Deze Nederlanders probeerden omstreden spionagesoftware te verkopen

Illustratie: Ivo van de Grift (voor De Correspondent)

Een Nederlandse zakenman en consul probeerde spionagesoftware van het omstreden bedrijf Hacking Team te verkopen aan Ecuador. Een andere zakenman zette een nauwe samenwerking met Hacking Team op. Het laat zien hoe omstreden software in dictaturen terechtkomt.

Dit is een verhaal dat laat zien hoe spionagesoftware in landen met autocratische presidenten terechtkomt.

Op 22 juni 2015, om 11.38 uur, stuurt Peter Stolwerk een naar Philippe Vinci.

De eerste is directeur bij de een bedrijf dat inlichtingenconsultancy levert, Vinci is manager bij het Italiaanse bedrijf Hacking Team.

Stolwerk heeft een mogelijke deal met Ecuador in de aanbieding:

Hi Phillippe,

Met deze mail wil ik Karel Coors aan je introduceren. Karel woont in Ecuador en is daar een sterke partner geweest voor Providence. [...] Karel is door een van zijn klanten benaderd en ik denk dat er een business opportunity is voor Hackingteam. Ik hoop dat ik jullie met deze introductie op korte termijn aan elkaar kan linken en ik hoop dat hier goede zaken uit voortkomen. Met vriendelijke

De Italianen happen dezelfde dag nog toe. Om 15.47 uur er een geheimhoudingsverklaring naar Karel Coors.

Opvallend: die heeft niet alleen een IT-bedrijf, maar is ook consul van de Nederlandse overheid in Ecuador.

Om 18.04 uur Coors meer: de Ecuadoranen blijken een nieuwe inlichtingendienst op te willen richten, met zeventig analisten. Hacking Team moet de software leveren.

Hallo

Dit is een nieuwe groep die geformeerd wordt door het ministerie van Binnenlandse Zaken. Een aantal politie-instanties zal er gebruik van maken. De focus ligt op sociaalnetwerkverkeer. Het ministerie is de contracterende partij. [...] Ik kan ook de geheimhoudingsverklaring tekenen, dus we kunnen verder. Dan zullen we deze kans stap voor stap ontwikkelen. Vriendelijke

Om 19.00 uur stuurt Coors de ondertekende geheimhoudingsverklaring terug. Een paar dagen later wordt de Ecuadoraanse ambtenaren gevraagd een vragenlijst in te vullen over wat ze van Hacking Team nodig

Wat blijkt: het Italiaanse bedrijf wordt gevraagd programma’s te leveren waarmee van vijfhonderd ‘doelwitten’ besmet Die onderzoeken zouden betrekking hebben op corruptie, fraude en De software moet in oktober 2016 opgeleverd zijn.

Maar eerst wordt afgesproken dat een medewerker van Hacking Team op 9 juli 2015 een demonstratie komt geven aan de contacten van Coors. Het ironische is: Hacking Team wordt vier dagen vóór de afspraak zélf slachtoffer van een Meer dan 400 gigabyte aan documenten en e-mails komt op straat te liggen.

Waaronder de deal die Stolwerk tussen de Italianen en de Ecuadoranen opzette. En dat kun je gerust omstreden noemen, want Hacking Team komt sinds 2012 geregeld in opspraak.

Illustratie: Ivo van de Grift (voor De Correspondent)

Waarom Hacking Team omstreden is

Repressieve regimes gebruiken de van Hacking Team namelijk om journalisten, oppositieleden, activisten en dissidenten in de gaten te houden, monddood te maken of gevangen te zetten.

Een paar voorbeelden:

  • In 2012 wordt bekend dat software van Hacking Team is ingezet tegen het Marokkaanse medium Mamfakinch. Ook wordt de software ontdekt op de computer van activist Ahmed Mansoor in de Verenigde Arabische Emiraten, die door de politie van zijn bed werd gelicht en nog steeds gevangen zit.
  • In 2013 Reporters Without Borders Hacking Team als een van de ‘vijanden van het internet’ vanwege zijn rol als voor autoritaire regimes.
  • In 2014 brengt een Canadese onderzoeksinstituut dat de spionagesoftware is aangetroffen in een aantal landen met een deplorabele mensenrechtensituatie, zoals Azerbeidzjan, Kazachstan en Soedan.
  • In 2015 wordt bekend dat Ethiopische journalisten in Amerika met behulp van Hacking Team-malware worden

Drie maanden later volgt de hack bij het Italiaanse bedrijf. Als journalisten door de documenten gaan, duiken al snel Stolwerk en zijn bedrijf Providence op. Uit enkele mails blijkt dat hij een demonstratie van Hacking Team-software organiseert voor de Nationale Politie en de Nederlandse militaire veiligheidsdienst, een onthulling die tot een klein relletje leidt.

