Wie gaat er schuil achter de 'inbraak' in de computersystemen van de Amerikaanse Democratische Partij? Een 'eenzame wolf' die zo wereldberoemd wil worden, omdat de komende maanden vele ogen zijn gericht op de presidentsverkiezingen in de Verenigde Staten? Of Russische hackers, die worden aangestuurd door de staatsveiligheidsdienst FSB of de militaire inlichtingendienst GROe?
door Hubert Smeets
Volgens dagblad The Guardian is het nog te vroeg om Russische hackers ervan te beschuldigen dat ze de computernetwerken van het Democratic National Committee (DNC) zijn binnengedrongen en vlak voor de Democratische Conventie in Philadelphia een selectie e-mails en andere gegevens hebben geopenbaard via WikiLeaks. De beschuldigingen zijn afkomstig van de Democraten en vinden gehoor bij de grote Amerikaanse media.
Volgens het vakblad Motherboard zijn er echter wel degelijk aanwijzingen dat FSB en/of GROe hebben ingebroken in de Computerbestanden van het DNC.
Recherche cybercrime-firma's
De beschuldiging aan het adres van Russische geheime diensten komt uit de koker van enkele Amerikaanse beveiligingsbedrijven (zoals FireEyes en CrowdStrike), die de DNC eerder dit jaar had ingeschakeld toen de Democraten lucht kregen van de cyberaanval. Via de inbraak zou de Russische regering invloed willen uitoefenen op het verkiezingsproces in Amerika ten gunste van Donald Trump. Het Kremlin heeft traditioneel een voorkeur voor Republikeinen in het Witte Huis, maar dit keer is de huidige leiding van Rusland meer dan ooit gecharmeerd van Trump. President Poetin heeft openlijk zijn waardering voor hem uitgesproken.
Een hacker gebruikte de naam van Felix Dzerzjinski, aartsvader van de Russische geheime dienst.
Volgens The Guardian is er eigenlijk alleen maar 'circumstantial evidence' voor de beschuldiging richting Moskou. De Britse krant plaatst ook vraagtekens bij de motieven van de onderzoekfirma's. CrowdStrike en FireEyes halen een belangrijk deel van hun omzet uit opdrachten voor de Amerikaanse overheid. The Guardian benadrukt tevens dat WikiLeaks ontkent een radertje te zijn in een grote machinerie, die vanuit Rusland zou worden aangestuurd.
Onderzoek vakblad Motherboard
Het meest gedetailleerde stuk over de cyberaanval op de computers van het DNC staat in Motherboard. Volgens auteur Thomas Rid, zelf werkzaam bij King's College in Londen, zijn de aanwijzingen sterk dat Russische geheime diensten een rol hebben gespeeld in de inbraak. Rid baseert zich niet alleen op het onderzoek van CrowdStrike. Motherboard heeft zelf eveneens onderzoek gedaan naar de achtergronden van de hackers.
De meest directe aanwijzing voor betrokkenheid van de Russische geheime diensten is volgens Motherboard te vinden in de malware in de computers van de Democraten.
De aanvallen lijken te zijn uitgevoerd door twee hoogwaardige hackers van de categorie 'Advanced Persistent Threat' (APT), jargon voor professionele inlichtingendiensten. Volgens CrowdStrike ging achter APT28 de GROe schuil en achter APT29 de FSB. Beide diensten zouden los van elkaar in het netwerk van het DNC zijn ingebroken.
CrowdStrike baseert zijn beschuldiging op enkele 'vingerafdrukken' op de software waarmee de computers waren geïnfecteerd. Diep in de inbraakprogrammatuur waren foutmeldingen in het cyrillisch achtergebleven. In een document vonden de onderzoekers ook een Russischtalige instelling van een gebruiker die zich in het cyrillisch Felix Edmoendovitsj noemde, naar de voornaam en het patroniem van de bolsjewiek Felix Dzerzjinski die na de Oktoberrevolutie van 1917 de voorloper van de KGB heeft opgericht en nog altijd wordt gezien als de aartsvader van de Russische geheime dienst FSB. De cyberinbrekers hadden bovendien ook een domeinnaam geregistreerd op een IP-adres waarvan bekend was dat het gebruikt wordt door de Russische militaire inlichtingendienst.
Modus operandi
Minder direct bewijs is gebaseerd op de modus operandi. De inbraak en de daarop volgende verspreiding van materiaal uit de Democratische computersystemen via WikiLeaks werden min of meer geclaimd door Guccifer 2.0, een afzender die de indruk wekte verband te houden met een bijna gelijknamige Roemeense hacker. Guccifer 2.0 ontkende direct dat er meerdere aanvallers in het spel waren en claimde het succes als 'lone wolf'. Guccifer 2.0 zei expliciet dat er geen Russische hackers in het spel zouden zijn. Guccifer 2.0 communiceerde met graagte met journalisten en onderzoekers uit de media over zijn actie. Maar hoewel de hacker beweerde uit Roemenië te komen, was hij niet in staat foutloos in het Roemeens te corresponderen. Zijn Engels ging in de loop der tijd daarentegen met sprongen vooruit, zij het alleen als er politieke vragen aan de orde werden gesteld. Dat veronderstelt volgens Motherboard dat Guccifer geen 'eenzame wolf' is, maar hulp krijgt van derden.
Kremlin: maniakaal en absurd
Thomas Rid herleidt de mogelijkheid dat Guccifer 2.0 een dekmantel is van FSB of GROe ook tot de militaire strategie die de Russische stafchef Gerasimov enkele jaren geleden heeft opgesteld. Deze 'Gerasimov-doctrine' legt veel nadruk op de betekenis van 'non-lineaire' en 'hybride' oorlogsvoering. De Verenigde Staten en de door Amerika gedomineerde NAVO zijn volgens deze militaire doctrine de belangrijkste tegenstanders van Rusland.
Stafchef Gerasimov introduceerde cyberwar in zijn militaire doctrine
De Russische regering heeft de aantijgingen verworpen. Kremlin-woordvoerder Dmitri Peskov noemde ze 'absurd' en een 'maniakale poging' om Rusland de Amerikaanse verkiezingscampagne binnen te trekken. Minister van Buitenlandse Zaken Sergej Lavrov deed er op een persconferentie met minister Kerry het zwijgen toe, omdat hij naar eigen zeggen niet wilde vervallen in 'drieletter-woorden'.
De Amerikaanse presidentskandidaat Donald Trump houdt zich tot nu toe op de vlakte. Maar hij was wel enthousiast over de mogelijkheden die de Russische spionagediensten in petto zouden kunnen hebben, zo meldde de New York Times. Tijdens een campagnebijeenkomst in Florida riep hij Rusland op in de computerbestanden van Hillary Clinton de 'dertigduizend e-mails te vinden die zoek zijn'. Later zei Trump, in reactie op verwijten dat hij een vreemde mogendheid opriep te interveniëren in binnenlands politieke aangelegenheden, dat hij slechts een ironisch grapje had gemaakt.
De BrIlse veiligheidsexpert Mark Galeotti, die jarenlang in Moskou heeft gewoond en daar onderzoek heeft gedaan naar de Russische inlichtingendiensten, gaat ervan uit dat de hackers in opdracht van autoriteiten in Moskou hebben geopereerd. Volgens Galeotti oogt de operatie spectaculair, maar zou de cyberinbraak wel eens een averechts effect kunnen hebben. Deze vorm van inmenging in de Amerikaanse politiek is een brug te ver, aldus Galeotti in een artikel in Foreign Policy.