Reconstructie

Een reconstructie van de grootste encryptiekraak ooit: ‘Dit is voor de recherche puur genieten’

Een woning in Eemnes wordt doorzocht door politie, douane en defensie.  Beeld Hollandse Hoogte / Caspar Huurde
Een woning in Eemnes wordt doorzocht door politie, douane en defensie.Beeld Hollandse Hoogte / Caspar Huurde

Opnieuw is het de politie gelukt versleutelde communicatie te kraken. ‘Criminelen zijn hardleers, en niet altijd de slimsten.’ Een reconstructie van het grootste internationale rechercheonderzoek tot dusver.

‘We geven 5 miljoen dollar aan eenieder die ons toestel en encryptie kan kraken’, schreef aanbieder Sky ECC van versleutelde communicatie trots op zijn website.

Tot afgelopen dinsdag.

‘Wij hebben alvast een brief met ons rekeningnummer naar Sky gestuurd’, lachte recherchechef Andy Kraag die dag tegen de Volkskrant.

Tegelijkertijd maakten de Belgische en Nederlandse opsporingsautoriteiten afgelopen week bekend dat het is gelukt om de heimelijke berichtendienst Sky binnen te dringen. De ruim duizend euro kostende Android-SkyPhones (exclusief abonnement) zijn tot dat moment geliefd bij criminelen, omdat ze zijn gestript van gps-chip, bluetooth en andere systemen waarmee de gebruiker te achterhalen is. Ook bevatten ze een paniekknop waarmee onmiddellijk alle informatie kan worden gewist. In combinatie met versleutelingssoftware beloven deze cryptofoons volledige anonimiteit bij het sturen van teksten en foto’s, die bovendien worden verzonden via een onbekende server op een geheime plek. ‘Niet te hacken’, luidt de belofte. ‘Ontraceerbaar.’

Dat het is gelukt het systeem te kraken, is ‘een groot succes voor de politie’, zegt hoogleraar strafrecht Sven Brinkhoff van de Open Universiteit. ‘De impact op de georganiseerde misdaad is ongekend, juist op een moment dat het steeds moeilijker wordt om met klassieke opsporingsmethoden criminelen aan te pakken. Sky, met 80 miljoen onderschepte berichten, is nog groter dan EncroChat, met 25 miljoen.’

EncroChat, een concurrent van Sky, is afgelopen zomer gekraakt. Op vrijdagavond 12 juni lichtten ineens wereldwijd alle tienduizenden telefoonschermpjes van EncroPhones tegelijkertijd op. Tegelijkertijd krijgen de gebruikers hetzelfde pushbericht: ‘We kunnen de veiligheid van uw apparaat niet meer garanderen. U wordt geadviseerd om uw apparaat onmiddellijk uit te schakelen en fysiek te verwijderen.’

Vanaf dat moment verdwijnen veel criminelen naar het buitenland, schiet de prijs van cocaïne omhoog en loopt het storm bij advocatenkantoren. ‘Tien, vijftien man kwamen hier in korte tijd langs met zwetende voorhoofden en rode wangen’, herinnert strafadvocaat Jan-Hein Kuijpers zich. ‘Ook jongens die in voorlopige hechtenis zaten stuurden mannetjes langs: wat heeft de politie aan informatie? En sinds wanneer? Er was heel veel onrust in het milieu.’

Fundament van Marengo

Wat zij dan nog niet weten: de politie leest al tweeënhalve maand al hun geheime berichten mee. Bij de Landelijke Eenheid in Driebergen schrikken rechercheurs van het gemak waarmee over leven en dood wordt gecommuniceerd. Op hun schermen verschijnen teksten als: ‘Pop hem in z’n knie’, ‘Ik wil bloed zien’, ‘Doe een kogel in zijn hoofd’, en: ‘Een mensenleven is goedkoper dan een kilo coke’. Ook ziet het politieteam foto’s van vuurwapens, torenhoog opgestapelde geldbundels en tweede woningen in het buitenland vol blingbling en hoogglanzend marmer.

‘Normaal zijn we in een strafzaak op zoek naar bewijs, nu hebben we bewijs en zoeken we daar een zaak bij’, zegt politiechef Andy Kraag van de Landelijke Recherche in Driebergen. ‘Je moet niet denken dat dit ons in de schoot is geworpen. Daar is heel lang heel hard werken aan voorafgegaan.’

Het onderzoek naar cryptotelefoons is het grootste internationale onderzoek dat de recherche ooit heeft uitgevoerd. In 2012 werden de telefoons onderwerp van een nieuwe vorm van digitaal rechercheren. Want, stelt Kraag: ‘De internationale handel in cocaïne tierde welig, maar voltrok zich mede dankzij de cryptotelefoons voor een groot deel buiten ons zicht.’

Een wapen dat aangetroffen werd in de martelcontainers in Wouwse Plantage. De politie kwam de containers op het spoor door de kraak van EncroChat. Beeld via REUTERS
Een wapen dat aangetroffen werd in de martelcontainers in Wouwse Plantage. De politie kwam de containers op het spoor door de kraak van EncroChat.Beeld via REUTERS

Het eerste succes dateert uit 2016: dat jaar legt het Openbaar Ministerie beslag op miljoenen berichten die via de Ennetcom-server in Canada zijn verstuurd. Een jaar later volgt de server van PGP Safe in Costa Rica. Het levert onder meer belastende berichten op die nu het fundament vormen van het liquidatieproces Marengo tegen hoofdverdachte Ridouan T.

In 2018 ging de politie in Oost-Nederland nog verder, toen lukte het voor het eerst om live mee te kijken bij berichtenservice IronChat. Recherchechef Art Garssen spreekt dat jaar van ‘een wereldwijde doorbraak op het gebied van digitale recherche’.

In diezelfde periode begint ook het landelijk onderzoek naar EncroChat. Heimelijk kopen rechercheurs van het Team High Tech Crime (THTC) cryptofoons van deze aanbieder. De toestellen worden minutieus ontleed en onderzocht, om antwoord te kunnen geven op vraag: waar staat hun server?

Snoepwinkel aan criminele berichten

Een lange zoektocht naar de geheime server van EncroChat leidt in 2019 naar een groot maar onopvallend ict-bedrijf, OVH, in de noord-Franse industriestad Roubaix. Chef Jannine van den Berg van de Landelijke Eenheid laat samen met het OM snel een samenwerkingsverband met de Franse opsporingsautoriteiten optuigen. Wat daarna gebeurt, is door de Fransen tot ‘staatsgeheim’ verklaard. Het verhaal gaat dat de Franse gendarmerie ’s nachts heimelijk, fysiek inbreekt in het pand van OVH, omdat daar volgens de Nederlanders, tussen talloze OVH-servers, de geheime bewaarder van EncroChat-berichten staat. Franse rechercheurs plaatsen een ‘tussen-server’. Vervolgens wordt door de Nederlanders digitaal bij OVH ingebroken. Alle gebruikersnummers worden verzameld en er wordt een storing gecreëerd, waardoor elke gebruiker opnieuw zijn gegevens moet invoeren en de algemene voorwaarden accepteren – op de tussenserver van de Fransen. Zo zouden de Nederlandse en Franse recherche zich toegang hebben verschaft tot de enorme snoepwinkel aan criminele berichten, die gretig ook met opsporingsdiensten in andere betrokken landen is gedeeld.

Op 1 april 2020 is het cruciale moment. Die avond stroomt ineens, na enkele technische haperingen, bij de Landelijke Eenheid in Driebergen ‘een tsunami aan EncroChats’ binnen. ‘Een enorm gevoel van euforie’, zegt rechercheleider Kraag. ‘Criminelen een stap voor zijn, is voor de recherche puur genieten.’

Het is zo veel, dat hij direct besluit tot opschalen. Vierhonderd man zijn vanaf dat moment in wisselende samenstelling onafgebroken bezig al die berichten te kanaliseren. Een speciaal ingericht Crypto Analyse Team (CAT) leidt de berichten door naar de juiste eenheden en rechercheonderzoeken.

Op die manier belanden relevante EncroChats half mei ook in Breda, waar de leiders van het onderzoek ‘Portunus’ zich het hoofd breken over cocaïnetransporten en corruptie in de Vlissingse haven. ‘In die berichten staat letterlijk alles beschreven’, zeggen de onderzoeksleider en de zaaksofficier, die om veiligheidsredenen anoniem moeten blijven. Ze verbazen zich over de openheid waarmee criminelen zonder enig voorbehoud over hun cryptotelefoons communiceren. ‘De hele modus operandi over cokesmokkel in de Vlissingse haven staat erin’, zegt de onderzoeksleider, ‘inclusief betalingen, wie welke pallet met cocaïne waar vandaan moet halen en waar moet neerzetten.’ Er zit zelfs een chatbericht in het dossier waarin een verdachte schrijft: ‘Deze gesprekken zijn nooit meer terug te vinden. Dit is het enige bewijs wat ze zouden kunnen hebben tegen mij.’

Bij een inval in een woning houdt de politie twee mensen aan.  Beeld Hollandse Hoogte /  ANP
Bij een inval in een woning houdt de politie twee mensen aan.Beeld Hollandse Hoogte / ANP

Martelcontainers

Uit de EncroChats blijkt dat verschillende havenmedewerkers actief aan de cocaïnesmokkel deelnemen, en zelfs advies geven over welk merk bananen het eerst uit een boot wordt geladen en welke serienummers van pallets het makkelijkst verplaatsbaar zijn. Ze zitten er, kortom, ‘tot hun nek toe in’. ‘We hadden globaal zicht op cocaïnelijnen tussen Zuid-Amerika en Vlissingen’, zegt de onderzoeksleider, ‘maar wisten niet wat er precies in de haven gebeurt. Pas toen we die Encrochats kregen, vielen alle puzzelstukjes in elkaar.’

De onophoudelijke stroom van 25 miljoen EncroChat-berichten van Roubaix naar Driebergen toont nog veel meer aan. Behalve de ontdekking van de beruchte martelcontainers in het Brabantse dorpje Wouwse Plantage, leveren ze inmiddels het bewijs in 400 Nederlandse strafzaken, en in meer dan tweeduizend politieonderzoeken wereldwijd. Dat heeft tot dusver geleid tot meer dan tweeduizend arrestaties en de vondst van ruim 150 miljoen cash geld, tientallen tonnen drugs en honderden vuurwapens. ‘Van de Sky-kraak verwachten we een veelvoud’, zegt Kraag. ‘Dus reken maar uit.’

De containers die werden gebruikt als martelkamer.  Beeld via REUTERS
De containers die werden gebruikt als martelkamer.Beeld via REUTERS
De binnenkant van een van de ‘martelcontainers’.  Beeld AP
De binnenkant van een van de ‘martelcontainers’.Beeld AP

Sommige berichten waren zo levensbedreigend, meldt CAT-teamleider Sophia in het politievakblad Blauw, dat een een speciaal Threat To Life-team (TLL) werd opgericht dat met artificiële intelligentie de stroom berichten doorzocht op levensbedreigende situaties. ‘Daaruit zijn 22 Nederlanders gewaarschuwd. Niet alleen omdat ze geliquideerd zouden gaan worden, maar ook vanwege mogelijke zware mishandeling of ontvoering.’

De grote vraag is nu of de ontsleutelde berichten standhouden voor de rechter als bewijs. Een rondgang langs strafrechtadvocaten stemt niet hoopgevend voor de verdachten. Tot nu toe hebben rechters belastende berichten van Ennetcom, PGP Safe, IronChat en EncroChat geaccepteerd als bewijs. ‘Je kunt in een deel van deze zaken als advocaat niet veel meer dan naast je cliënt staan en zijn handje vasthouden’, zegt een raadsman die anoniem wil blijven. ‘Het zal straks vooral gaan om de vraag: hoe weet justitie zo zeker dat het belastende berichtje verstuurd is door juist die ene verdachte. Want de gebruikers gebruikten niet hun eigen naam, maar aliassen.’

Lullig drugszaakje

Advocaten Jan-Hein Kuijpers en Sanne Schuurman, die veel verdachten in Encrochat-strafzaken vertegenwoordigen, vestigen hun hoop op een uitspraak van het Europees Hof en een EU-richtlijn die vertrouwelijkheid van gebruikers waarborgen. ‘De Fransen kregen die EncroChat-berichten onder het mom van staatsveiligheid’, zegt Kuijpers. ‘In Nederland mag je ook bulkinformatie verzamelen als de staatsveiligheid in het geding is, bijvoorbeeld als een terroristische aanslag dreigt. Maar niet voor een lullig drugszaakje.’ Om deze principiële vraag gaat het, voegt Schuurman toe. ‘Uiteindelijk zal de Hoge Raad zich hierover gaan buigen.’

Hoogleraar Sven Brinkhoff vraagt hij zich af wat de volgende stap van criminelen zal zijn. Zullen ze in het kat-en-muisspel met de politie overstappen naar een andere aanbieder van cryptotelefoons of iets nieuws verzinnen?

‘Sky was na EncroChat de grootste aanbieder, dus die kraak kon je zien aankomen’, aldus de raadsman die anoniem wil blijven. ‘Maar criminelen zijn hardleers, en cliënten die gepakt worden zijn niet altijd de slimsten.’ Hij wijst zijn cliënten er soms op dat apps op een gewone telefoon, zoals Signal, ook gecodeerd berichten versturen. ‘Die kunnen niet makkelijk worden gehackt, omdat deze door te veel mensen worden gebruikt, ook door politici en journalisten.’ Het is volgens hoogleraar Brinkhoff dan ook niet voor niets, dat minister Grapperhaus van Justitie in de wet wil vastleggen dat juist die gewone apps voortaan makkelijker door de politie te tappen zijn.

‘Het grootste probleem voor justitie is dat ze de komende jaren alleen maar EncroChat- en Sky-zaken kunnen doen', merkt advocaat Sanne Schuurman op. ‘Al die tientallen miljoenen berichten moeten ze uitfilteren, lezen, bijnamen identificeren, enzovoorts. Dat is heel veel werk voor een sector die nu al kampt met een beperkte capaciteit. Justitie is daardoor de komende jaren aan handen en voeten gebonden. Ik zeg weleens gekscherend tegen cliënten die vastzitten: als je nu buiten komt, ligt heel de wereld voor je open.’

Meer over