En nu zijn er de mails van Stolwerk en Vinci, die de betrokkenheid van Nederlanders bij de leverantie van omstreden software aan problematische regimes aantonen. Die kwamen boven na van Buro Jansen & Janssen, dat liet zien dat de twee inderdaad een overeenkomst wilden sluiten, en speurwerk van Jurre van Bergen, die de van Coors uit de gehackte documenten viste.

Beide zaken geven een boeiend inkijkje in de zeer gesloten wereld van commerciële surveillance. Maar eerst meer over de samenwerking tussen Providence en Hacking Team - en de rol van Stolwerk daarin.

Hoe Providence wil meeliften op het succes van de Italianen

Het Engelse Providence is gericht op het trainen van politietactieken, zoals het observeren van verdachten en het installeren van afluisterapparatuur. De Britse directeuren hebben een verleden bij de special forces en bij veiligheidsbedrijven die ook in oorlogsgebieden opereerden. De Nederlandse directeur, Peter Stolwerk, heeft een verleden bij de politie.

Hacking Team is een Italiaans bedrijf dat software maakt waarmee politie- en inlichtingendiensten computers en smartphones kunnen hacken. Als een apparaat eenmaal besmet is, kan al het communicatieverkeer met het programma onderschept worden. Ook de camera en microfoon van computers zijn van afstand te bedienen. Daar is veel vraag naar: rond 2012 groeit het bedrijf als kool en heeft het tientallen klanten over de hele wereld.

Begin 2013 probeert Stolkwerk Hacking Team te paaien met een potentieel lucratieve tip

Bij Providence willen ze profiteren van dat succes. Daarom wordt eind 2012 Stolwerk naar voren geschoven als contactpersoon voor Europa. Hij is dan net directeur van de Nederlandse tak en gevestigd in een klein kantoor in de Haarlemse binnenstad. ‘Peter is very well connected in Europe and manages a very large area (everywhere other than Poland and Sweden I believe),’ aldus de Engelse directeur tegen een klant.

Inderdaad is Stolwerk zeer reislustig. Op zijn Facebookpagina, die tot voor kort publiek was, doet hij verslag van de reizen die hij voor Providence maakt. Van Roemenië tot Maleisië en van Koeweit tot de Verenigde Arabische Emiraten: Stolwerk maakt meer dan zeventig trips naar 25 landen in drie jaar tijd.

En waar het om gaat: begin 2013 probeert hij Hacking Team te paaien met een potentieel lucratieve tip. Hij weet dat het leger in Ecuador interesse heeft in de software van het bedrijf, dus begin 2013 neemt hij contact op met de Italianen.

Ik had zojuist een skypegesprek met ons kantoor in Ecuador. Ze zijn benaderd door het Ecuadoraanse leger. Die vroegen een offerte voor een licentie voor RMI en (grote

Hacking Team laat weten al zaken te doen in Ecuador, via de regionale tussenpersoon Robotec. Volgens Stolwerk is dat echter geen probleem: Robotec is toch te omzeilen?

De Italianen denken daar anders over, want Robotec staat op het punt een lucratieve deal te sluiten met SENAIN, een van de geheime diensten van Ecuador.

Twee deals tussen de bedrijven liggen in het verschiet

In 2015 doet zich een nieuwe kans voor, maar nu is het Hacking Team dat bij Providence aanklopt. De Italianen zijn erachter gekomen dat Providence distributeur is van een gewild stukje hacktechniek: de Kailax Unlocker.

Deze usb-stick wordt door een oud-medewerker van een Israëlische geheime dienst geproduceerd en kan met wachtwoord beveiligde Windowscomputers open krijgen. Hacking Team wil graag deze Unlockers naast de eigen software gaan aanbieden.

