• Hoe een telefoon-hack narcostaat Nederland feilloos blootlegt

Hoe een telefoon-hack narcostaat Nederland feilloos blootlegt

Clock Geplaatst op vrijdag 3 juli 2020

Criminaliteit Miljoenen onderschepte berichten, tonnen drugs en miljoenen euro’s in beslag genomen, ruim honderd arrestanten; alles aan het nieuwe onderzoek naar de georganiseerde misdaad is groot.

„Belangrijke veiligheidswaarschuwing!” Op vrijdagavond 12 juni om 23.00 uur Nederlandse tijd lichten vele duizenden telefoonschermen in 140 landen tegelijkertijd op bij klanten van telecombedrijf EncroChat. Onze service is gehackt, meldt het bedrijf via de eigen dienst. „Illegaal, door overheidsdiensten.”

EncroChat verkoopt crypto-telefoons, toestellen waarmee je versleutelde berichten kunt versturen. Die toestellen zijn gewild in de onderwereld omdat politie en justitie niet mee kunnen lezen. EncroChat garandeert haar klanten „anonimiteit”, „privacy alsof je alleen met iemand in een kamer bent”, „wereldwijde service” en „de optie van zelfvernietiging van verstuurde berichten, zelfs op de telefoon van iemand anders”.

Het maakt EncroChat (kortweg Encro) populair, ook nadat servers van twee concurrerende aanbieders – Ennetcom en PGP-Safe – in 2016 en 2017 in beslag werden genomen en miljoenen versleutelde berichten met zeer belastende informatie over het criminele milieu werden ontcijferd. Die berichten zijn doorslaggevend gebleken in een aantal geruchtmakende strafzaken rond onderwereldmoorden. Maar wat bij Ennetcom is gebeurd kan niet bij Encro, zo ging het verhaal in het milieu. „Ze slaan geen berichten op.”

Deze sussende woorden kunnen niet voorkomen dat het nieuws over de hack als een lopend vuurtje door de onderwereld gaat. Iedereen wil weten wat de gevolgen zijn. Moeten de gebruikers van Encro vrezen voor het Ennetcom-scenario?

Rechercheurs lezen mee

Ja, zo luidt het korte antwoord tijdens een persconferentie donderdag op het hoofdkantoor van de Europese justitie-organisatie in Den Haag. Bij een groot, internationaal onderzoek onder leiding van de Franse en Nederlandse recherche zijn ruim 100 miljoen berichten onderschept die via Encro zijn verstuurd. Circa 25 miljoen daarvan zijn relevant voor de Nederlandse recherche. Het onderzoek is onder de naam ‘Emma 95’ gestart in Frankrijk, waar de servers van Encro draaiden. Dankzij de bijzondere kennis van het Nederlandse Team High Tech Crime is het gelukt om het Encro-systeem te hacken zodat rechercheurs uit tenminste tien landen enkele maanden live mee konden lezen wat er allemaal aan criminele activiteiten werd gepland in Nederland en ver daarbuiten.

Dankzij die hack zijn in Nederland ruim honderd verdachten aangehouden en is een netwerk van laboratoria opgerold waar onder andere crystal meth werd geproduceerd en is 1.200 kilo van de zwaar verslavende drug in beslag genomen. Daarnaast is 8.000 kilo cocaïne en bijna 20 miljoen euro contant geld in beslag genomen en zijn twee van de meest gezochte drugssmokkelaars van Nederland aangehouden.

Het zes maanden durende onderzoek naar Encro is een huzarenstukje waar ze bij justitie en politie trots op zijn. Tegelijkertijd baren de uitkomsten van dit onderzoek grote zorgen omdat duidelijk wordt hoe diep de internationale drugshandel is doorgedrongen in de Nederlandse samenleving. „Het gemak waarmee wordt gesproken over liquidaties, ontvoering en marteling is ontluisterend”, zei Andy Kraag, hoofd van de landelijke recherche-eenheid. Dat Nederland een cruciale schakel is voor de internationale smokkel van cocaïne is genoegzaam bekend. Maar dat Nederlandse pillendraaiers een bondje hebben gesloten met Mexicaanse kartels voor de productie van crystal meth was zonder de hack bij Encro niet zo duidelijk geworden.

Na de ontdekking van de hack door Encro moesten Nederlandse speurders versneld een serie grote acties uitvoeren. Zou het lukken om een van de grootste opsporingsoperaties uit de Nederlandse geschiedenis weken geheim te houden? Een reconstructie.

Diepe stilte

Encroservers gehackt? Die vraag appt een advocaat op zaterdagochtend 13 juni om kwart over tien via de versleutelde berichtendienst Signal. Een uurtje later komt het eerste antwoord. In WhatsApp-groepen circuleren screenshots van de waarschuwing die Encro de avond daarvoor heeft verstuurd. Verkopers van de telefoons en advocaten krijgen die ochtend veel vragen van klanten, bij wie paniek en verbijstering om voorrang vechten. Ze willen weten wat voor risico ze lopen.

