© istock

Doodsgevaarlijke prutsers: hoe de Russische geheime dienst er op los blundert

6 oktober 2018

De jongste maanden moeten zowat de meest gênante ooit voor de Russische militaire geheime dienst zijn geweest. Het bleek bijvoorbeeld relatief makkelijk voor de Britten om de agenten te ontmaskeren die staatsvijand Skripal vergiftigden in de UK. En deze week werd dan bekend dat hoe GRU-agenten in Nederland betrapt werden toen ze wilden inbreken bij de OPCW, de organisatie tegen chemische wapens. Het verhaal van die kerels, die wellicht ook achter een inbraak bij het Belgisch ministerie van Buitenlandse Zaken in 2014 zitten, is bijzonder. Vooral omdat het zo'n prutsers blijken te zijn. Iets wat je niet verwacht van één van 's werelds meest geheime spionage-outfits. 

Op dinsdag 10 april reizen er vier Russen op een diplomatiek paspoort van Moskou naar Amsterdam. Een Russische ambassademedewerker vangt ze op in de luchthaven van Schiphol. Een dag later huren de mannen een Citroën C3. Mede door informatie van Britse inlichtingendiensten wordt dan duidelijk wat de vier mannen in Nederland komen doen: ze bereiden een hackaanval op de OPCW voor. Zo'n aanval is op dat moment gevoelig, omdat er bij het OPWC onderzoek gedaan wordt naar de chemische aanval in de Syrische stad Douma en de gifaanval op Sergej Skripal.

GRU

De vier mannen blijken onderdeel van een Russische inlichtingendienst en heten Aleksei Sergejvitsj Morenets, Jevgeni Michajlovitsj Serebrjiakov, Oleg Miajlovitsj Sotnikov en Alexej Valeryvitsj Minin. Twee van hen zijn cyberoperators, de andere twee bieden ondersteuning. Opvallend: uit de paspoortgegevens blijkt dat de twee cyberexperts opeenvolgende paspoortnummers hebben. Die paspoorten zijn dus na elkaar geregistreerd.

Op 13 april wordt de Citroën geparkeerd aan het Marriott Hotel, zo dicht mogelijk bij de OPCW. De auto staat met de achterkant richting het gebouw van de OPWC, want in de kofferbak ligt hackapparatuur die dichtbij moet staan. Met die apparatuur moeten de wifi-verbindingen van de OPCW worden gehackt.

20.000 in cash

Om 16.30 uur activeren de vier de hackapparatuur. Voor de MIVD, de Militaire Inlichtingen- en Veiligheidsdienst, is dat hét moment om in te grijpen. Bij de operatie wordt de apparatuur van de Russen in beslag genomen. De mannen hebben verschillende telefoons bij zich van verschillende merken, en ze hebben 20.000 dollar en 20.000 euro cash op zak.

Serebrjakov had bovendien specifieke apparatuur bij zich om hackoperaties uit te voeren. De Russen hadden ook hun afval mee uit het hotel om geen sporen achter te laten. Eén van hen, Morenets, probeerde tijdens de actie van de MIVD zijn telefoon kapot te maken.

In andere spullen die de MIVD confisqueert worden sporen aangetroffen die aantonen dat de vier mannen van een specifieke Russische inlichtingendienst zijn: de GRU. De GRU is de meest geheimzinnige Russische inlichtingendienst. De Glavnoye razvedyvatel'noye upravleniye werd in 1918 opgericht onder Lenin en legt direct verantwoording af aan president Putin en de minister van Defensie. De dienst richt zich vooral op het buitenland en werd in de afgelopen jaren in verband gebracht met de strijd in Syrië en Oekraïne, het neerhalen van de MH17 en de moordpoging op oud-spion Skripal.

Taxi

De Nederlandse geheime dienst kan al snel achterhalen één van de telefoons die de Russen bij zich hebben op 9 april in Moskou in de buurt van de GRU-kazerne is geactiveerd. Morenets had bovendien een bonnetje bij waarvan af te leiden is dat hij op 10 april aan de achteringang van de GRU-Kazerne een taxi nam naar het vliegveld. Waarschijnlijk hield hij het bonnetje bij zich om de kosten te kunnen declareren.

De in beslag genomen apparatuur brengt nog interessante zaken aan het licht. Blijkt bijvoorbeeld dat Jevgeni Michajlovitsj Serebrjiakov op een aantal locaties is geweest op wel erg verdachte tijdstippen. Op zijn laptop valt te zien dat hij in Lausanne in Zwitserland was in de periode 20 tot 22 september 2016. Het tijdstip waarop een Canadese WADA-official gehackt werd. In de periode 16 tot en met 22 december was hij in een hotel in een district in Kuala Lumpur in Maleisië, waar veel organisaties zitten die onderzoek doen naar MH17, het toestel dat werd neergehaald met een Russische raket boven Oekraïne.

De Nederlandse geheime dienst ziet ook dat op de laptop gezocht is naar een Zwitsers lab dat onderzoek doet naar chemische wapens. Op 16 april zouden de vier met de trein vertrekken vanuit Nederland naar Zwitserland met een trein, ontdekken ze.

Slordig

IT-specialisten zijn verbaasd over hoe slordig de Russen omgingen met hun opdracht. Je zou bijvoorbeeld denken dat ze wel een nieuwe, lege laptop mee zouden krijgen als ze een hackoperatie moesten uitvoeren, zodat al die info die nu werd ontdekt, niet te grabbel zou komen te liggen.

Ook heel vreemd (of amateuristisch) is bijvoorbeeld dat Morenets zijn taxibonnetje bijhield en dat de kerels reisden met paspoorten met opeenvolgende serienummers te hebben. De vier gedroegen zich ook meer als toeristen dan als spionnen. Ze namen bijvoorbeeld verschillende foto's van elkaar. Oleg Sotnikov poseerde gewoon voor de ingang van station Den Haag Centraal.

Nog zo iets: een van de Russen probeerde toen de Nederlandse geheime dienst tussenkwam om zijn telefoon stuk te stampen. We kennen dat uit tv-reeksen, het zou moeten voorkomen dat er info op wordt gevonden. Probleem: dat is televisie. Dat stukmaken van je smartphone werkt alleen als je het echt grondig doet. Zelfs van een gsm die drie weken op de zeebodem heeft gelegen, halen speurders tegenwoordig nog steeds data.

Je zou verwachten dat agenten van de GRU dat zouden beseffen. En je zou verwachten dat de GRU de smartphones van hun mensen zouden versleutelen met encryptiesoftware. Die tenminste niet meteen te kraken valt. Maar, dat blijkt niet het geval.

Dating site

Het toezicht op het personeel bij de GRU blijkt ook niet alles. De namen die de Militaire Inlichtingen- en Veiligheidsdienst naar buiten bracht, blijken de echte namen te zijn van de officieren. De mannen mogen dan deel uit maken van een van de meest geheime inlichtingendiensten in Rusland, op internet valt toch veel over hen te vinden.

Een simpele zoektocht op het internet levert niet alleen aanwijzingen op dat de mannen inderdaad voor de GRU werkten, maar brengt ook opvallende details uit hun privéleven naar boven.

Morenets bijvoorbeeld is vreemd genoeg ook terug te vinden op een Russische datingsite. Op zijn profiel staat dat hij op zoek is naar vrouwen uit Moskou van tussen de 21 en 30 jaar oud. Wat verder opvalt, is dat de profielfoto van Morenets genomen is in de buurt van een locatie van de GRU, aan de Komsomolsky Prospekt in Moskou. Het Panasonic-gebouw dat op de achtergrond te zien is, verraadt de locatie waarop de foto is genomen. Ook staat een auto die op naam staat van Morenets, een Lada, geregistreerd op het adres van de GRU-afdeling voor cyber warfare aan de Komsomolsky Prospekt.

Dat dat allemaal zo makkelijk en openlijk te vinden is van een man die wereldwijd is ingezet is om bijvoorbeeld in te breken bij de Organisatie voor het Verbod op Chemische Wapens, maar ook de wereldvoetbalbond FIFA en zelfs een nucleaire fabriek in de Verenigde Staten, is op z'n zachtst gezegd vreemd.

De 41-jarige Morenets wordt gezien als een van de twee cyberexperts van de groep. Hij is net als de drie andere officieren ook aangeklaagd door de Amerikaanse justitie. In de aanklacht staat dat Morenets onderdeel was van een team van GRU-eenheid 26165. En dat hij dus met apparatuur de wereld rond is gereisd om hack-operaties uit te voeren.

Voetbalploeg

Jevgeni Michajlovitsj Serebrjiakov (37), de andere cyberexpert maakt volgens de FBI ook deel uit van de eenheid 26165 van de GRU en zou in het verleden samen met Morenets naar onder meer Brazilië en Zwitserland zijn gereisd. Ook hij is erg makkelijk online te vinden onder z'n echte naam en mét foto's. De gegevens van Serebrjiakov zijn terug te vinden op een website van een voetbalploeg in de buurt van Moskou. De ploeg staat bekend als "het team van de geheime diensten". Bijna alle spelers werken voor de inlichtingendiensten.

De andere twee uitgewezen GRU-officieren, Oleg Sotnikov en Alexej Minin (46), zouden vooral ter ondersteuning zijn meegegaan naar Den Haag. Minin staat sinds 2011 geregistreerd op het adres van de militaire academie van het Russische ministerie van Defensie, waar de GRU rekruteert.

Drie conclusies

Om het helemaal mooi te maken, ondanks alle bewijslast en het op heterdaad betrappen: Moskou ontkent alles. Het is allemaal verzonnen door het Westen dat er alleen op uit is om de verhoudingen nog slechter te maken dan ze al zijn, luidt het.

Dat was ook het verhaal met de Skripal-daders, die ook erg makkelijk te ontmaskeren waren als zijnde in dienst van de GRU en gewoon op het internet te vinden waren. Desalniettemin werden ze door Putin opgevoerd op de Russische, waar ze vertelden dat ze "twee keer in Salisbury waren geweest als toeristen omdat ze de kathedraal zo mooi vonden".

Er vallen dus eigenlijk drie conclusies te trekken. Een eerste is dat het bij de GRU toch redelijke prutsers zijn. De tweede is dat Rusland en Putin hun eigen werkelijkheid hebben gecreëerd, bestemd voor binnenlands gebruik en internationale vrienden. De derde is dat ondanks die dingen, het moderne Russische spionagebeleid wel degelijk doodsgevaarlijk is. Tegenstanders van het regime worden wel degelijk vergiftigd en vermoord, er wordt in heel de wereld gehackt door Fancy Bear om de democratie te destabiliseren door de GRU.

Lees meer

Dit al gelezen?