Al snel komen Stolwerk en Hacking Team tot een nauwe samenwerking: Hacking Team mag een versie van de Kailax Unlocker verkopen en Providence zal gebruikers van Hacking Team-software over de hele wereld gaan trainen en begeleiden.

In juni 2015 treft Stolwerk voorbereidingen om de deal rond te maken. Wat daarna gebeurt? Dat valt niet te achterhalen. Na de hack loopt het spoor dood. Zowel Hacking Team als Stolwerk doen er het zwijgen toe.

Problematisch is dat de Hacking Team-software via Stolwerk en Coors bij de nieuwe Ecuadoraanse geheime dienst terechtkomt

Juni 2015 is een betere maand. Dan doet zich een mogelijke tweede deal voor: de verkoop van spionagesoftware van Hacking Team aan Ecuador, dit keer via Coors.

Coors woont en werkt sinds 1991 in Ecuador. Hij heeft een aantal bedrijfjes op het gebied van telecommunicatie en helpt andere bedrijven hun weg te vinden in het land. Wat precies de aard is van de samenwerking tussen Coors en Stolwerk blijft onduidelijk, maar Stolwerk zit bij vrijwel alle mailwisselingen in de cc.

Het pikante is dat Coors nog een functie heeft. Toen de ambassade in Quito wegens bezuinigingen werd gesloten, werd hij in januari 2012 voor vijf jaar aangesteld als honorair consul. Een honorair consul verleent onbezoldigd hulp aan Nederlanders in nood en helpt Nederlandse bedrijven op weg.

‘Op het gebied van integriteit gelden voor honorair consuls dezelfde normen als voor alle Rijksambtenaren en zij worden daar bij hun aanstelling op gewezen,’ laat woordvoerder Roel van der Meij van het ministerie van Buitenlandse Zaken weten.

Problematisch is dat de Hacking Team-software via Stolwerk en Coors bij de nieuwe Ecuadoraanse geheime dienst terechtkomt. Terwijl die geheime diensten en de politieke leiding daarvan een slechte reputatie hebben, die toch zeker bekend moet zijn geweest bij Coors.

Illustratie: Ivo van de Grift (voor De Correspondent)

Hoe de software wordt ingezet in een land dat steeds autocratischer wordt

Goed, bij zijn aantreden in 2007 gold president Rafael Correa als een grote belofte. Hij voerde democratische hervormingen door, probeerde een herverdeling van de welvaart tot stand te brengen en pleitte voor een betere bescherming van natuurgebieden in Ecuador.

Maar al snel zagen critici de autocratische kanten van Correa opdoemen. Met pesterijen, bedreigingen en boetes probeerde hij media en activisten monddood te Dit jaar gaf Correa het stokje door aan partijgenoot

Waar het om gaat: Hacking Team hielp Correa om pers en activisten in het gareel te houden. Het bedrijf is sinds 2013 actief in het land en levert spionagesoftware aan de geheime dienst SENAIN. Dit loopt via Robotec, de tussenpersoon waar Stolwerk eerder op stuitte. Of hij en Coors betrokken zijn bij deze deal, is onbekend.

Niet dat de samenwerking tussen Hacking Team en SENAIN van een leien dakje ging. Uit de gelekte mails blijkt dat de Italianen zich frustreren over de technische kunsten, of liever gezegd het gebrek daaraan, van de analisten van de Ecuadoraanse inlichtingendienst. Ze doen continu een beroep op de helpdesk van Hacking Team en sturen daarbij screenshots en documenten mee waarmee ze hun doelwitten proberen te besmetten.

Door die screenshots en documenten weten we nu wie de doelwitten waren. Die kwamen immers met de hack naar buiten. Het prominentste doelwit is Carlos Figueroa, een oppositieleider die in maart 2014 tot zes maanden cel werd veroordeeld wegens belediging van Correa. Figueroa wachtte de zaak niet af, dook onder, maar werd alsnog gearresteerd toen hij zijn zieke moeder bezocht.