Iets na elven wordt de eerste tweet over de Encrohack de wereld ingeslingerd en rond het middaguur verschijnt het nieuws op misdaadblogs en nieuwswebsites. Normaal gesproken volgen daarna stukken met duiding en achtergrond, maar nu blijven verhalen met details over de gebeurtenissen uit. Woordvoerders van justitie en politie geven dagenlang niet thuis of doen vragen af met dooddoeners.

Dat blijft zo als bronnen in Groot-Brittannië een dag later melden dat een aantal verdachten is aangehouden op basis van bewijsmateriaal uit Encro-telefoons. Een bron in Engeland weet te melden dat het onderzoek al een half jaar loopt. Het wordt bevestigd door een Nederlandse advocaat die van een Britse collega heeft gehoord dat een verdachte in Engeland is geconfronteerd met een Encro-bericht van eind 2019. Dat er iets loos is met Encro staat wel vast, maar wat?

‘Strenger dan aan de overkant’

Een week later, op zondag 21 juni, onthult de Ierse Sunday World dat een liquidatie is voorkomen. Cops hack mobster’s phone and uncover plot to kill, meldt de krant over de Noord-Ierse crimineel Micheal O’Laughlin. Bewijsmateriaal is gevonden in een Encro-telefoon, zo citeert de krant rechtbankstukken. Wordt met dit verhaal de stilte doorbroken?

„Kan er niks over zeggen, ligt allemaal heel gevoelig”, appt een goede bron in de opsporing als hij kennis neemt van het nieuws uit Noord-Ierland. „Kennelijk zijn wij strenger dan aan de andere kant van het Kanaal.” De volgende dag wordt bekend dat de 48-jarige Rotterdamse fruithandelaar Roger P., beter bekend als kingmaker Piet Costa, is aangehouden. Via zijn fruittransporten vanuit Costa Rica zijn een aantal drugssmokkelaars in een paar jaar uitgegroeid tot cocaïnebaronnen.

Maar heeft de arrestatie van Piet Costa te maken met de Encrozaak? Het onderzoek, zo blijkt uit een persbericht van het OM, is al in 2018 gestart – ver voor de hack dus. Maar al die tijd is het niet gelukt om P. te vinden. Daar komt verandering in als de politie dankzij de Encro-hack leest dat hij vanuit Spanje naar Rotterdam komt omdat een van zijn mannen in mei van dit jaar daar is geliquideerd.

Na zijn arrestatie bevestigen bronnen de berichten uit Engeland en Ierland. Er loopt een groot internationaal onderzoek waarbij het Nederlandse Team High Tech Crime een belangrijke rol heeft gespeeld. Het onderzoek blijkt van Franse origine. Door de ontdekking van de hack moet een aantal Nederlandse onderzoeken versneld worden afgerond.

12,5 miljoen in verborgen ruimte

Naast de arrestatie van Piet Costa zijn dan al een aantal onderzoeken afgerond – „geklapt” in het politiejargon – op basis van de hack bij Encro. Het zijn grote zaken waarbij informatie over de aanleiding van het onderzoek wordt achtergehouden met een zogeheten afschermingsverbaal. Advocaten en bronnen in de onderwereld vragen zich af of er een nieuwe kroongetuige is opgestaan. „Er worden zoveel grote cocaïnetransporten onderschept, dat kan haast geen toeval meer zijn.”

Wat meer reuring veroorzaakt in de onderwereld is een serie onderscheppingen van contant geld, vaak gevonden bij ‘toevallige’ controles. Eén vondst springt er uit. Op 1 mei wordt 12,5 miljoen euro aan cash gevonden in een verborgen ruimte in een woning in Eindhoven. Ook hier is weer sprake van het achterhouden van de informatie over de start van het onderzoek. „Dat geld was zo verstopt dat het zonder specifieke informatie echt nooit gevonden zou zijn”, vertelt een bron uit het wereldje. In de woning werd volgens berichtgeving in het Eindhovens Dagblad een Georgiër aangetroffen zonder vaste woon- of verblijfplaats.

Op 8 mei is het weer raak. Er wordt in het Gelderse Drempt een groot crystal meth-lab gevonden. Ook hier wordt de aanleiding voor het onderzoek achtergehouden. Het lab in Drempt is een van de negen meth-labs die in de eerste zes maanden van dit jaar zijn ontmanteld, net zoveel als in heel 2019. Wat opvalt is dat er steeds een of meerdere Mexicanen in de labs worden aangetroffen. Nederlandse pillendraaiers hebben een verbond gesloten met Mexicaanse kartels, zeggen bronnen in het milieu en de opsporing. Nederlandse criminelen hebben alles wat nodig is: grondstoffen, laboratoria en logistiek voor de export. Met het recept van de Mexicanen kan hier crystal meth van hoge kwaliteit worden gemaakt die elders in de wereld voor de hoofdprijs wordt verkocht. Het is een verdienmodel waarop in de onderwereld geen nee tegen wordt gezegd.

Verklaring van Encro

Afgelopen weekend heeft het bedrijf EncroChat het stilzwijgen doorbroken via een brief – in handen van NRC – die misdaadblog Crimesite als eerste publiceert. Volgens de brief is EncroChat een commercieel bedrijf dat „diensten aanbiedt voor veilige communicatie op mobiele apparaten. „De jacht van buitenlandse overheidsorganisaties” heeft „verwoestende gevolgen” waardoor het bedrijf zich genoodzaakt ziet „voor onbepaalde tijd te sluiten”. Wie er achter het bedrijf zit, is nog altijd niet duidelijk in de brief.

Wel blijkt dat er al in mei problemen waren met de telefoons en dat er in de dagen voor het verzenden van de veiligheidswaarschuwing malware is ontdekt waarmee het besturingssysteem van de Encro-telefoons kon worden overgenomen. Wat de technici van EncroChat kennelijk niet weten is dat hun systeem dan al enkele maanden is gehackt en rechercheurs live berichten mee kunnen lezen.

Dat is het werk van Franse en Nederlandse cyberrechercheurs. Nadat de Franse recherche achterhaalt dat de servers van Encro zich op hun grondgebied bevinden, worden de Nederlandse cyberrechercheurs ingevlogen. Zij hebben met de ontmanteling van twee cryptofoonaanbieders – Ennetcom in Canada en PGP Safe in Costa Rica – veel krediet opgebouwd. Minder bekend – maar zeker zo belangrijk – is een onderzoek eind 2018 in Oost-Nederland. Toen slaagden de cyberrechercheurs erin het systeem van cryptofoonaanbieder Ironchat te hacken. Dat was de eerste keer dat rechercheurs live konden meelezen met berichten die versleuteld werden verstuurd. Hoe ze dat precies doen, wil de cyberrechercheurs niet zeggen. De hack werd door regionaal recherchechef Aart Garssen in dagblad Tubantia omschreven als „een wereldwijde doorbraak op het gebied van digitale recherche.” De ervaring die bij Ironchat is opgedaan leverde veel waardevolle kennis op die kon worden toegepast bij Encrochat.

Twee dagen voor de persconferentie bij Europol lukte het dankzij samenwerking tussen Braziliaanse, Nederlandse en Turkse opsporingsautoriteiten een omvangrijk drugsnetwerk op te rollen waarbij tientallen verdachten zijn aangehouden. Hoofdverdachte is de in Schiedam opgegroeide Cetin G., die zijn bijnaam – de man van 500 miljoen – dankt aan een in 2012 onderschept cocaïnetransport van 8.000 kilo dat indertijd een geschatte straatwaarde had van 500 miljoen. Het onderzoek naar G., die meerdere keren celstraf voor drugshandel wist te ontlopen, is een van de redenen dat er officieel geen ruchtbaarheid aan het Encro-onderzoek is gegeven. Nederland hoopt op de uitlevering van Cetin G. omdat hij voor betrokkenheid bij cocaïnesmokkel in 2016 tot 14 jaar cel is veroordeeld.

Het gemak waarmee wordt gesproken over liquidaties, ontvoering en marteling is ontluisterend

Andy Kraag hoofd landelijke recherche-eenheid

Capaciteitsprobleem

Het aantal drugszaken dat is blootgelegd met de hack van één cryptofoonnetwerk levert naast complimenten voor het goede werk ook een paar pijnlijke vaststellingen op. „Dit onderzoek laat opnieuw zien hoe groot de drugseconomie is in Nederland”, zegt een opsporingsbron. „Het pijnlijke is dat dat ook gepaard met enorm veel corruptie: in de haven maar ook binnen de overheid.”

Daarnaast is de vraag of er genoeg capaciteit is om het grote aantal verdachten te vervolgen dat nu in beeld is gekomen. Justitie en politie zijn nog altijd extreem druk met het verwerken van ontsleutelde berichten uit eerdere onderzoeken naar Ennetcom en PGP Safe. Daarbij gaat het om circa 1,5 miljoen berichten die voor Nederland relevant zijn. Bij EncroChat zijn 25 miljoen berichten boven tafel gekomen.

De vondst van een aantal crystal meth laboratoria laat zien hoe aantrekkelijk Nederland is als vestigingsland, ook voor Mexicaanse drugskartels. De grote vraag is hoe zij zullen reageren op de verliezen die alleen al door dit onderzoek op vele miljoenen worden geschat. „Gezien de omvang van de drugshandel is het begrip narcostaat echt op Nederland van toepassing”, zegt een zeer ervaren opsporingsambtenaar. „Alleen blijft het grove geweld, dat bijvoorbeeld een land als Mexico teistert, ons nog bespaard. Vooralsnog is er geen reden om te denken dat dat verandert nu Mexicaanse kartels vaste voet op Nederlandse bodem zoeken. Laten we hopen dat dat zo blijft.”

Correctie 2 juli. In een eerdere versie van dit stuk werd gesproken over PGP-telefoons van Encro. Deze telefoons maken echter gebruik van een anders besturingssysteem: OTR. Daarom wordt nu gesproken over cryptofoons.
Bron: https://www.nrc.nl/nieuws/2020/07/02/hoe-een-pgp-hack-narcostaat-nederland-feilloos-blootlegt-a4004789
Arrow leftTerug naar overzicht
Cross icon