Chinese en Russische hackers kraken netwerk geneesmiddelenbureau

De European Medicines Agency (EMA) is vorig jaar gehackt door een Russische inlichtingendienst en een Chinese spionagegroep. De Russen kwamen tot in het interne netwerk, mede door een instelling in het authenticatiesysteem van EMA waardoor ze de tweestapsverificatie konden misbruiken, zo blijkt uit onderzoek van de Volkskrant.
Het pand van het Europees Geneesmiddelenbureau (EMA) in Amsterdam.

EMA maakte begin december bekend het slachtoffer te zijn van een ‘cyberaanval’. Daarna werd een grondig onderzoek in samenwerking met opsporingsdiensten aangekondigd. Onder meer specialisten van de Europese beveiligingsautoriteit CERT-EU en het Team High Tech Crime van de Nederlandse politie zijn daarbij betrokken. Via verschillende media werd duidelijk dat de hackers toegang hadden tot documenten van Pfizer/BioNTech en dat ze waarschijnlijk tot een buitenlandse inlichtingendienst behoorden. Tientallen interne documenten en e-mails van de EMA verschenen op internetfora. Volgens de EMA was er met die documenten geknoeid, wat deed vermoeden dat sprake was van een beïnvloedingscampagne om twijfel te zaaien over de toelatingsprocedures en veiligheid van de vaccins.

Medische organisaties gehackt

Enkele betrokkenen, die anoniem willen blijven omdat ze niet met media mogen praten, zeggen dat EMA in het voorjaar van 2020 al doelwit was van Chinese hackers. Die slaagden er onder meer in om een Duitse universiteit te hacken en bij netwerken van EMA te komen. EMA ontkent, maar bronnen gaan ervan uit dat de Chinezen tot op zekere hoogte succesvol waren en dat de hack maanden duurde. In het najaar volgden nieuwe aanvallen, toen Russische hackers verschillende medische organisaties in Europa bestookten. Ze stuurden geselecteerde EMA-medewerkers een mail die van een collega leek te zijn (spearfishing). Als daarop werd geklikt, lieten ze kwaadaardige software (implant) achter.

Op die manier lukte het de Russen om het e-mailverkeer te onderscheppen. Omdat EMA de toegang tot het interne netwerk met tweestapsverificatie heeft beveiligd, kwamen de hackers in eerste instantie niet verder. Totdat ze via de mail een zip-file voorbij zagen komen met daarin een token voor een nieuwe gebruiker. Voordat een nieuwe werknemer in het systeem kan, moet hij tweestapsverificatie aanzetten. EMA verstuurt een token naar een mailadres. De medewerker opent die, voert bijbehorende gebruikersnaam en wachtwoord in en koppelt zo – in dit geval een telefoon via een app – een apparaat voor tweestapsverificatie. De app genereert een unieke code voor toegang, net zoals bijvoorbeeld de app van DigiD.

Psst, vind je dit interessant?

Ontdek Topics nu 1 maand gratis en stel je eigen nieuwsoverzicht samen.

Lees 1 maand gratis

Al abonnee?

Log in en lees altijd gratis Topics.

De Russen zagen dit bestand, onderschepten het en koppelden hun eigen apparaat. Daarop had het systeem een foutmelding moeten geven: het is niet mogelijk om meerdere tokens voor dezelfde gebruiker aan te maken. Maar EMA had deze optie volgens bronnen zelf uitgezet en was daardoor kwetsbaar voor misbruik. Het viel niet op dat een werknemer met meerdere apparaten inlogde. Ook de verschillende firewalls bij EMA gaven geen melding van verdachte inlogpogingen.

Wekenlang ongestoord inloggen

De hackers maskeerden op ingenieuze wijze hun ip-adres en konden wekenlang, en in elk geval langer dan een maand, ongestoord inloggen. Daarbij waren ze volgens bronnen niet zozeer geïnteresseerd in de werking van de Pfizer/BioNTech- en Moderna-vaccins maar meer in welke landen ze zouden afnemen en hoeveel. ‘Klassieke economische spionage’, volgens een bron, waardoor het waarschijnlijker is dat hackers van Ruslands buitenlandse inlichtingendienst SVR verantwoordelijk zijn en niet die van de militaire dienst GROe.

Uiteindelijk kwam de hack via een interne audit bij toeval aan het licht. Het viel een systeembeheerder bij het bekijken van logbestanden op dat een EMA-werknemer regelmatig buiten kantoortijden inlogde op het netwerk. Volgens een verklaring van EMA hadden de hackers toegang tot ‘een beperkt aantal documenten van derden’. Gezien de lange tijd dat de hackers onopgemerkt bleven, is het de vraag wat EMA bedoelt met ‘beperkt’. De organisatie reageerde niet op vragen van de Volkskrant.

Waarom de hackers besloten een deel van de documenten te publiceren, is niet bekend. Het motief kan verwarring zaaien zijn geweest. De stukken, ingezien door de Volkskrant, verschenen onder meer op een Russisch internetforum en werden gepubliceerd onder de titel Evidences of BIG DATA SCAM of Pfizer’s vaccines. Ze bevatten vertrouwelijke e-mails, stukken uit het beoordelingsproces, commentaren van EMA-medewerkers en communicatie met de EU uit november. Daaruit blijkt dat de EMA druk ervoer vanuit de Europese Commissie om zo snel mogelijk vaccins goed te keuren, in elk geval niet veel later dan de Amerikaanse FDA.

De gesprekken met de Commissie waren volgens EMA ‘gespannen, op sommige momenten een beetje onaangenaam’. EMA zei dat er met de stukken was geknoeid maar gaf geen duidelijkheid over de precieze bewerking. Later bleek dat de stukken wel degelijk authentiek zijn, maar dat er passages uit verschillende mails bij elkaar zijn gezet en dat de Russen soms eigen titels hebben toegevoegd.

Europese vaccinatiestrategie

Betrokkenen geloven echter niet dat het lekken het belangrijkste doel van de operatie was. De Russische hackers leken vooral geïnteresseerd in de Europese vaccinatiestrategie en welk land welke vaccins zou aanschaffen. Rusland heeft met het Spoetnik-vaccin een eigen troef en zal dat zo breed mogelijk willen verkopen. EMA maakte deze week bekend dat het begonnen is met het beoordelingsproces van Spoetnik voor gebruik in de Europese Unie. Een woordvoerder van CERT-EU zegt de situatie ‘nauwlettend’ in de gaten te houden en in contact te staan met EMA en opsporingsdiensten. Gedurende het strafrechtelijk onderzoek van de Nederlandse politie wil het Openbaar Ministerie niet inhoudelijk reageren. Ook de AIVD zegt ‘geen uitspraken’ over de hack te kunnen doen.