Argos voerde inmiddels een zeer informatieve Tijdlijn toe over dit complexe onderwerp.

In de uitzending van zaterdag 17 maart 2018 (mp3) stellen Huub Jaspers en Sanne Terlingen dat bewijs van Russische diefstal van Democratische mail ontbreekt. Ze borduren voort op een publicatie in The Nation in augustus 2017 en iets eerder op Consortiumnews.com. Die zich baseren op een verklaring van Veteran Intelligence Professionals for Sanity (VIPS), een groep kritische ex-medewerkers van Amerikaanse inlichtingendiensten.

De twee bekendste leden zijn Bill Binney en Kirk Wiebe, eerder in NRC geïnterviewd over hun software Trailblazer. Argos ontmoette de criticasters van de NSA afgelopen najaar waarbij ze hun twijfel aan de Russen als bron van de DNC-hack herhaalden. Er is geen bewijs voor een hack door Fancy Bear in de rapportage van NSA, CIA en FBI van januari 2017. Ze uiten slechts een ‘groot vertrouwen’ in de conclusie dat de Russische militaire inlichtingendienst GRU (GROe) erachter zat. Een intern lek vanuit DNC naar Wikileaks ligt meer voor de hand.

Argos liet ook Nederlandse specialisten op de mail los, zoals Rickey Gevers van RedSocks in Den Haag en Oscar Koeroo van KPN. De laatste: ‘Als ik al het bewijs zo naast elkaar leg, kan ik niet aannemelijk maken dat het deze nation state actor is geweest die ervoor gezorgd heeft dat deze informatie bij Wikileaks is uitgekomen…de hoeveelheid informatie is niet sluitend.’

De datering van de publicaties wekt verdenkingen. Wikileaks publiceerde op 22 juli 2016 duizenden DNC-mails, afkomstig van zeven medewerkers. Daaruit bleek dat Bernie Sanders werd tegengewerkt vanuit de DNC-top. In de Washington Post werd al in juni gewag gemaakt van inbraak bij DNC, zonder nadruk te leggen op die e-mails. Direct werden de Russen verantwoordelijk gesteld door het ingehuurde bureau CrowdStrike. Dat was te prematuur volgens VIPS.

De X-Agent malware die wordt toegeschreven aan Fancy Bear, is aangemaakt nadat de DNC beveiligingsbedrijf CrowdStrike had ingeschakeld: een ‘creation date’ van 10 mei 2016. Crowdstrike installeerde hun ‘endpoint protection platform’ Falcon vijf dagen eerder, op 5 mei 2016. Er zijn, ook volgens Crowdstrike zelf, geen aanwijzingen dat de aanmaakdatum van X-Agent is gemanipuleerd.

Alexis Dorais-Joncas, chef bij beveiliger Eset in Canada, vertelt Argos dat hij de broncode heeft van de malware die Fancy Bear zou hebben gebruikt. De Russen zijn dus te ‘imiteren’, luidt het vermoeden, en kan dus in het Westen van veel hacks worden beschuldigd die anderen plegen.

Argos ontdekte dat merendeel van de gelekte e-mails is verstuurd in de twintig dagen nadat DNC Crowdstrike inschakelde. De suggestie: Crowdstrike heeft moeten zien hoe ze zijn gelekt. Te meer daar volgens Argos de Fancy Bear phishingmails die naar @DNC.org zijn verstuurd (en door drie medewerkers zijn aangeklikt) Gmail-phishing betreffen en geen DNC.org namaakinlogpagina.

Argos heeft ingezien welke 16 phishinglinkjes naar DNC-adressen zijn gestuurd, en van wie die accounts zijn. Hoe zij hieraan gekomen zijn, wil Argos niet vermelden.

Argos zegt dat van geen van de DNC-mailadressen waarheen phishingmails zijn verstuurd de mail is gepubliceerd door Wikileaks. Dat verband vinden de Nederlandse onderzoekers wel tussen phishingmails die door Fancy Bear zouden zijn verstuurd en door Wikileaks gepubliceerde e-mails van John Podesta, de chef van de Hillary Clinton campagne . Hij kan op 19 maart 2016 een phishingmail op zijn Gmail-account hebben aangeklikt en de publicatie van zijn mail is daarmee rechtstreeks in verband te brengen.

De reden om inbraken door de Russen te fingeren is volgens VIPS de wens van de diensten voor een koude cyberoorlog en het verkrijgen van daarmee samenhangende budgetten. De Democraten zochten geloofwardige zondebokken en wilden de link tussen Poetin en Trump verstevigen.

Binney en Wiebe hebben echter belang bij publiciteit voor hun eigen software voor data-analyse, ooit afgewezen door de NSA-top waarna ze met wrok zijn opgestapt. In het inlichtingenwerk is het traceren van belangen altijd precair waardoor waarheidsvinding moeilijk is.

En hoe zit het dan met de Aivd-inbraak bij Cosy Bear waarmee inbraak bij ondermeer de DNC is aangetoond? Volgens Argos-onderzoeker Jaspers staat dit los van wat Argos nu heeft gevonden, maar is deze onthulling te veel gebaseerd op anonieme bronnen. En is er een belang om dit te openbaren in het licht van het Wiv-referendum?