Ook activisten werden gehackt en gemonitord, zoals leden van de confederatie van inheemse volken en milieuactivisten die het Yasuni-regenwoud beschermen. In dat bijzondere regenwoud wil Correa Tevens werden, blijkens de screenshots, rechters en leden van de nationale kiesraad in de gaten gehouden.

Ook opvallend: toen hier na de hack van Hacking Team over publiceerden, werden hun websites een dag platgelegd door een

En geconfronteerd met bewijs en concrete die betaald waren voor de Hacking Team-software, stelde de verantwoordelijk minister dat alles in overeenstemming was met het Ecuadoraanse recht, een stelling die door een Zuid-Amerikaanse mensenrechtenorganisatie

De activiteiten van Hacking Team in Ecuador waren dus problematisch. Of Coors er ook in is geslaagd om Hacking Team aan meer werk te helpen, is onbekend. Hij heeft een korte verklaring afgelegd aan onze collega’s van het Ecuadoraanse medium Plan V en zegt dat de deal uiteindelijk niet is doorgegaan. Het is Plan V niet gelukt om meer duidelijkheid te krijgen over de beoogde deal.

En ja, misschien was de software uiteindelijk bedoeld voor nobeler zaken, zoals het bestrijden van corruptie, fraude en georganiseerde misdaad. Dat is alleen niet te controleren: er is in Ecuador veel corruptie en nauwelijks toezicht op de inlichtingendiensten.

Illustratie: Ivo van de Grift (voor De Correspondent)

Dus? Het mag, maar dat is juist het probleem

Blijft staan dat het ministerie van Buitenlandse Zaken, noch de ambassade in Lima, pas begin dit jaar op de hoogte waren van Coors betrokkenheid. Toen was Coors geen consul meer.

Het ministerie had waarschijnlijk weinig met deze informatie gekund, zegt woordvoerder Van der Meij van het ministerie. Coors heeft samengewerkt met Hacking Team in het kader van zijn baan als directeur van een handelsbedrijf in Quito. ‘Voor zover bekend, heeft hij zijn aanstelling als honorair consul niet vermengd met de samenwerking met Hacking Team uit hoofde van het handelsbedrijf.’

Of die vermenging heeft plaatsgevonden, is niet te achterhalen. Coors zelf doet er nu het zwijgen toe. Het ministerie en de ambassade waren in ieder geval niet op de hoogte van de samenwerking met Hacking Team. ‘Hij hoefde dat volgens de geldende regelgeving ook niet te melden,’ aldus de woordvoerder.

Voor zover bekend, heeft hij zijn aanstelling als honorair consul niet vermengd met de samenwerking met Hacking Team uit hoofde van het handelsbedrijf

Het faciliteren van een deal voor de verkoop van dit soort spionagesoftware kan volgens Van der Meij worden beschouwd als het verlenen van een tussenhandeldienst. Dat kan op dit moment nog niet ‘verboden of vergunningplichtig verklaard worden op grond van zorgen over mensenrechten. Daarover wordt op dit moment in EU-verband gesproken.’

Juridisch gezien is er dus weinig aan de hand. Of de vergaande samenwerking van Coors en Stolwerk met Hacking Team strafbaar is, is moeilijk te zeggen. De tussenhandel waarschijnlijk niet, maar als die tussenhandel verbonden is met een mensenrechtenschending, kan dat zo maar weer anders liggen. Het Europees Parlement is het stelsel van vergunningen voor spionagesoftware aan het herzien en mogelijk dat tussenhandel alsnog strafbaar wordt.

Of dat genoeg zal zijn, is nog maar de vraag. Hacking Team probeert zich te herstellen van de hack en is weer in bedrijf. De vraag naar dit soort software, door politie- en inlichtingendiensten in democratieën en in autoritaire regimes, blijft bestaan. Zolang er bedrijven en tussenpersonen zijn met weinig scrupules, zal dit soort software op verkeerde plekken

Coors en Stolwerk zijn meermaals benaderd voor wederhoor, maar wilden niet reageren. Onderzoeker Jurre van Bergen en journalist Fermin Vaca hielpen mee met het onderzoek.

Heb je een tip over het werk Hacking Team, of andere van dit soort bedrijven? Stuur me dan een bericht. In mijn profiel staat ook een link naar mijn publieke PGP-sleutel.

Lees verder: