Russiagate: Dezelfde feiten, ander verhaal – DEEL 1 – De DNC hack

Dit is het eerste artikel uit een serie van drie artikelen over “Russiagate”. In dit drieluik worden de feiten nog eens nader onder de loep genomen, en wordt aan de hand van die feiten geprobeerd een alternatieve uitleg te geven die net zo goed, of misschien zelfs beter aansluit bij recente en historische feiten dan het momenteel gangbare verhaal.  Daarmee wordt het drieluik naast een feitenoverzicht een kleine exercitie in framing. ContraCourant hoopt lezers zo aan het denken te zetten over de relatie en verschillen tussen feiten en verhalen, en tegelijk een waarschuwing te geven voor het gevaar van gepolitiseerd nieuws in een cultuur van infotainment en iets te goed samenvallende belangen van de commerciële mediawereld en de politiek.

In dit eerste deel wordt dieper ingegaan op de oorsprong van “Russiagate”, te weten de hack (of het lek) bij de Democratic National Committee (DNC), en het doorspelen van gestolen e-mails  aan diverse media en Wikileaks. Dit zou het werk zijn geweest van Russische hackers, in dienst van de Russische overheid en onder persoonlijke aanvoering van Vladimir Poetin, in een poging Donald Trump aan het presidentschap te helpen, mogelijk in samenwerking met het team van Trump.

Het inmiddels welbekende verhaal begon met een zogeheten joint statement van de USIC (US Intelligence Community) op 7 oktober 2016:

“The U.S. Intelligence Community (USIC) is confident that the Russian Government directed the recent compromises of e-mails from US persons and institutions, including from US political organizations. The recent disclosures of alleged hacked e-mails on sites like DCLeaks.com and WikiLeaks and by the Guccifer 2.0 online persona are consistent with the methods and motivations of Russian-directed efforts. These thefts and disclosures are intended to interfere with the US election process. Such activity is not new to Moscow—the Russians have used similar tactics and techniques across Europe and Eurasia, for example, to influence public opinion there. We believe, based on the scope and sensitivity of these efforts, that only Russia’s senior-most officials could have authorized these activities.”

Rapporten

Daarop volgden twee rapporten. Een rapport van 29 december 2016 van DHS (Dept of Homeland Security) en de FBI, genaamd “Grizzly Steppe”. Dit rapport ging in op het werk van twee “groepen hackers” (APT28 en APT29) die in verband worden gebracht met de veelbesproken hacks van het DNC en de phishing attacks op diverse Democratische officials, en het lekken van de hiermee verkregen informatie naar pers, DCLeaks.com en Wikileaks.

Het tweede rapport verscheen namens ODNI (Office of the Director of National Intelligence) op 6 januari 2017. Dit is een gedeclassificeerde versie van een geheim rapport waarin de hoofdlijnen van de vermeende Russische beïnvloedingscampagne uiteen worden gezet. Het geclassificeerde rapport was aanleiding voor de uitzetting van 35 Russische diplomaten. Het gedeclassificeerde rapport kan gezien worden als de tastbare basis van “Russiagate”. Zo werd er onlangs nog aan gerefereerd in een brief aan de Tweede Kamer van Minister Kajsa Ollongren.

Met de introductie van die rapporten en de verslaglegging hierover in de media werden direct de eerste onjuistheden geïntroduceerd. Zo is heel lang herhaald dat het ODNI rapport en de opvatting “Russia did it” het resultaat was van het werk van alle 17 inlichtingendiensten die de VS rijk is. De realiteit is dat beiden het resultaat zijn van een geselecteerd genootschap uit 3 (4 met de ODNI) inlichtingendiensten. Dit feit is al vrij snel na publicatie uitgesproken door House Intelligence Committee voorzitter Pete Hoekstra in een interview met FOX News, en is op 8 mei 2017 nog eens herhaald door James Clapper, en op 23 mei 2017 door John Brennan, beiden voor de senaatscommissie. Erg veel indruk maakte dat niet – de New York Times plaatste op 29 juni voor het eerst een correctie op een eigen artikel dat de mythe van 17 intelligence agencies nog eens herhaalde.

Daarnaast is het ODNI rapport van 6 januari 2017 vaak opgepakt als een soort bewijs van feiten en handelingen, hetgeen een pertinent onjuiste voorstelling van zaken is. Voor zover er hard bewijs bestaat is dit niet terug te vinden in het gedeclassificeerde document. Het document zelf bevat ook een disclaimer, te lezen in Annex B – “Judgements are not intended to imply that we have proof that shows something to be a fact.” Dit soort assessments zijn exact wat het woord inhoudt – inschattingen.

Totstandkoming van de rapporten

De inhoud van de rapporten binnen het publieke domein is op zich niet bepaald explosief te noemen. Sterker nog, het gedeclassificeerde ODNI rapport van 6 januari was in het licht van de zware beschuldigingen aan het adres van Rusland en Poetin en de daarover ontstane onrust een nogal teleurstellend document. Van de 25 pagina’s die het document beslaat bevatten 12 pagina’s de feitelijke inhoud van het rapport. Van die 12 pagina’s gaan er liefst 7 pagina’s exclusief over de Russische staatszender RT. Dat laat 5 pagina’s over waarin het verhaal van de DNC-hack en lekken van gevoelige informatie uiteen wordt gezet – de kern van het gehele verhaal. Die kern blijkt (in ieder geval in het gedeclassificeerde document) exclusief te rusten op het werk van twee commerciële partijen: FireEye en CrowdStrike.

FireEye schreef al voor de geboorte van “Russiagate” een rapport over APT28, een van de vermeende groepen die in relatie tot de DNC hack wordt genoemd. Belangrijker is de rol van CrowdStrike. Het is CrowdStrike geweest dat door het DNC is benaderd toen men lucht kreeg van verdachte activiteit binnen het IT netwerk.

Het is hierbij van groot belang op te merken dat de FBI zelf nooit onderzoek heeft gedaan op de servers van het DNC. FBI en DNC wijzen in dezen naar elkaar, waardoor onduidelijk wordt hoe of waarom dit zo gelopen is, maar vast staat dat CrowdStrike de enige partij is geweest die toegang tot de DNC servers heeft gehad om onderzoek te doen. Net zo goed van belang is het feit dat de CTO en mede-oprichter van CrowdStrike, Dmitri Alperovitch, directe banden onderhoudt met de Atlantic Council (een pro-NAVO denktank) en in dat licht ook werk verricht voor het Digital Forensics Research Lab – hetgeen een coöperatief project is met de NAVO in het licht van StratCom.

Zonder ons in aluhoedjes land te willen begeven moeten daarbij toch de volgende zinsneden worden opgenomen uit dit officiële NAVO document (onder het kopje definitions):

“NATO Strategic Communications: the coordinated and appropriate use of NATO communications activities and capabilities – Public Diplomacy, Public Affairs, Military Public Affairs, Information Operations and Psychological Operations, as appropriate in support of Alliance policies, operations and activities, and in order to advance NATO’s aims.”

“PsyOps: Planned psychological activities using methods of communications and other means directed to approved audiences in order to influence perceptions, attitudes and behaviour, affecting the achievement of political and military objectives.”

Een en ander betekent dus dat we een vrij unieke situatie hebben waarin het vermeende slachtoffer een private en moeilijk onafhankelijk te noemen partij betaalt om bewijs te verzamelen tegen een vermeende dader, waarbij de bron van het bewijs door geen enkele onafhankelijke partij is geverifieerd – en daarmee feitelijk het bewijs zelf ook niet. Evengoed wordt dit dubieuze bewijs 1-op-1 overgenomen in officiële stukken zonder dat al te veel mensen er acht op lijken te (willen) slaan.

Inhoud van de rapporten

Zoals gezegd speelt het werk van CrowdStrike een cruciale rol in de bewijsvoering van het oorspronkelijke ”Russiagate” verhaal. Gebleken is echter dat zowel CrowdStrike als het door CrowdStrike geleverde bewijs wellicht niet de meest ideale kandidaten zijn voor wat betreft een onafhankelijke blik op zaken. Het voornaamste bewijs dat CrowdStrike uiteindelijk heeft geleverd, is (ook naar eigen zeggen) niet conclusief. Er vallen dan ook een hoop kanttekeningen bij te plaatsen – iets dat in de gevestigde namen in binnen- en buitenland enigszins moeizaam is verlopen. De voornaamste elementen in het verhaal (waarin ook bevindingen van FireEye zijn opgenomen) zijn als volgt:

  • Bij de vermeende hack werd gebruik gemaakt van software (Agent-X) waarvan het gebruik wordt toegeschreven aan Russische geheime diensten.
  • Er zijn IP-adressen gebruikt die ook zijn gebruikt bij eerdere, aan Rusland toegeschreven hacks.
  • Uit profilering van de diverse doelwitten door FireEye zou blijken dat “threatgroup” APT28 werkt voor de Russische overheid, omdat de doelwitten samenvallen met Russische belangen.
  • De activiteiten hadden plaats tijdens Russische kantooruren.
  • In de metadata zijn Cyrillische tekens en verwijzingen naar oude Sovjetgeneraals gevonden
  • De werkwijze zou overeenkomen met eerdere aan Russische staatsactoren toegeschreven hacks en intrusies.
  • Guccifer 2.0 (die de hack claimde) zou een afleidingsmanoeuvre zijn, geheel consistent met een scala aan Russische handboeken en veldmethodieken die volgens sommigen blijkbaar uniek zouden zijn voor Rusland.

Kortom, hard technisch bewijs ontbreekt. Ja, er zijn IP adressen gebruikt die eerder zijn gebruikt in hacks en intrusies die zijn toegeschreven aan Rusland – ContraCourant gaat (en kan) hier geen spoedcursus hackattributie verzorgen, maar het is geen vreemd fenomeen dat bij dit soort aanvallen gebruik wordt gemaakt van beschikbare platforms. Zolang niemand daar iets aan opmerkt en maatregelen treft, blijven die platforms beschikbaar voor dit soort malafide praktijken. Dit soort clandestiene netwerken wordt voor diverse doeleinden zelfs te koop aangeboden op internet.

De profilering van doelwitten is een gebruikelijke routine op dit gebied, maar als methodiek ook zeker niet onfeilbaar. Met name wanneer je profilering volgens een disclaimer (pagina 17) in je eigen rapport de doelpalen daar neerzet waar je verwacht dat de bal terecht gaat komen. Citaat:

“APT28 has targeted a variety of organizations that fall outside of the three themes we highlighted above. However, we are not profiling all of APT28’s targets with the same detail because they are not particularly indicative of a specific sponsor’s interests. They do indicate parallel areas of interest to many governments and do not run counter to Russian state interests.”

Waarmee de bewijslast uit de profilering wordt gereduceerd tot een soms opgaande vlieger waarbij het niet opgaan van de vlieger genegeerd kan worden omdat dit op zich niet het tegendeel van de eigen claim bewijst.

Attributie van een hack op basis van de gebruikte software gaat voorbij aan het feit dat dergelijke software na deployment voor iedereen te manipuleren en gebruiken en/of verspreiden is. Daar is uiteraard wel enige technische kennis voor nodig, maar van een heel andere orde dan voor het van de grond af bouwen van dergelijke software. IT- en beveiligingsconsultant Jeffrey Carr liet al snel optekenen dat hij bijvoorbeeld weet heeft van twee andere partijen die volledige beschikking hebben over Agent-X, en dat hij het waarschijnlijk acht dat meerdere partijen de software in handen hebben.

Het overige bewijs uit metadata is ronduit nietszeggend. Dit betreft allemaal zaken die voor iedereen met het grootste gemak te manipuleren zijn, en voor een hoegenaamd superprofessionele hackoperatie die zo gesofisticeerd is dat er slechts een state-actor achter kan zitten lijken de feiten er nogal dik bovenop te liggen. Niets is onmogelijk, maar een kritische houding ten opzichte van dit bewijs lijkt meer dan gepast. Ook de claim dat de werkwijze lijkt op de werkwijze bij eerdere aan Rusland toegeschreven hacks heeft inhoudelijk weinig te bieden. Er is niet zo heel veel specifieks op te merken aan de manier van werken, laat staan dat de manier van werken op enige manier Russische specificiteit in zich draagt. Deze claim is eigenlijk volstrekte onzin die in hetzelfde licht kan worden bekeken als de claims dat Guccifer 2.0 een typisch Russisch verschijnsel zou zijn volgens typische Russische methodieken. Hoewel het bestaan van dit soort doctrines absoluut een feit is, is het idee dat alles wat in dergelijke Russische handboeken te vinden is een specifiek Russisch concept is net zo zinnig als de aanname dat de neefjes van Donald Duck het vuur hebben uitgevonden omdat in het Jonge Woudlopershandboek staat hoe een vuur kan worden gemaakt.

