Na de hacking van stad Antwerpen: ‘Elk uur, elke minuut proberen spionnen bij overheidsdiensten binnen te raken. Af en toe glipt er eentje door’

Vorige week raakte bekend dat de stad Antwerpen getroffen werd door een cyberaanslag. Hackers van het Playcollectief - één van de beruchtste hackerscollectieven wereldwijd - hebben het volledige stedelijke IT-systeem overgenomen en eisen nu losgeld. Bij de gestolen data zou ook heel wat persoonlijke informatie van gewone Antwerpenaren zitten, zoals aangevraagde identiteitskaarten, reispaspoorten of financiële gegevens. Experts voorspelden dergelijke aanvallen vorig jaar al in Humo: ‘We hebben het ergste nog niet gezien.’

Het internet was onze redder in de nood toen de coronapandemie het openbare leven lamlegde, maar er zat een adder onder het gras. Nooit was het speelterrein van hackers en cybercriminelen zo groot als toen iedereen thuis voor zijn computer zat tijdens de lockdown. Nooit werden zoveel bedrijven afgeperst door brutale hackersgroepen, nooit konden buitenlandse cyberspionnen zo gemakkelijk binnengluren bij onze overheden. De digitale oorlog, even onzichtbaar als het coronavirus, wordt steeds heftiger en dringt dieper ons dagelijkse leven binnen.

Vrijdag 2 juli, omstreeks drie uur in de namiddag, liep bij het cybersecuritybedrijf Secutec een dringend telefoontje binnen. Het Antwerpse bedrijf ITxx, een ICT-dienstverlener, was getroffen door een cyberaanval, waardoor hun klanten – 65 kmo’s – niet meer bij hun data en mails konden. De hackers eisten anderhalf miljoen dollar losgeld: pas na de betaling in bitcoins zouden al die bedrijfjes opnieuw toegang krijgen. ‘Ik vrees dat ik jullie niet kan helpen,’ reageerde Secutec-CEO Geert Baudewijns. ‘Ik vertrek morgenochtend met mijn familie op vakantie.’

GEERT BAUDEWIJNS «Twee uur later belde mijn boekhouder me: ‘Geert, ik heb een probleem: ik ben gehackt.’ – ‘Hoezo?’ Bleek dat hij klant was bij ITxx. Dat betekende dat ook mijn eigen dossiers gegijzeld werden door de cybercriminelen. Een halfuur later had ik mijn interimkantoor aan de lijn: ‘Geert, wij hebben het ook aan ons been.’ En vervolgens mijn bankier: ‘Ik heb drie klanten die getroffen zijn. Kun jij helpen?’ (lacht) Toen heeft mijn vrouw gezegd dat ik het toch maar moest doen.»

Vanop zijn vakantieadres onderhandelde Baudewijns vijf dagen met de hackers. Dat doet hij wel vaker.

BAUDEWIJNS «We proberen eerst de geblokkeerde data op een andere manier te herstellen. Zo kunnen we twee derde van de gevallen oplossen zonder losgeld. Maar in één op de drie lukt dat dus niet, en dan kun je niet anders dan betalen.

»Ik heb al zo’n 150 onderhandelingen gedaan, maar dit was de eerste gijzeling op zo’n grote schaal in België. Het ging om hackers van Conti, de op één na grootste hackersgroep ter wereld, die sinds vorig jaar actief is en heel professioneel te werk gaat. 65 bedrijven in één keer, dat gaf behoorlijk wat stress: al die bedrijven hangen op dat moment van jou af. Zo’n duizend mensen konden niet meer op hun netwerk, en omdat er interimkantoren bij zaten, werden onrechtstreeks ook duizenden interimklanten getroffen.

»Maar dat wisten de hackers op dat moment gelukkig niet. Vaak hebben ze geen idee wie ze nu precies hebben gehackt. Ze speuren het internet af naar computernetwerken met een gat in het beveiligingssysteem: daarlangs installeren ze malware – kwaadaardige software – waardoor de gegevens van het hele netwerk versleuteld worden. De sleutel om de gegevens opnieuw leesbaar te maken, geven ze pas als je betaald hebt. Maar ze weten op dat ogenblik niet hoe cruciaal of gevoelig die gegevens zijn.

»Het was belangrijk om geheim te houden dat het om 65 bedrijven ging. Het lastige was dat ik al vragen begon te krijgen van de pers vóór de deal rond was. Als de hackers hadden geweten wat er op het spel stond, had ik de prijs nooit van anderhalf miljoen tot 300.000 dollar kunnen laten zakken. Uiteindelijk was dat een relatief goed resultaat, al is het nooit ideaal om te moeten toegeven aan chantage. Maar soms is het voor bedrijven kiezen tussen betalen of failliet gaan.»

SLAGER GEHACKT

Op dezelfde dag dat de hackers van Conti binnendrongen bij 65 Belgische bedrijven, startte ook in de VS een massale cyberaanval. Wereldwijd zagen tussen 800 en 1.500 bedrijven plots hoe hun computers geblokkeerd werden en op hun schermen een boodschap verscheen van het Russische REvil, de meest succesvolle ransomwaregroep van het moment. De gijzelsoftware werd verspreid via een veiligheidslek bij de Amerikaanse softwareleverancier Kaseya en had wereldwijde gevolgen. In Zweden moesten 800 winkels van een supermarktketen sluiten omdat de kassa’s niet werkten. In ons land riep de cyberwaakhond CERT Belgische bedrijven op om de besmette software uit te schakelen. REvil eiste 70 miljoen dollar voor een ‘collectieve’ oplossing.

De notoire hackers van REvil braken in mei ook in bij het grootste vleesbedrijf ter wereld, het Amerikaanse JBS Foods. Dat betaalde 11 miljoen losgeld nadat slachterijen in de Verenigde Staten en Australië waren lamgelegd.

‘Het aantal ransomware-aanvallen is tijdens de coronacrisis zo hard gestegen dat je van een tweede pandemie kunt spreken,’ zegt Huib Modderkolk. Hij is journalist bij de Volkskrant en auteur van het indrukwekkende boek ‘Het is oorlog maar niemand die het ziet’, over de schaduwkant van de digitale wereld.

HUIB MODDERKOLK «Volgens een rapport van het internationale cybersecuritybedrijf Bitdefender is het aantal aanvallen wereldwijd bijna vervijfvoudigd. De losgeldbedragen stijgen, en ransomwaregroepen worden ook steeds professioneler en brutaler. Zowel bedrijven als overheden worden het slachtoffer. In Nederland is de gemeente Twente gehackt. In België lag vorige maand het volledige computernetwerk van de stad Luik plat, en ook daar werd losgeld geëist. Die doelwitten worden niet altijd bewust uitgekozen. De aanvallers gooien hun netten uit met phishingcampagnes, ze kijken waar ze naar binnen kunnen, gooien daar de gijzelsoftware uit, en dan gaat het alleen om het binnenharken van het geld. Hoe professioneler een organisatie, hoe gerichter ze werkt. Zeker als het om geheime diensten gaat die een buitenlands regime willen bespioneren.»

HUMO Zijn die ransomware-aanvallen het grootste gevaar op het internet?

MODDERKOLK «Momenteel wel, omdat ze steeds meer mensen in de samenleving raken en doorwegen op het dagelijkse leven. Toen het Amerikaanse JBS werd gegijzeld door REvil, kon er een tijdlang geen vlees worden geleverd. Een andere hackersgroep legde in Amerika het computernetwerk van een oliepijplijn plat, waardoor er geen brandstof meer te krijgen was in de tankstations aan de oostkust. In Nederland werd een kaasleverancier gehackt, waardoor er een week lang geen kaas in de winkelrekken van Albert Heijn lag. En een paar maanden geleden lagen 96 notariskantoren in Nederland stil: als mensen een huwelijk wilden sluiten of een huis wilden kopen, kon dat gewoon even niet doorgaan. Zo krijgen die aanvallen steeds meer maatschappelijke gevolgen en werken ze ontwrichtend. Bovendien komen niet alleen grote bedrijven in het vizier. Hackers vallen ook kmo’s en zelfstandigen met een eigen bedrijfje aan, waardoor zelfs de beenhouwer om de hoek niet meer veilig is.»

HUMO Hebben we dat te danken aan corona?

MODDERKOLK «De coronacrisis heeft ervoor gezorgd dat cybercriminelen en spionnen nog meer vrij spel kregen op het internet. We zijn tijdens de lockdown allemaal gaan vertrouwen op digitale communicatie, en dat werkte fantastisch. Maar op die manier werd het ook makkelijker om in bedrijven binnen te raken of ze te bespioneren. Want als iedereen thuiswerkt, is de beveiliging net wat minder goed. Je kunt bijvoorbeeld op afstand de hulp inroepen van de servicedesk van je bedrijf, die in je computer kan meekijken: dat is prachtig, maar het is ook een risico. Je maakt jezelf als bedrijf of overheid simpelweg kwetsbaarder, omdat je meer toegangsdeuren naar het internet hebt.»

HUMO De straatcriminelen lijken tijdens de lockdown naar het internet verhuisd. In België was het aantal aangiftes van phishing bij de politie in 2020 drie keer groter dan het jaar voordien. Internetfraude is een groter probleem geworden dan woninginbraken.

MODDERKOLK (knikt) «Waar je vroeger iemand kon overvallen op straat, doe je dat nu met veel minder risico via WhatsApp. In maart vorig jaar, toen de toestand in de Italiaanse ziekenhuizen zo dramatisch was, nam het aantal phishingaanvallen er met 700 procent toe. De phishingmailtjes, waarmee hackers je naar een kwaadaardige link of website proberen te leiden, gingen bijna altijd over corona. Dat is natuurlijk slim gezien: hackers zoeken altijd naar manieren om mensen zonder veel nadenken te doen klikken. In de periode van de terroristische aanslagen door IS gingen phishingmailtjes van geheime diensten aan buitenlandse ambassades weleens over terreurbestrijding. Nu wilde iedereen alles weten over corona, dus daar werd heel snel op geklikt.»

BIJ DE DOKTER

HUMO De coronapandemie heeft ervoor gezorgd dat er nóg meer digitale gegevens over ons worden verzameld. Moeten we bang zijn voor de gevolgen?

MODDERKOLK «De afgelopen twintig jaar zijn enkele barrières naar ons privéleven geslecht. Vroeger wist de gemeente waar je woonde, en werd je af en toe gefilmd door een camera op straat. Maar toen de computer en de sociale media kwamen, begonnen mensen heel veel informatie en foto’s van zichzelf te delen. Ons surfgedrag verraadde alles over ons leven: onze bezigheden, favoriete restaurants en onze politieke voorkeur. Met de smartphone kwamen bedrijven ook je huis in. Google weet waar je bent en wanneer je thuis bent. Met de smartwatch is het zelfs geen geheim meer hoelang je slaapt, hoe sportief je bent of hoeveel stress je hebt.

»Er was één terrein waarop onze privacy nog min of meer intact was, zeker van overheidswege, en dat was onze gezondheid. Die barrière is nu ook gesloopt. Je medische gegevens worden digitaal verzameld: ben je gevaccineerd, heb je corona gehad, heb je onderliggende medische aandoeningen? Wanneer ben je getest? Normaal deel je zoiets met je huisarts, maar nu deel je het met een heel systeem. Natuurlijk gebeurt dat met goede redenen, om de pandemie zo efficiënt mogelijk te bestrijden, maar eigenlijk betekent het ook het einde van het medische beroepsgeheim. Dat bestaat nog in het kabinet van je huisarts, tot hij die dingen in zijn computer zet en opslaat. Het betekent dat die gegevens ergens verzameld worden en beschikbaar zijn. Het internet passeert langs kabels, routers, datacentra, gebouwen, onderzeese verbindingen, en wij hebben geen controle over wat er onderweg mee gebeurt. De overheid zegt altijd dat ze goed beschermd is en dat we ons geen zorgen hoeven te maken, maar die overheid gebruikt wel software van andere partijen als Apple en Google. Zo geef je een deel van je autonomie uit handen en loop je een risico.

»Neem nu de digitale coronapas die je nodig hebt om te reizen door Europa: die bevat een unieke QR-code met al je essentiële informatie. Als je gevaccineerd bent, toont die code een groen vinkje. Maar ook je persoonlijke gegevens worden vermeld. Dat maakt dat je als individu gemakkelijker te volgen bent. De advocaat Derk Wiersum, die twee jaar geleden in Nederland is vermoord, werd door de criminelen opgespoord nadat ze zijn privéadres hadden gevonden in het handelsregister.»

HUMO Is het ook bij Peter R. de Vries zo gegaan?

MODDERKOLK «Dat is speculeren. Het lijkt erop dat hij is opgewacht op een route die hij vaker nam. Je kunt mensen in deze samenleving vrij makkelijk vinden als je dat wilt. Het gaat er alleen om dat je nu geen controle en geen zicht meer hebt op de gegevens die je weggeeft en wat daarmee gebeurt.»

HUMO Moet een huismoeder met drie kinderen wakker liggen van hackers op haar telefoon?

MODDERKOLK «Dat ligt eraan. Het wordt vervelend als je een stalkende ex hebt, die permanent weet wat jij aan het doen bent. Of als iemand probeert je op te lichten. Als je zelf in een kwetsbare situatie zit. Ik merk het telkens aan mensen die het is overkomen: hun computer of hun telefoon is gehackt, ze zijn hun gegevens kwijt, en plots voelen ze zich heel onveilig. Dat geldt niet alleen voor bedrijven, maar ook voor jezelf. Er is altijd iets wat voor jou privé is, waarvan je niet wilt dat het openbaar wordt.»

HUMO Ben jij zelf al bespioneerd? Vorige week barstte een nieuw schandaal los rond de Israëlische spionagesoftware Pegasus. Wereldwijd zijn politici, advocaten, journalisten en activisten afgeluisterd via hun smartphone.

MODDERKOLK «Ik ga er altijd van uit dat ik een mogelijk doelwit ben, en dus probeer ik me zo goed mogelijk in te dekken. Als je over staatsgeheimen praat met geheime diensten, moet dat gewoon. Er zijn al rare dingen gebeurd met mijn internet en mijn VPN-verbinding, maar het moeilijke is dat je nooit weet of je daadwerkelijk bent afgeluisterd. Het is heel moeilijk te achterhalen wie erachter zit, dat is net wat het internet aantrekkelijk maakt voor criminelen.

»De spyware van Pegasus maakt het wel heel gemakkelijk om iemand af te luisteren: je hoeft alleen een gsm-nummer te hebben om alles op het toestel te kunnen lezen, en zelfs de camera en de microfoon in te schakelen. Het Israëlische bedrijf NSO Group verkoopt het programma aan politie- en inlichtingendiensten over de hele wereld. Die commerciële hackerssoftware houdt veel risico’s in. Bij NSO Group werken mensen met een verleden bij de Israëlische geheime dienst, dus je kunt ervan uitgaan dat Israël meekijkt.»

HUMO Onder de doelwitten bevonden zich politici als Charles Michel, toen die nog Belgisch premier was, en de Franse president Macron.

MODDERKOLK «In België is intussen gebleken dat de smartphone van de Rwandese mensenrechtenactiviste Carine Kanimba ook werd afgeluisterd, wellicht door het Rwandese regime (Kanimba is de dochter van Paul Rusesabagina, de manager van het Hôtel des Mille Collines tijdens de genocide in 1994, en een politiek tegenstander van het huidige Rwandese regime, red.). Dat zulke spyware de democratie aantast, is nu wel aangetoond.»

HUMO Ook ransomware-aanvallen kunnen politiek worden.

MODDERKOLK (knikt) «Omdat het op zo’n grote schaal gebeurt en zo ontwrichtend werkt, krijgen ze een geopolitiek karakter. Neem nu de Russische hackersgroep REvil, die zoveel schade aan westerse bedrijven toebrengt: daar treedt Rusland niet tegen op. Het Kremlin heeft een soort gedoogbeleid als het over cybercriminaliteit gaat. Een Russische hacker wordt niet vervolgd en niet gestraft. De Russen vinden het wel handig als cybercriminelen onrust gaan stoken in het Westen, en omdat die hackers op zoveel plekken binnen zitten, kunnen ze in één moeite door ook spioneren voor hen.

»Na de massale cyberaanval van REvil, begin juli, heeft de Amerikaanse president Biden nog naar Poetin gebeld om erop aan te dringen iets aan die hackersgroepen te doen. Maar de Russen denken: waarom zouden we?

»REvil is een week later wel offline gegaan. De hele infrastructuur is verdwenen, alle servers op het darknet. Er moet iets gebeurd zijn, maar we weten niet wat. Zulke groepen vertrekken soms vanzelf en duiken later ergens anders weer op. Deze was zo groot dat hij politiek belang had en het Witte Huis zich ermee ging bemoeien.»

HUMO Denk jij dat Poetin dit keer gezegd heeft: ‘Oké Biden, omdat jij het bent’?

MODDERKOLK (lacht) «Ik denk dat Poetin gezegd heeft: ‘Ik weet niet waarover je het hebt.’ Volgens mij heeft de Russische overheid geen vinger naar hen uitgestoken. Óf de groep heeft zich zelf teruggetrokken, óf de Amerikaanse veiligheidsdiensten hebben hen te pakken.»

SNEL GELD VERDIENEN

Ook Geert Baudewijns heeft al vaker met REvil te maken gehad.

BAUDEWIJNS «We weten niet precies wie erachter zit, maar we herkennen de grote hackersfamilies wel aan de software die ze gebruiken: ze hebben allemaal hun eigen methodes en een eigen softwarepakket om gegevens te versleutelen. We volgen hen op het darknet en proberen op de hoogte te blijven van hun nieuwste technieken, want die evolueren razendsnel. Als je vandaag op een goeie manier aan beveiliging wilt doen, moet je proberen te denken als een hacker en zijn criminele paden op het darknet gaan verkennen. Maar het is nog altijd een grote onbekende wereld, omdat die hackers zelden of nooit worden opgepakt, laat staan gestraft.»

HUMO Wat moeten we ons voorstellen bij die onzichtbare cybercriminelen?

BAUDEWIJNS «Je kunt het vergelijken met de drugscriminaliteit, waar je loopjongens, straatdealers en professionele drugsbaronnen hebt. De grootste groep zijn de straatcriminelen, die vaak hun pijlen richten op kleinere bedrijven. Onlangs moest ik onderhandelen voor een kleine supermarkt die gegijzeld werd: een winkel met vijftien werknemers, acht pc’s en drie servers. Straatcriminelen zijn heel onvoorspelbaar en emotioneel in onderhandelingen. En niet echt betrouwbaar. Eerst vragen ze bijvoorbeeld 15.000 euro in bitcoins om alles te decoderen. Als je dat betaalt, sturen ze je de decryptiesoftware zonder de sleutels, en dan begint het: ‘Je moet nog eens 7.500 euro betalen voor een sleutel.’ – ‘Dat was de deal niet.’ – ‘Dat weet ik, maar de baas heeft het beslist.’ Aan het Engels dat ze gebruiken – ‘Boss had decided’ – zie je dat het geen native speakers zijn, dat ze uit Azië komen, Rusland of Afrika. Nigeria is momenteel heel sterk aan het opkomen in de ransomwarebusiness. Ik pas mijn taal ook een beetje aan hun niveau aan.

»Meestal proberen ze je na de eerste betaling nog eens te laten dokken voor elke sleutel. Soms zijn er voor het hele netwerk wel tien gebruikt: als je die alle tien moet betalen, kost het je een bom geld. Dus vraag ik het bedrijf altijd op voorhand welke gegevens voor hen onmisbaar zijn. Dan kun je je beperken tot twee of drie cruciale sleutels en voorkomen dat het losgeldbedrag de pan uit rijst. De supermarkt heeft uiteindelijk 25.000 euro betaald.

»Met professionele organisaties verlopen de onderhandelingen heel anders: sec, rationeel en professioneel. Met grote families als Conti, MountLocker of REvil sluit je een deal voor 100.000 dollar, maar als je eenmaal betaald hebt, krijg je al je gegevens wel terug, zonder discussie. Ze hebben zelfs een servicedesk om je daarbij te helpen. Ze encrypteren met maar één sleutel en weten hun doelwitten ook beter uit te kiezen. Zij gaan niet voor de tandarts om de hoek.

»Zo’n hackersgroep bestaat uit heel veel einzelgängers die elk gespecialiseerd zijn in een ander segment. Je hebt mensen die de wachtwoorden gaan stelen en ze te koop aanbieden op het darknet. De organisatie die ze koopt, huurt dan een basishacker in om in het netwerk binnen te dringen en op verkenning te gaan. Die blijft tien tot veertien dagen rondhangen in je systeem om te kijken wat voor materiaal je allemaal hebt, en maakt daar dan een rapport van, dat ze doorverkopen aan de moederorganisatie. Die handelt de eigenlijke gijzeling vervolgens weer met andere leden af. Ze ontmoeten elkaar op een platform op het darknet, waar ze praten over nieuwe aanvalstechnieken en hoe goed ze wel zijn. Maar ze kennen elkaar niet: de ene zit in Azië, de andere in Brazilië, en dat weten ze vaak niet van elkaar.»

HUMO Ik stel me een lichtschuwe nerd van zeventien voor die op zijn zolderkamer niets anders doet dan wachtwoorden stelen.

BAUDEWIJNS «Die heb je ook: in Azië betalen veel IT-studenten hun studie met het geld dat ze met hacken verdienen. Er circuleren papers waarin de basistechnieken van ransomware worden uitgelegd, en hoe je een bedrijf daarmee kunt gijzelen. Zo verdienen ze snel 15.000 tot 20.000 euro. Dat vertellen ze soms wel tijdens onderhandelingen. Onlangs chatte ik nog met een student uit Vietnam die een Belgisch bedrijfje had getroffen. ‘Wacht, ik ben op school. Ik neem over vier uur weer contact met je op.’»

HUMO Het is wel cruciaal dat je de gegevens terugkrijgt.

BAUDEWIJNS «Er zijn heel wat bedrijven die me zeggen: ‘Geert, als ik mijn data verlies, ben ik failliet.’ Ik heb een bedrijf als klant gehad dat voor supermarktketens als Colruyt, Delhaize en Carrefour alle prijzen en promoties van de afgelopen vijftien jaar bijhield. Die bestanden werden geëncrypteerd, en ze waren alles kwijt. De firma had twintig werknemers die in de problemen zaten. Nu, we komen er altijd uit, want die criminelen willen maar één ding: geld.»

HUMO Ook daar gaat de vergelijking met de drugshandel op.

BAUDEWIJNS «In de hackersbusiness gaat evenveel geld om als in de drugscriminaliteit. Het is voor hackers een manier om snel en eenvoudig geld te verdienen, en de pakkans is veel kleiner dan bij drugs, omdat je die toch fysiek moet verhandelen. Bij hackers is de bewijslast ook veel moeilijker, omdat men meestal in bitcoins betaalt: dat is anoniem en veel minder traceerbaar. Voor de betaling van het losgeld van de kleine supermarkt waarover ik het net had, kreeg ik een bitcoinadres, maar het geld verdween daar onmiddellijk. Ik kon zien dat ze één miljoen dollar aan bitcoins hadden doorgesluisd naar nog een ander adres. Daar stond 3,5 miljoen dollar op, maar verder kon ik het niet meer volgen. Straatcriminelen gebruiken financiële circuits die weer door andere organisaties worden beheerd. De bedragen die er omgaan, zijn enorm. Het is logisch dat die criminaliteit nog spectaculair zal groeien.»

HUMO Hoe verlopen zulke onderhandelingen met hackers?

BAUDEWIJNS «Het eerste wat ik doe, is wachten: minstens 48 uur. Als je gehackt wordt en je neemt binnen enkele uren contact op met de organisatie, dan sta je machteloos. Het is een machtsspel. Die 48 uur geven je de kans om een inventaris te maken, de schade op te meten en een strategie af te spreken. Pas dan neem ik contact op. We communiceren via chat – sommige hackers gebruiken Telegram, dat ook populair is bij drugscriminelen omdat de berichten versleuteld worden.

»In één op de drie gevallen gaat het om professionele organisaties, en voor de rest krijg je met kleine cybercriminelen te maken. Een deal sluiten kost drie tot zeven dagen, waarin je permanent beschikbaar moet zijn. Bij straatcriminelen gebeuren de chatgesprekken vaak ’s avonds. Mijn vrouw vindt het wel boeiend om te zien: als zij tv kijkt, ga ik naast haar zitten met de laptop op schoot. Dan begint het: ‘Als je vandaag betaalt, kan ik je 20 procent korting geven’ is een klassieke opener. Of: ‘Baas heeft beslist dat je nog 1 bitcoin bij moet betalen.’ ‘Uw baas interesseert me niet,’ antwoord ik dan. Ik probeer altijd in hun leefwereld te komen, en stel dan weleens voor om een deal te sluiten met Tomorrowlandtickets (lachje). Dat gaan ze nooit doen, want dan weten we wie er achter de aanval zit, maar het is een manier om een band te creëren. Je praat meestal met twintigers. Ik probeer ook altijd wat meer over hen te weten te komen, maar ze weten heel goed wat ze mogen zeggen en wat niet.»

Baudewijns toont een screenshot van een conversatie, in krakkemikkig Engels.

– Waarom doen jullie dit? Als securityexpert wil ik graag weten wat jullie drijft.

– Zoek het op Google op, daar vind je alle details.

– Hoe oud ben je?

– I don’t have time for this shit. Laat me weten als je klaar bent om te betalen.

BAUDEWIJNS «Die kerel wordt ongeduldig. Ik antwoord dan bijvoorbeeld dat ik eerst een douche ga nemen en mijn kinderen naar school ga brengen. Op dat ogenblik ben je al vier, vijf dagen aan het praten: het duurt best lang. Soms krijg ik een glimp te zien van wat voor iemand er aan de andere kant zit, maar ik word ook vaak uitgescholden. Dan maken ze je uit voor hoerenloper, of profiteur: ‘Het is schandalig dat jij geld probeert te verdienen met onze activiteiten.’ Dan lacht mijn vrouw: ‘Is het weer zover?’»

HUMO Volgens het veiligheidsbedrijf Sophos zijn zes op de tien bedrijven in België al het slachtoffer geweest van gijzelsoftware.

BAUDEWIJNS «Dat is veel, ik denk niet dat het dan altijd over geslaagde aanvallen gaat. Soms zijn hackers op de één of andere manier binnen geraakt, maar worden ze op tijd gedetecteerd. Maar het fenomeen groeit. Twee jaar geleden kreeg ik één of twee oproepen per maand, nu zit ik aan hetzelfde aantal per week. Belgische bedrijven betalen elk jaar zo’n 100 miljoen euro losgeld aan cybercriminelen. Er was één geval vorig jaar waarbij 35 miljoen euro is betaald – nee, ik kan niet zeggen wie. Acht op de tien ransomware-aanvallen begint met wachtwoorden die gekraakt zijn en die te koop worden aangeboden op het darknet. Op die manier raken ze het snelst binnen.»

HUMO In Duitsland legde een cybercrimineel in juli de administratieve computernetwerken van een hele stad lam. Het stadspersoneel van Anhalt-Bitterfeld kon niet betaald worden en de kas van de sociale uitkeringen was dicht.

BAUDEWIJNS «Hetzelfde is gebeurd in de gemeente Willebroek, in januari vorig jaar. Gelukkig hebben we daar alle gegevens kunnen recupereren via back-ups en is er nooit betaald geweest. En Willebroek is niet de enige gemeente, ze willen er alleen niet allemaal mee naar buiten komen. Banken worden constant aangevallen door hackers: die moeten heel alert zijn, maar ze zijn dan ook echt goed beveiligd.»

ROEKELOZE CHINEZEN

Op 27 juni 2017 valt de haven van Rotterdam stil. Niets doet het nog. Camera’s, kranen, slagbomen: alles is defect. Er is geen scheepsverkeer mogelijk en de zee vult zich met wachtende containerschepen. Tientallen vrachtwagens kunnen het haventerrein niet op en komen vast te zitten. Op die dinsdag valt wereldwijd het ene bedrijf na het andere stil: pakketdiensten, medicijnfabrikanten, oliegiganten, ziekenhuizen… Honderdduizenden computers zijn besmet, in zeker 65 landen. Hele kantoorafdelingen kijken plots op een zwart beeldscherm. Postpakketten kunnen niet meer worden geleverd, artsen kunnen niet meer bij medische gegevens en burgers niet meer bij hun geld. Britse ziekenhuizen worden zo hard getroffen dat duizenden operaties moeten worden uitgesteld. Ambulances rijden niet meer uit.

MODDERKOLK «De schade was het grootst in Oekraïne, waar de metro’s stilvielen, net als de vliegvelden en zelfs een kerncentrale. Later is gebleken dat het een sabotageaanval was van de Russen tegen dat land. Maar omdat de kwaadaardige software zich sneller verspreidde dan voorzien, werden computers over de hele wereld getroffen. Die collateral damage werd wereldwijd geschat op meer dan 10 miljard euro.»

HUMO Je hebt het over een onzichtbare oorlog tussen naties: geheime diensten die elkaar niet alleen begluren, maar ook elkaars systemen proberen kapot te maken. Hoelang nog voor het escaleert?

MODDERKOLK «Dat is moeilijk te voorspellen, maar inlichtingendiensten worden steeds brutaler. Ze proberen in elkaars infrastructuur te komen: bij energiebedrijven, waterbedrijven, elektriciteitscentrales, in bruggen en sluizen. Daar wordt malware aangetroffen van andere staten, maar er gebeurt verder niets mee. Dan is de vraag wat de bedoeling is. Is het een soort waarschuwing? Een verkenning? Of willen ze die slapende malware bij een conflict gebruiken?

»De beïnvloeding van de Amerikaanse verkiezingen door de Russen in 2016, toen Donald Trump won, was nog zo’n wake-upcall, maar de dreiging komt steeds uit nieuwe hoeken. Bij de jongste Amerikaanse verkiezingen was men bang voor een herhaling, dus lette iedereen goed op. En wat gebeurde er? Via een softwarebedrijfje hebben de Russen toen de halve Amerikaanse overheid gehackt. Ze bleken er al meer dan een halfjaar binnen te zitten. Dat was de zogenaamde SolarWinds-aanval. De Amerikanen, die digitaal aan de wereldtop staan en een gigantisch inlichtingenapparaat hebben waar miljarden in de beveiliging worden gepompt, bleken niet in staat om dat te voorkomen. Ze zijn vandaag nog steeds de scherven aan het ruimen.»

HUMO Is ook de cyberspionage door geheime diensten tijdens de coronacrisis toegenomen?

MODDERKOLK (knikt) «Zeker. Vorig najaar is het Russische hackers gelukt om het Europees Geneesmiddelenbureau EMA binnen te dringen. Ze waren op zoek naar alle documentatie over Pfizer en Moderna. Omdat ze zelf hun Spoetnik-vaccin willen promoten, is het voor de Russische staat van belang om te weten: hoe werken de andere vaccins? Hoe ver staat het Westen in de campagne? Hoe kunnen wij dat beinvloeden? Ook de Chinezen zijn via een Duitse site bij de EMA binnen geraakt, louter om informatie te sprokkelen. De coronacrisis is geopolitiek, en daar zit altijd een spionagekant aan. De Wereldgezondheidsorganisatie is het afgelopen jaar eindeloos aangevallen door spionagegroepen uit verschillende landen. Voor China was het van enorm belang om te weten hoe het in de andere landen gaat en hoe zij daarop politiek moeten inspelen.»

HUMO Van welke diensten hebben België en Nederland het meeste last?

MODDERKOLK «De Chinezen en de Russen. Bij China gaat het in de eerste plaats om economische spionage. Ze stelen intellectuele eigendom van bedrijven om die in China na te maken. Bedrijfsspionage voor de namaakindustrie is er echt een overheidsbeleid, dat er mee voor gezorgd heeft dat China nu de tweede economie ter wereld is. Het is er een staatsbaan: IT’ers zitten aan lange tafels en proberen maandenlang één bedrijf binnen te komen. Als dat lukt, halen ze het meest waardevolle er in één nacht weg. Bedrijven als Unilever en Shell, die duizenden mensen tewerkstellen, hebben veel last van die economische spionage.

»De Russen richten zich meer op het militaire domein, de politiek en de diplomatie. Op het moment dat de Oekraïnecrisis uitbrak en Rusland de Krim annexeerde, ontdekte België een virus op het ministerie van Buitenlandse Zaken. Het was een professioneel spionagevirus dat diplomatieke berichten en vertrouwelijke rapporten kopieerde, onder meer over Oekraïne.»

HUMO In juni werd ontdekt dat onze overheid bij Binnenlandse Zaken al twee jaar van binnenuit begluurd werd door spionnen, wellicht de Chinezen. Wat deden die daar?

MODDERKOLK «Naast economische spionage doen de Chinezen ook aan politieke spionage. Misschien proberen ze op die manier informatie te verzamelen over de inlichtingendiensten. Elk uur, elke minuut proberen hackers bij overheidsdiensten binnen te raken. Heel veel aanvalsmethodes zijn bekend, maar af en toe glipt er eentje door.»

HUMO Hoe doet België het op digitaal vlak?

MODDERKOLK «Moeilijk in te schatten, maar bij mijn inlichtingenbronnen is men niet echt onder de indruk. De Chinezen zijn echt niet de beste van alle inlichtingendiensten, ze gaan heel roekeloos te werk en schieten met veel hagel om ergens binnen te komen. Als zij bij je binnen zitten, is dat zorgwekkend: dan heeft een andere staat waarschijnlijk al twee jaar toegang.

»We hebben het nu wel over de Chinezen en de Russen, maar ook de Amerikaanse en Britse inlichtingendiensten zitten zo goed als zeker ergens bij ons binnen. Alleen zijn ze zo goed dat we hen niet vinden.»

BIOLOGISCH WAPEN

En dan is er nog die andere vorm van online-oorlogsvoering: nepnieuws, manipulatie en propaganda om de publieke opinie te sturen. De militaire inlichtingendienst ADIV detecteerde bij ons de voorbije jaren verscheidene keren ‘beperkte’ inmenging door buitenlandse mogendheden. Dat gebeurde onder meer tijdens de verkiezingen van 2019, de coronapandemie, de vaccinatiecampagne en in de periode van de zoektocht naar de militair Jürgen Conings.

HUMO Russen en Chinezen stuurden allerlei nepnieuws over corona de wereld in.

MODDERKOLK «Tijdens de coronacrisis zijn de Chinezen zich voor het eerst op sociale media in het buitenland gaan roeren om aan beïnvloeding te doen, net als de Russen. Twitter heeft in het voorjaar van 2020 enkele tienduizenden Twitteraccounts offline gehaald die nepnieuws over het coronavirus verspreidden, en die allemaal gelinkt waren aan de Chinese partij: ‘Het is een biologisch wapen van de Amerikanen,’ ‘Het is nooit in China geweest.’ Ook de link tussen corona en 5G is actief gepusht door Chinese staatshackers.

»De Russische geheime dienst zette dan weer een wereldwijde campagne op om het vertrouwen in Pfizer te ondermijnen. Vrij ernstig toch, als je ten koste van de volksgezondheid twijfel probeert te zaaien over een vaccin om je eigen Spoetnik-vaccin te promoten. Daar speelt niet alleen geopolitiek, maar ook financieel belang.»

HUMO Bij ons kwamen de steungroepen voor de militair Jürgen Conings blijkbaar niet alleen uit extreemrechtse hoek, maar ook vanuit buitenlandse regimes.

MODDERKOLK «Kijk naar de Russische trollen in Sint-Petersburg: die zaaien met hun berichten altijd onrust rond maatschappelijke thema’s die voor controverse kunnen zorgen, zoals euthanasie of abortus, en corona. Ik denk dat er zelden een crisis is geweest die voor zoveel pijnlijke scheidslijnen heeft gezorgd in onze samenleving. Jürgen Conings was de verpersoonlijking van dat schisma. Als je dat sentiment kunt voeden, voed je ook de tegenstellingen. Vanuit vijandig perspectief is het best aantrekkelijk om de twijfel en onrust bij de bevolking in andere landen te vergroten.»

HUMO Wat kun je als burger zelf doen om je te beschermen?

MODDERKOLK «Een bedrijf als Facebook leeft en groeit van de persoonlijke informatie die gebruikers vrijwillig afgeven. Als mensen massaal hun account opzeggen, bestaat Facebook niet meer. Ook een datagrootmacht als Google draait op vrijwillig gebruik. Je zou kunnen overschakelen op privacyvriendelijkere alternatieven: zoekmachines DuckDuckGo en Startpage bijvoorbeeld. Zoals het ook een keuze is om WhatsApp te gebruiken terwijl het veiligere en even goed werkende Signal beschikbaar is.

»Veel zwakke plekken waar criminelen toeslaan, ontstaan door gemakzucht. Je zet in Amsterdam je fiets altijd dubbel op slot, zelfs al ben je maar een paar minuten weg, want je weet: anders ben je ’m kwijt. Dus doe je die moeite, terwijl het best vervelend is. In de digitale wereld vinden we die moeite blijkbaar te veel. Terwijl de gegevens die op je computer of op je telefoon staan, veel meer waard zijn dan die fiets. Als we in de echte wereld het huis uitgaan, doen we de voor- en de achterdeur op slot. Maar bij computers laten we ze wagenwijd openstaan.»

Huib Modderkolk, ‘Het is oorlog maar niemand die het ziet’, Uitgeverij Podium