische inlichtingenofficieren na hun aankomst op Schiphol op 10 april. V.l.n.r.: Morenets, Sotnikov, Minin, Serebriakov, medewerker Russische ambassade. (Foto: Defensie)

11 april

Het team huurt een Citroën C3 en schaft in een Haagse watersportwinkel een accu plus lader aan. Ondersteuningsagent Minin gebruikt zijn camera om de omgeving van het OPCW-hoofdkwartier vast te leggen.

Wat de Russen niet weten is dat de MIVD hen door eigen contra-spionageactiviteiten en inlichtingen, verstrekt door het Verenigd Koninkrijk, in het oog heeft gekregen. Al snel wordt aan de hand van die gegevens duidelijk dat de GRU-officieren een zogeheten close-access-hack-operatie willen uitvoeren en dat het OPCW het beoogde doelwit is.

12 april

De spionnen leggen de laatste hand aan de voorbereiding van hun operatie. Minin maakt meer foto's.

De Russische hackers op de parkeerplaats naast de OPCW in Den Haag. (Foto: Defensie)

13 april

De Russen zetten hun huurauto op de parkeerplaats van het Marriott Hotel, dat naast het gebouw van de OPCW staat. De kofferbak is omgetoverd tot hackinstallatie met de meegebrachte en in Den Haag aangeschafte apparatuur. Verstopt onder een jas op de hoedenplank ligt een antenne die op het pand van de chemische waakhond wordt gericht. In de rugzak van Serebrjakov zit extra hackapparatuur.

De MIVD detecteert om 16.45 uur dat de apparatuur in de kofferbak actief wordt en grijpt meteen in. De operatie van de Russen wordt 'verstoord'. Over hoe dat precies gebeurde en hoe ver de hack op dat moment was gevorderd, doen de autoriteiten geen uitspraken. Morenets probeert nog zijn mobiele telefoon kapot te stampen, maar slaagt daar niet in. 

MIVD-directeur-generaal Onno Eichelsheim vertelt maanden later dat de ingreep door zijn mensen zo snel gebeurde, dat hij het onwaarschijnlijk acht dat de Russen data hebben weten te stelen. 

De vier Russische inlichtingenofficieren worden nog die avond in een vliegtuig naar Moskou gezet.

Dat ze niet worden opgepakt, komt volgens minister Ank Bijleveld van Defensie doordat de MIVD ingreep voor de Russen een strafbaar feit konden plegen. Daarnaast zouden arrestaties het lastiger hebben gemaakt hun apparatuur in beslag te nemen. Eichelstein zegt tegen Nieuwsuur dat het uitwijzen van betrapte buitenlandse spionnen in de inlichtingenwereld heel normaal is.

14 april tot en met 3 oktober

De MIVD, AIVD en Britse inlichtingendiensten onderzoeken de Russische hackoperatie. De spionnen uit Moskou blijken opvallend onvoorzichtig te zijn geweest. Ze maakten foto's van elkaar, en de nummers van de paspoorten die Morenets en Serebriakov bij zich hadden, volgden elkaar op.

Hacker Morenets had nog een bonnetje op zak van zijn taxirit vanaf een straat aan de achterkant van het GRU-hoofdkwartier in Moskou naar luchthaven Sjeremetjevo. Een van de telefoons van de Russen blijkt nog contact te hebben gemaakt met een telefoonmast in de buurt van datzelfde hoofdkwartier.

Ook de volgende bestemming van het inlichtingenteam wordt duidelijk: ze hadden treinkaartjes naar Zwitserland gekocht en online wat vooronderzoek gedaan naar een onderzoekscentrum voor chemische wapens in Bern, het laboratorium waar onder meer het middel wordt onderzocht dat werd gebruikt bij de aanslag op Skripal.

De laptop van de tweede hacker, Serebrjakov, blijkt niet te zijn schoongeveegd voordat de operatie in Den Haag begon. Er worden aanwijzingen op gevonden die erop duiden dat het apparaat in september 2017 is gebruikt in het Zwitserse Lausanne en in december van dat jaar in de Maleisische hoofdstad Kuala Lumpur was. 

In Zwitserland werd dopingautoriteit WADA doelwit van een cyberaanval die verband hield met het schandaal rond het dopinggebuik door Russische atleten dat door de Russische regering actief werd aangemoedigd en stilgehouden. 

In Maleisië vonden op het moment dat de laptop daar aanwezig was hackaanvallen plaats op het kantoor van de Maleisische openbaar aanklager en de plaatselijke politie. Die hadden te maken met het onderzoek naar de aanslag op vlucht MH17, die volgens vaststellingen van het internationale Joint Investigation Team (JIT) werd gepleegd met een buk-raketinstallatie van het Russische leger. Bij de aanval op het burgervliegtuig op 17 juli 2014 kwamen alle 298 inzittenden om het leven.  

De hackuitrusting die het Russische team bij zich had tijdens de operatie tegen het OPCW. (Foto: Defensie)

4 oktober

Minister Bijleveld belegt een persconferentie, waar de Russische hackoperatie wordt onthuld aan de Nederlandse en internationale pers. De Nederlandse premier Mark Rutte en zijn Britse evenknie Theresa May veroordelen de Russische spionagepoging in een gezamenlijke verklaring.

Later op de dag kondigt het Amerikaanse ministerie aan dat de Russische vier inlichtingenofficieren en drie andere GRU-medewerkers worden aangeklaagd. Hen wordt onder meer de hackaanval op de OPCW en die op dopingagentschap WADA ten laste gelegd. De aanklachten zijn mede gebaseerd op informatie afkomstig van de inlichtingendiensten uit Nederland en het Verenigd Koninkrijk. 

Het Russische Kremlin ontkent in alle toonaarden dat het iets met de hackoperatie te maken had. Dit is de zoveelste westerse poging om Rusland in een kwaad daglicht te zetten, luidt het.