Buiten dit alles dient nog te worden opgemerkt dat er over het concept “threat group” enige (al dan niet oprechte) verwarring lijkt te bestaan. Dit blijkt uit het feit dat APT28 en APT29 vrij consistent worden aangeduid als “hackerscollectief” of anderszins afgebakende groep mensen, al dan niet in dienst van de Russische overheid. De realiteit is echter dat een “threat group” weinig meer is dan een verzameling software, methodieken en infrastructuur waarmee geregeld aanvallen worden waargenomen. Een citaat uit deel 2 van het ESET rapport “En route with Sednit” (Sednit is de naam die ESET geeft aan APT28):

“Performing attribution in a serious, scientific manner is a hard problem that is out of scope of ESET’s mission. As security researchers, what we call “the Sednit group” is merely a set of software and the related network infrastructure, which we can hardly correlate with any specific organization.”

Zo blijven we inzake “Russiagate” zitten met een hoop halve verhalen die losjes aan elkaar worden gebonden. Dit kun je met de beste wil van de wereld geen bewijs noemen, en het heeft er alle schijn van dat bepaalde instituten belang hebben bij instandhouding van een verhaal dat weinig meer behelst dan een hoop grote claims en verdachtmakingen. Hierover meer in het laatste deel uit dit drieluik.

Hack of lek?

Hoewel ContraCourant hier zelf nog niet dieper op in wil gaan is enige tijd geleden ook een feitenversie in roulatie gekomen waarin aan de hand van metadata van de door Guccifer 2.0 gepubliceerde documenten de inschatting is gemaakt dat deze documenten niet kunnen zijn verkregen door een download, maar lokaal moeten zijn gekopieerd met een USB stick. Aangezien deze analyse ook uitgaat van onbetrouwbare metadata vindt ContraCourant niet dat deze bevinding een prominente plek verdient in de beschouwing van “Russiagate”. Evengoed kan het interessant zijn deze analyse eens door te nemen.

Wel is het relevant om op te merken dat de notie dat de DNC hack geen hack maar een lek was, wordt gedeeld door diverse mensen waaronder (ex-NSA klokkenluider) William Binney, (ex-diplomaat) Craig Murray en niet in de laatste plaats Julian Assange. Gezien het feit dat de FBI of enige andere onafhankelijke instantie nooit toegang heeft gehad tot de DNC servers voor het verrichten van onderzoek zijn we vooralsnog aangewezen op het woord van CrowdStrike.

Wikileaks

Om dit eerste deel uit het drieluik af te sluiten wil ContraCourant nog wijzen op het volgende. In het licht van “Russiagate” zijn Wikileaks en voorman Julian Assange op vele manieren verdacht en zwart gemaakt. Hoewel beiden niet perfect zijn is het van belang op te merken dat de meeste beschuldigingen aan het adres van beiden onbewezen besmeuring betreft (hierover later gegarandeerd meer!) die vooral uit politieke motieven lijkt voort te komen. Hier werken al onze kwaliteitskranten (in binnen- en buitenland) vrolijk aan mee. In het verlengde van dit gegeven kunnen we het feit plaatsen dat er eigenlijk nauwelijks nog aandacht wordt besteed aan de releases van Wikileaks. En dat is jammer, en misschien ook een beetje toevallig, want laat Wikileaks de laatste tijd nu net in een serie publicaties zitten (“Vault” genaamd) die een ander licht werpen op bijna alle “Russiagate” gerelateerde zaken. Bijvoorbeeld hoe de CIA zich heel goed kan voordoen als een andere “state actor” (of wie dan ook), of hoe de CIA nep-certificaten van Kaspersky Labs in malware kan verstoppen. Zoals gezegd, hierover later meer. Binnen de scope van dit artikel volstaat een verwijzing naar deze releases en het feit dat de interesse vanuit de gevestigde orde van  medialand inmiddels naar het nulpunt lijkt te zijn gedaald.

Dit verandert allemaal niets aan het feit dat tot op heden geen letter bewijs is geleverd waaruit blijkt dat Wikileaks heeft gefungeerd als doorgeefluik voor door Russen gestolen documenten.

 

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *