24 maart 2023 Khadija Sharife (OCCRP), Milica Vojnović (KRIK) en Gur Meggido (TheMarker)
Een uitgelekt rapport werpt licht op de bron van een mysterieuze media-aanval op de politieke rivaal van de Servische president.
Belangrijkste bevindingen
Een regeringsgezinde mediacampagne gericht tegen de voormalige burgemeester van Belgrado, Dragan Đilas, was gebaseerd op een rapport van een “wereldwijde bankenscan”, verkregen door journalisten.
Desinformatiegroep ‘Team Jorge’ zat waarschijnlijk achter het rapport dat door de Servische functionarissen werd gebruikt.
‘Team Jorge’-leider Tal Hanan is eerder onderzocht wegens het verkopen van vervalste financiële inlichtingen aan een Zwitserse spion voor $ 88.000.
Toen de Servische president Aleksandar Vučić in maart 2021 een officieel bezoek bracht aan de Verenigde Arabische Emiraten, werd hij in de gaten gehouden vanwege recente onthullingen over de banden van zijn regering met een moorddadige georganiseerde misdaadgroep. Maar zoals zijn gewoonte was, ging Vučić in plaats daarvan in de aanval en maakte hij van de gelegenheid gebruik om een interview met de bevriende media-outlet TV Pink te houden om een ander onderwerp aan te snijden.
Vučić suggereerde dat een politieke rivaal, voormalig burgemeester van Belgrado, Dragan Đilas, achter de beschuldigingen zat. Vučić beweerde toen dat Đilas zijn rijkdom illegaal had opgeborgen in banken over de hele wereld, en voorspelde dat er binnenkort meer details naar boven zouden komen.
Zes dagen later begonnen Servische regeringsgezinde kranten verhalen te publiceren over Đilas’ veronderstelde offshore-accounts.
“Đilas verstopte geld in Mauritius en Zwitserland: op 12 december 2020 had hij bijna 6,4 miljoen euro op bankrekeningen in deze twee landen”, beweerde een artikel op de voorpagina in het Servische regeringsgezinde dagblad Večernje Novosti.
Credits: James O’Brien/OCCRP
Servische krantenkoppen van maart 2021, waarin de veronderstelde offshore-rijkdom van Dragan Đilas wordt benadrukt.
Twee weken lang domineerden de beschuldigingen over Đilas ‘vermeende offshore-miljoenen de krantenkoppen. Journalisten beweerden dat ze bewijs hadden dat de rekeningen bestonden, commentatoren waren lyrisch over het witwassen van geld en belastingontduiking, en ambtenaren dreigden met consequenties. Minister van Financiën Siniša Mali verscheen op televisie met een rapport dat volgens hem aantoonde dat Đilas tientallen rekeningen vol gestolen geld had. De Servische anti-witwaschef, Željko Radovanović, beloofde een onderzoek.
Krediet: screenshot van Sprska Napredna Stranka/Youtube.com
De Servische minister van Financiën, Siniša Mali, toont het vermeende bankrapport op de Servische tv.
Maar hoewel de mediacampagne afleidde van de onthullingen over de banden van de regering met de georganiseerde misdaad, werden de beschuldigingen nooit omgezet in aanklachten. Đilas, die luidruchtig de beschuldigingen ontkende, probeerde Vučić, Mali en journalisten van Večernje Novosti aan te klagen, bewerend dat ze de bankgegevens hadden vervalst om af te leiden van hun eigen “criminele activiteiten”, maar een Servische rechtbank weigerde de zaak in behandeling te nemen.
Đilas was misschien iets op het spoor. Bewijs verzameld door OCCRP en zijn rapporterende partners suggereert dat het valse bankrapport waarschijnlijk is gemaakt door Tal Hanan, een Israëlische explosievenexpert die desinformatiediensten verkoopt .
Een bron bezorgde OCCRP een vermeende kopie van het document dat Mali op televisie liet zien. Uit metadata blijkt dat het in december 2020 is gemaakt, een paar maanden voordat de beschuldigingen tegen Đilas voor het eerst werden uitgezonden. Het factureert zichzelf als een ‘diepe bankzoekopdracht’ en de opmaak lijkt bijna identiek aan een rapport voor een dienst die Hanan een ‘wereldwijde bankscan’ noemt, die hij pitchte voor undercoververslaggevers die zich voordeden als potentiële klanten.
Twee bronnen met kennis van de operaties van Hanan bevestigden dat hij achter de operatie zat. Het is onduidelijk wie hem heeft ingehuurd om het document te produceren, en Servische regeringsfunctionarissen, waaronder vertegenwoordigers van Mali en Vucic, hebben niet gereageerd op verzoeken om commentaar.
Het zou niet de eerste keer zijn dat Hanan wordt verdacht van het verkopen van bankgegevens. Zwitserse aanklagers hebben Hanan eerder onderzocht voor het verstrekken van soortgelijke informatie aan een Zwitserse spion genaamd Daniel Moser. Zoals gemeld door de Zwitserse partner van OCCRP, Tamedia , ontdekten openbare aanklagers dat Moser Hanan in 2014 $ 88.000 had betaald om financiële informatie te verstrekken over een van de doelwitten van de spion, maar zijn rapport bleek nepgegevens te zijn. (Aanklagers lieten de zaak tegen Hanan in 2021 vallen en zeiden dat ze niet konden aantonen dat Hanan wist dat de informatie die hij aan Moser had verstrekt, zou worden gebruikt voor spionage.)
Hanan ontkende elk wangedrag toen hij werd benaderd door Forbidden Stories, maar heeft niet gereageerd op vervolgvragen of verzoeken om commentaar op het Đilas-rapport.
De “Global Bank Scan”
Hanan heeft een geschiedenis van het gebruik van desinformatie en hacking om zich te mengen in de wereldpolitiek.
Medio 2022 benaderden undercoververslaggevers die aan het Story Killers-project werkten het team van Hanan die zich voordeed als tussenpersoon voor een potentiële klant die een verkiezing in Afrika wilde uitstellen. Tijdens verschillende Zoom-oproepen en één persoonlijke ontmoeting presenteerden Hanan en zijn team hun tactieken om desinformatie te verspreiden en de democratie te laten ontsporen.
Verslaggevers konden verifiëren dat het team van Hanan een aantal van deze tactieken heeft gebruikt, zoals gerichte campagnes op sociale media en het hacken van e-mail, om politieke resultaten te manipuleren. Andere dingen die hij beweerde te kunnen doen, zoals het lokaliseren van de bankrekening van een doelwit waar ook ter wereld om compromitterend materiaal te vinden, leken meer vergezocht.
“Nu zal ik je financiële informatie laten zien”, zei Hanan tijdens een Zoom-gesprek.
Hij opende een document met de naam “Global Bank Scan: Confidential Report” en scrolde door een lijst met rekeningsaldi, naar verluidt behorend tot een eerder doelwit: Batkhuu Gavaa, een Mongoolse wetgever en zakenman die stierf in 2019. Hanan beweerde bijna $ 232 miljoen te hebben gevonden in 67 rekeningen van Gavaa, maar hij legde niet uit hoe hij dit deed.
“Het is niet 100 procent,” gaf Hanan toe. “We schatten een nauwkeurigheid van 75 procent, maar 75 procent is meestal 300 procent meer dan wat ze vandaag hebben.”
James Henry, een econoom en docent aan de Yale University, zei dat de beweringen van Hanan over het verkrijgen van toegang tot vertrouwelijke bankinformatie over de hele wereld ongeloofwaardig zijn.
“Er is geen gecentraliseerde wereldwijde bankdatabase, en die zou er ook nooit kunnen komen”, zei hij. “Iedereen die dit soort toegang aanbiedt, vertelt je ronduit dat ze oplichter zijn of zich bezighouden met ernstige chantage of omkoping van ambtenaren binnen specifieke banken”
De lay-out van het Gavaa-rapport dat door Hanan wordt weergegeven, lijkt sterk op het rapport over Đilas dat door verslaggevers is verkregen, hoewel er ook geen bedrijfsbranding op staat.
Credits: James O’Brien/OCCRP
De groep van Hanan, die naar zichzelf verwijst als “Team Jorge”, is niet geregistreerd als een bedrijf en maakt geen gebruik van branding, en blijft liever in de schaduw. Toen de undercoververslaggevers Hanan in december ontmoetten in een onopvallend kantoorgebouw in Modi’in, Israël, legde de desinformatie-expert uit: “Je hebt gezien wat er op de deur staat, toch? Het zegt niets. Dat is wie we zijn: we zijn niets.”
Accounts vervalsen
De rechtszaak die Đilas had aangespannen tegen Vučić, Mali en journalisten bij Večernje Novosti werd door de rechtbank verworpen, maar de zaak leverde een veelzeggend detail op: de eerste verslaggever die het verhaal in het regeringsgezinde dagblad publiceerde, zei dat ze de bankgegevens “op een anonieme manier” had ontvangen. verzending naar haar door een anonieme bron die waarschijnlijk wist dat ze een journalist was.
Haar verhalen benadrukten twee vermeende buitenlandse rekeningen van Đilas – een bij Deutsche Bank in Mauritius en de andere bij Societe Generale Switzerland – met een totaalbedrag van ongeveer 6,4 miljoen euro. Maar hoewel zij en andere regeringsgezinde journalisten tientallen verhalen over deze verslagen schreven, was geen van beide echt.
Deutsche Bank had op dat moment geen filiaal op Mauritius en Societe Generale in Zürich gaf een brief waarin werd bevestigd dat het aan Đilas toegeschreven rekeningnummer niet bestond.
Đilas zei dat hij eerder een bedrijf in Zwitserland had geopend met toestemming van de Servische nationale bank, maar dat de aan hem toegeschreven bankrekening niet bestond.
“Ik heb echt nog nooit een offshore-account gehad”, vertelde hij aan OCCRP’s Servische ledencentrum KRIK.
Volgens bewijs verkregen door OCCRP is Aron Shaviv, een politiek adviseur die heeft samengewerkt met de Israëlische premier Benjamin Netanyahu, mogelijk betrokken geweest bij het in contact brengen van de Servische regering met Hanan.
Shaviv bevestigde aan verslaggevers dat hij in 2017 aan de campagne van de Servische president had gewerkt, maar ontkende betrokkenheid bij Hanan.
“Ik werd begin 2019 een keer voorgesteld aan ‘Team Jorge’ en heb geen zaken of transacties met hen gehad”, vertelde hij aan OCCRP. “Als mijn naam is gebruikt door een derde partij die bij deze zaak betrokken is om geloofwaardigheid vast te stellen, dan is dat zonder mijn medeweten en zeer betreurenswaardig.”
Đilas zei dat hij al lang vermoedde dat de Servische regering achter de neprapporten zat, maar nooit bewijs had. “Wie was tenslotte de eerste die aankondigde dat ik die accounts had?” hij zei.
Hoewel de beschuldigingen van geheime bankrekeningen nieuw waren voor Đilas, bestaan de lastercampagnes al jaren. Hij en Vučić waren rivalen in een race voor de burgemeester van de hoofdstad Belgrado in 2008. Vučić verloor toen, en vier jaar later opnieuw.
Maar in 2012 kwamen Vučić en zijn Servische Progressieve Partij aan de macht op het nationale toneel, en het anti-Đilas-verhaal is sindsdien alomtegenwoordig in de regeringsgezinde media, waarbij Đilas wordt afgeschilderd als een roofzuchtige zakenman die illegaal meer dan 600 miljoen euro verdiende met zijn bedrijven.
“[T] hey verklaart me een dief, een crimineel, dat ik een miljard euro heb, enzovoort,” zei Đilas.
“Nepnieuws kun je niet bestrijden, zeker niet als het een gecoördineerde campagne is waar enorm veel geld in is geïnvesteerd.”
Data-expertise werd geleverd door het datateam van OCCRP. Fact-checking werd verzorgd door de OCCRP Fact-Checking Desk.
Undercoververslaggevers filmden een groep geheime cyberinvloedspecialisten terwijl ze hun diensten presenteerden, waarbij desinformatiecampagnes, valse inlichtingen, hacks en chantage werden gebruikt om de belangen van hun klanten te behartigen. De groep, die zichzelf Team Jorge noemt, beweert te hebben meegewerkt aan tientallen presidentsverkiezingen over de hele wereld en brengt miljoenen dollars in rekening.
Belangrijkste bevindingen
Verslaggevers waren in staat om de beweringen van Team Jorge te verifiëren om toegang te krijgen tot berichtenaccounts van belangrijke politieke doelen en campagnes op sociale media in te zetten die waren georkestreerd via nepaccounts.
Team Jorge lijkt zich te hebben bemoeid met de Keniaanse presidentsverkiezingen van vorig jaar, die werden geplaagd door desinformatie.
De geheime groep bestaat uit mensen met ervaring in de Israëlische veiligheidsdiensten.
Over de hele wereld hebben schimmige groepen cyberhuurlingen digitale technologie gebruikt om verkiezingen te hacken, waarbij ze hun duistere kunsten inzetten voor iedereen die bereid is een forse vergoeding te betalen om de democratie te ondermijnen.
Een groep Israëlische desinformatie-experts onthulde voor het eerst zijn geheime strategieën aan de wereld en presenteerde zijn diensten aan journalisten die zich voordeden als potentiële klanten die geïnteresseerd zijn in het verstoren van een Afrikaanse verkiezing.
“Dit is onze ervaring… om de logistiek van de tegenstanders te kwetsen, hen te intimideren, een sfeer te creëren waarin niemand naar de verkiezingen zal gaan”, zei een lid van Team Jorge – zoals de geheime groep zichzelf noemt – tijdens een Videogesprek juli 2022.
In verschillende telefoontjes en een persoonlijke ontmoeting beschreven leden van het team – geleid door een man die zichzelf “Jorge” noemde – de “inlichtingen- en beïnvloedingsdiensten” die ze zeiden in te zetten voor hun klanten. Ze beweerden te hebben gewerkt aan “33 campagnes op presidentieel niveau” – waarvan 27 “succesvol”.
Hun tactieken omvatten hacken, vervalsen van chantagemateriaal, het verspreiden van desinformatie, het verspreiden van valse inlichtingen, het fysiek verstoren van verkiezingen en het inzetten van gerichte socialemediacampagnes.
Verslaggevers konden verifiëren dat sommige van die tactieken werden gebruikt. Team Jorge lijkt ongeoorloofde toegang te hebben verkregen tot Telegram- en Gmail-accounts van hooggeplaatste functionarissen en botnetcampagnes op sociale media te hebben ingezet. Het bewijsmateriaal dat door verslaggevers is bekeken, suggereert dat de groep zich bemoeide met ten minste twee presidentsverkiezingen.
Het gangbare tarief voor een presidentiële campagne was 15 miljoen euro, informeerde “Jorge” de undercoververslaggevers, die zich voordeden als tussenpersonen voor een potentiële Afrikaanse klant. Voor deze tijdelijke baan – met slechts twee maanden te besteden – was Team Jorge bereid om minimaal 6 miljoen euro in rekening te brengen. Verslaggevers kregen te horen dat het geld gemakkelijk via verborgen middelen kon worden overgemaakt, misschien met behulp van een Franse niet-gouvernementele organisatie, een advocatenkantoor in Dubai of islamitische scholen.
“We zitten graag achter de schermen, en dit maakt deel uit van onze kracht – dat de andere kant niet begrijpt dat we bestaan”, zei “Jorge.”
Het pseudoniem –– een Spaanse naam die niet overeenkwam met zijn accent –– maakte deel uit van een poging om zijn identiteit en locatie te verhullen. Het bureaublad van de computer die hij bij de presentatie gebruikte, sprong tussen tijdzones en toonde een feed van een verkeerscamera in Litouwen. Zijn contactnummers omvatten de hele wereld: Indonesië, Oekraïne, de VS en Israël.
Verslaggevers ontdekten uiteindelijk dat zijn echte naam Tal Hanan is, een zelfbenoemde antiterrorisme-expert die in de media wordt genoemd als cyberbeveiligingsspecialist.
Hanan ontkende elk vergrijp, maar reageerde niet op gedetailleerde vragen.
Het undercoveronderzoek leidde tot een reeks opgenomen bijeenkomsten die verslaggevers in staat stelden om aspecten van de desinformatie-voor-verhuur-industrie binnen te dringen die niet openlijk worden geadverteerd.
In juli en augustus 2022 deden de verslaggevers zich voor als tussenpersonen, waarmee ze hintten naar een klant in Tsjaad. Het doel: de verkiezingen in oktober uitstellen, misschien wel voor onbepaalde tijd, om zijn economische belangen te beschermen. Hoewel de verkiezingen in Tsjaad inderdaad twee jaar werden uitgesteld, werd het niet beïnvloed door het undercoveronderzoek – de journalisten hebben nooit een contract afgesloten met diensten en die gesprekken werden in augustus gestaakt.
In december vond een extra persoonlijke ontmoeting met Team Jorge plaats in Israël.
De journalisten die undercover rapporteerden zijn Gur Meggido (TheMarker), Frédéric Métézeau (Radio France) en Omer Benjakob (Haaretz). Ze maakten deel uit van een gezamenlijk onderzoek genaamd Story Killers, dat werd gecoördineerd door Forbidden Stories en waarbij meer dan 100 journalisten van 30 mediaorganisaties, waaronder OCCRP, betrokken waren. Forbidden Stories is een internationaal consortium van onderzoeksjournalisten dat zich inzet voor journalisten die zijn vermoord of bedreigd werken.
Kenia hacken
Tijdens een van de opgenomen Zoom-presentaties toonde Hanan een scherm met een Telegram-account en klikte door de contacten en persoonlijke chats van de Keniaanse politiek adviseur Dennis Itumbi.
De live demo vond eind juli 2022 plaats, op een kritiek moment in de campagne voor de presidentsverkiezingen in Kenia. Itumbi was de digitale strateeg van William Ruto, destijds vice-president van de Oost-Afrikaanse natie, die binnen enkele weken tot president zou worden gekozen. Lokale media omschrijven Itumbi als Ruto’s ‘rechterhand’.
Hanan toonde het bewijs dat hij niet alleen Itumbi’s persoonlijke chats en bestanden kon lezen – inclusief een interne opiniepeiling met betrekking tot de aanstaande verkiezingen – maar dat hij zich zelfs kon voordoen als Itumbi door berichten vanaf zijn account te verzenden. Hanan opende een recent gesprek dat Itumbi had met een prominente Keniaanse zakenman en stuurde een sms met de simpele tekst: “11.”
Dit bericht was zinloos, alleen bedoeld als demonstratie van zijn vermogen om het account te controleren. Maar Team Jorge beweerde vervalste berichten te hebben gestuurd naar militaire commandanten en ministers, allemaal in een poging de gebeurtenissen te beïnvloeden en chaos te veroorzaken voor een doelwit op hoog niveau.
“Meestal wacht ik tot hij het ziet en dan verwijder ik het. Waarom? Omdat ik verwarring wil zaaien’, zei Hanan.
In het geval van de Itumbi-demonstratie heeft Hanan per ongeluk het sms-bericht alleen voor de afzender verwijderd. Dit betekende dat verslaggevers contact konden opnemen met de zakenman die het bericht had ontvangen en konden verifiëren dat het cryptische bericht inderdaad was verzonden.
“Ik weet dat ze in sommige landen geloven dat Telegram erg veilig is”, zei Hanan in een Zoom-demo. “Dus hier zal ik je laten zien hoe veilig het is … Dus dit is ook een minister van een bepaald land, ik kan gaan [en] ik kan al zijn telefoontjes controleren.”
Hanan toonde ook het Gmail-account van de Mozambikaanse minister van Landbouw, Celso Correia, die aan verslaggevers bevestigde dat het e-mailadres en de inhoud van hem lijken te zijn. Tijdens de presentatie waren ook de folders op de persoonlijke Google-drive van de minister zichtbaar.
Cruciaal voor het hacken van e-mailaccounts en berichtenservices zoals Telegram is Signalling System 7, een internationaal standaard “protocol” voor mobiele telefooncommunicatie, dat ervoor moet zorgen dat een oproep of sms van een gebruiker wordt doorgestuurd naar het juiste nummer van de beoogde ontvanger . Het werd geïntroduceerd in de jaren 80, in de begindagen van digitale beveiliging en codering, dus het bevat gebreken waardoor derden zich kunnen voordoen als een specifieke gebruiker en hun berichten en oproepen kunnen ontvangen.
Dit is wat Hanan beweert dat zijn team kan doen. Hij vertelde undercoververslaggevers dat Team Jorge rechtstreeks naar een telecomprovider gaat in het land waar ze werken en een fysiek apparaat installeert waarmee zijn team vervalste commando’s via SS7 in het systeem kan invoegen. Dit verleidt de telecomoperator om een sms te sturen om het vervalste doelaccount te authenticeren, waardoor Team Jorge de berichten van hun doelwit kan lezen en zelfs berichten kan verzenden.
Hoewel de mazen in de wet algemeen bekend zijn en de meeste telecommunicatieproviders tegenmaatregelen hebben genomen, beheren sommige operators nog steeds kwetsbare netwerken.
De volledige omvang van de bemoeienis van Team Jorge met de Keniaanse verkiezingen is onduidelijk, maar desinformatie – van beide kanten – ontsierde de verder vreedzame stemming in augustus 2022.
Anonieme video’s doken op op sociale media, waarin werd beweerd dat de verkiezingscommissie stemfraude had gepleegd en westerse mogendheden ervan werden beschuldigd de stemming te ondermijnen.
Vlak voor de verkiezingen werden drie Venezolanen die in dienst waren van het bedrijf dat de stemapparatuur aan de verkiezingscommissie leverde, op het vliegveld van Nairobi vastgehouden, zogenaamd met verdacht verkiezingsmateriaal. Hoewel de Keniaanse politie naar verluidt de mannen de volgende dag vrijliet, werd het virale verhaal een onderwerp van verhitte discussies tijdens de verkiezingsperiode, en vormde het de basis van complottheorieën die beweerden dat er met de stemming was geknoeid.
“Dit was waarschijnlijk de vuilste campagne in onze geschiedenis en we hebben ons deel van vuile campagnes in Kenia gehad”, zei John Githongo, een journalist en voorstander van transparantie die de oppositie steunde, en diende een beëdigde verklaring in namens een klokkenluider die beweerde stemfraude . (OCCRP werkt samen met zijn nieuwsorganisatie The Elephant.)
“Wat duidelijk is, is dat er een aantal reputatiewitwassers zijn, zogenaamde commerciële en politieke beveiligingsbedrijven, die steeds vaker worden ingehuurd om betrokken te raken bij onze verkiezingen. Vaak heb je een ‘zwarte kunst’-outfit die in meerdere landen aanwezig is en die onze democratie negatief beïnvloedt.’
Krediet: Zuma Press, Inc./Alamy Stock Photo Een verkiezingsfunctionaris loopt langs stapels stembussen na de Keniaanse algemene verkiezingen in augustus 2022.
Sinds Ruto werd gekozen, hebben zijn tegenstanders talloze klachten ingediend bij de rechtbank over verkiezingsonregelmatigheden.
Een daarvan kwam van Githongo’s anonieme klokkenluider, die beweerde dat Itumbi – de strateeg die het doelwit was van Team Jorge – een campagne voor stemmanipulatie had georkestreerd. In de klacht wordt ook Davis Chirchir genoemd, die Ruto’s stafchef was toen Hanan zijn ogenschijnlijk gehackte account liet zien. Maar de klokkenluider en het bewijs dat hij heeft geleverd, zijn in diskrediet gebracht.
Uiteindelijk verwierp het Keniaanse Hooggerechtshof niet alleen de beweringen van de klokkenluider, maar ook alle andere verzoekschriften, en bevestigde in september de verkiezingsuitslag.
Toen, in januari, verscheen er een nieuwe klokkenluiderswebsite, die beweerde nieuwe bewijzen van fraude te hebben. Maar ook dit draagt de kenmerken van een desinformatiecampagne.
Experts op het gebied van digitale veiligheid konden niet achterhalen wie de nieuwe website heeft opgezet. En het was onmogelijk om de oorsprong te achterhalen van de documenten die daar waren gepost – peilingsresultaten die waren gemanipuleerd om vermeende fraude aan te tonen – omdat de metadata ervan waren geschrapt.
Documenten die bijna identiek leken te zijn, waren echter maanden eerder naar journalisten gestuurd, die beweerden dat ze bewezen hadden dat de Keniaanse verkiezingen waren gestolen. Die documenten bevatten metadata die de auteur onthulden: Henry Mien, CEO van het adviesbureau Risk Africa Innovatis. Mien is volgens twee bronnen een bondgenoot van oppositieleider Raila Odinga in zijn campagne. Hij heeft Odinga ook openlijk gesteund en anonieme beschuldigingen van fraude op sociale media gedeeld.
Hoewel analisten zeiden dat de documenten verdacht waren, heeft de oppositie in Kenia ze gebruikt als rechtvaardiging om op te roepen tot protesten. Binnen enkele dagen nadat de documenten online waren geplaatst, hield de verslagen kandidaat Odinga een politieke bijeenkomst in Nairobi, waar hij de regering van Ruto ‘onwettig’ noemde. Hij eiste dat de vijf maanden oude regering zou aftreden en verklaarde dat “het verzet vandaag begint”.
Dennis Itumbi, Davis Chirchir, Raila Odinga en Henry Mien reageerden niet op verzoeken om commentaar.
Krediet: Reuters/Alamy Stock Photo
Odinga spreekt een bijeenkomst toe om verkiezingshervormingen en lagere belastingen te eisen in Nairobi in januari 2023.
Duistere relaties
Terwijl Hanan verslaggevers vertelde dat hij aan een “Afrikaanse verkiezing” werkte – en hun bewijs liet zien dat het in Kenia was – is het onduidelijk wie hem heeft ingehuurd. De betrokkenheid van Team Jorge komt na jaren van gerichte desinformatie in de Keniaanse politiek, waardoor het bijzonder moeilijk is om een bepaalde gebeurtenis of samenzwering te herleiden tot een specifieke dader.
Undercoverrapportage onthulde dat het in ongenade gevallen politieke adviesbureau Cambridge Analytica had gewerkt aan de verkiezing van voormalig president Uhuru Kenyatta in 2013 en 2017. Dat laatste jaar blijkt uit gelekte e-mails dat Hanan zijn diensten in Kenia aanbood aan het moederbedrijf van Cambridge Analytica, SCL Group. Het oorspronkelijke bod werd afgewezen vanwege zijn prijsstelling, hoewel het gesprek lijkt te zijn voortgezet.
Maar Team Jorge leek wel betrokken te raken bij de campagne van Odinga in 2022. Kenyatta kon volgens de wet geen nieuwe termijn zoeken bij de verkiezingen van augustus 2022, dus bundelde hij zijn krachten met zijn voormalige rivaal Odinga om te proberen Ruto te verslaan – de kandidaat waarop Hanan tijdens zijn demo mikte.
Uit de gelekte e-mails blijkt ook dat Cambridge Analytica in het verleden met Hanan heeft samengewerkt.
En in 2018 vertelde Brittany Kaiser, voormalig directeur programmaontwikkeling bij SCL, aan Britse parlementsleden die onderzoek deden naar het bemoeizuchtige verkiezingsschandaal van Cambridge Analytica dat ze de voormalige Nigeriaanse president en SCL-klant Goodluck Jonathan had voorgesteld aan Israëlische consultants. Deze consultants hadden inlichtingen verzameld voor regeringen, zei ze, en verleenden diensten die SCL officieel niet aanbood.
Kaiser, die later de controversiële tactieken van Cambridge Analytica aan de kaak stelde, zei dat ze geen rol speelde bij de besluitvorming bij SCL, dat de consultants niet de opdracht hadden “om illegale activiteiten te ondernemen”, en ontkende elke suggestie dat ze was weggelopen, gedoogd of “bewust samengespannen” in enige onwettigheid.
Kenyatta reageerde niet op een verzoek om commentaar.
Emma Briant, een expert op het gebied van informatieoorlogvoering en Cambridge Analytica, zegt dat bedrijven in deze branche “regelmatig werk voor elkaar gooien” voor ontkenning en juridische dekking.
Cambridge Analytica was een van de 65 bedrijven die werden geïdentificeerd door het Computational Propaganda Project van Oxford University en openlijk hun diensten aan regeringen hebben aangeboden voor het beïnvloeden van verkiezingen. Maar er zijn tal van anderen –– zoals Team Jorge –– die liever in de schaduw blijven.
De deals die ze sluiten zijn “opzettelijk verduisterd en de relaties zijn vrij geheim”, zegt Samantha Bradshaw, een assistent-professor aan de American University in Washington, DC, die aan dat onderzoek heeft deelgenomen.
Technische gereedschapskist
Team Jorge zei dat tweederde van de presidentiële campagnes waar ze zich mee bemoeiden zich in Afrika afspeelde, maar hun promotiemateriaal omvat ook landen in Europa, Latijns-Amerika, Zuidoost-Azië en het Caribisch gebied.
Hanans broer, Zohar, zei tijdens een bijeenkomst in december dat er maar drie banen zijn die Team Jorge niet zal aannemen: Niets in Israël (“We willen niet schijten waar we slapen.”); geen politiek op Amerikaans partijniveau (ze beweren een uitnodiging te hebben afgewezen om de voormalige Amerikaanse president Donald Trump te helpen kiezen); en “niets tegen meneer Poetin.”
Tijdens demonstraties voor de undercoververslaggevers wilde Tal Hanan graag pronken met de technische hulpmiddelen die zijn team inzet om klanten te helpen.
Hij toonde een artikel met koppen uit Nigeria waarin aanvallen op telefoonlijnen van de oppositie werden beschreven, als onderdeel van hun verkoopvideo ‘Team Jorge Presents: Intelligence on Demand’. Deze aanvallen overweldigen het telefoonnetwerk.
“We willen dat sommige mensen het zwijgen worden opgelegd, we willen dat sommige mensen miscommunicatie hebben”, zei hij tijdens een telefoongesprek waarin hij een verkiezingsdag ‘D-day’ noemde. “Dus we hebben de capaciteit om op D-Day honderden telefoons onschadelijk te maken… een specifieke politiechef, of legermensen die niet in ons voordeel zijn. Alle telefoons zullen het niet meer doen.”
En Hanan beweerde een soortgelijke tactiek te hebben gebruikt tegen computernetwerken.
“We kunnen websites uitschakelen, alles met IP, servers. Als ze hun eigen servers, applicaties, soms twee, drie persbureaus hebben, kunnen we ze uitschakelen”, schepte hij op.
De mogelijkheden die Hanan beschrijft lijken op “distributed denial of service” of DDOS-aanvallen. Deze aanvallen houden meestal in dat de systemen van een doelwit worden overspoeld door ze te overspoelen met verzoeken, waardoor ze worden gedwongen een “denial-of-service”-antwoord te produceren op legitieme verzoeken.
Hij liet de krantenkoppen over een dergelijke aanval zien tijdens het referendum van 2014 in het Catalaans. Spaanse onderzoekers vertelden OCCRP dat ze geen bewijs hadden van de betrokkenheid van Hanan, maar zeiden dat het aannemelijk was.
De technische toolbox van Team Jorge omvat ook “een platform van invloed” genaamd Advanced Impact Media Solutions, of AIMS, dat Hanan beweert te hebben verkocht aan de inlichtingendiensten van meer dan 10 landen.
De AIMS-software is ontworpen om overtuigende avatars te maken voor campagnes op sociale media. De avatars, of bots, gebruiken gestolen foto’s van echte mensen, werken op elk social media-platform en kunnen worden verbonden met functionerende Amazon- en Bitcoin-accounts. Ze lijken ook al lang online aanwezig te zijn, inclusief Gmail-accounts en afgezaagde commentaren op YouTube-video’s van beroemdheden, om onderzoekers de indruk te geven dat ze echte mensen zijn.
“We imiteren menselijk gedrag”, zei Hanan tegen de undercoververslaggevers.
De meeste online accounts vereisen verificatie van telefoonnummer en e-mailadres om bots zoals die van AIMS buiten de deur te houden. Maar er zijn websites die speciaal zijn opgezet om eenmalige sms-verificatiediensten mogelijk te maken, voor 50 cent of minder. Veel accounts –– zoals Gmail en WhatsApp –– kunnen worden geregistreerd met “geverifieerde” telefoonnummers. Team Jorge lijkt een service genaamd SMSpva.com te gebruiken voor telefoonnummerverificaties. SMSpva.com heeft niet gereageerd op een verzoek om commentaar.
AIMS vertrouwt ook op residentiële proxy’s die internetverkeer van bots omleiden via de huizen van mensen, zodat het authentiek lijkt om detectie en afsluitingen door sociale mediaplatforms zoals Twitter en Facebook te voorkomen. Dit maakt het voor socialemediaplatforms moeilijk om een gecoördineerde desinformatiecampagne te identificeren.
Analyse door rapporterende partners Le Monde en The Guardian identificeerde clusters van avatars, waaronder die in Hanans pitchpresentaties, die lijken te zijn gebruikt voor gecoördineerde Twitter-campagnes. Verslaggevers vonden meer dan 1.700 Twitter-accounts die waren verbonden met 21 AIMS-gerelateerde campagnes, waarvan de netwerken tienduizenden tweets hadden geproduceerd.
Tijdens de persoonlijke ontmoeting met undercoververslaggevers in december toonde Team Jorge een nieuwe mogelijkheid van AIMS: hulpmiddelen voor kunstmatige intelligentie om nepnieuws te genereren met behulp van gespecificeerde sleutelwoorden, toon en onderwerp.
“Eén operator kan wel 300 profielen hebben”, zei Zohar Hanan tijdens de demo. “Dus binnen twee uur zal het hele land de boodschap uitspreken, het verhaal dat ik wil.”
Een avatar-campagne die tijdens een verkooppraatje op een computer van Team Jorge werd gezien, bleek de activiteiten te hebben gepromoot van Alexander Zingman, een zakenman die dicht bij de autoritaire Wit-Russische president Aleksandr Loekasjenko stond.
In maart 2021 werd Zingman gearresteerd in de Democratische Republiek Congo wegens vermeende wapenhandel, maar werd later vrijgelaten. In oktober van dat jaar onthulde OCCRP hoe Zingman en een andere vriend van de Wit-Russische president lege vennootschappen gebruikten om een lucratieve goudmijnovereenkomst met het staatsmijnbouwbedrijf van Zimbabwe te verbergen.
Het jaar ervoor promootten AIMS-avatars gunstige verhalen over Zingman en zijn bedrijf in een gezamenlijke en geautomatiseerde campagne. Sommige werden gebruikt om zijn rivaal Vitaly Fishman aan te vallen. Journalisten identificeerden nog 35 avatars die verband hielden met Team Jorge via een Amerikaanse lasterzaak die Fishman won.
De advocaat van Zingman zei dat zijn cliënt nooit heeft gewerkt met bedrijven die zich bezighouden met desinformatiecampagnes, en in feite zelf het slachtoffer is geworden van een dergelijk plan.
Elders werden accounts die sterk op AIMS-bots leken, gebruikt om verdachte verhalen te promoten waarin Burgess Yachts werd beschuldigd van dienstverlening aan gesanctioneerde oligarchen die banden hebben met de Russische president Vladimir Poetin. Zogenaamde ‘sokpoppen’-accounts – avatars op sociale media – lijken achter Reddit-threads te zitten die hetzelfde verhaal promoten. En een video die beweert een protest in Monaco tegen Burgess Yachts te laten zien, lijkt in werkelijkheid een geënsceneerd protest te zijn, gefilmd in Londen, en maakt gebruik van doorlopende beelden.
Het is onduidelijk wie er achter de campagne zit, maar sommige van de botaccounts die aan AIMS-avatars waren gekoppeld, promootten gloeiende artikelen over Julia Stewart, directeur van rivaliserend jachtbedrijf Imperial Yachts. Imperial Yachts werd in juni zelfs door de VS gesanctioneerd voor het leveren van diensten aan de binnenste cirkel van Poetin.
Een wettelijke vertegenwoordiger van Imperial Yachts zei dat het bedrijf “nooit heeft deelgenomen… aan een online desinformatienetwerk of -campagne” en handelt “in volledige overeenstemming met de toepasselijke wet- en regelgeving”.
Team Jorge ontmaskeren
De identiteit van Team Jorge is bijna net zo mysterieus als hun tactiek. Maar verslaggevers slaagden erin wat achtergrondinformatie over leden van de clandestiene groep te verzamelen. Een deel ervan komt overeen met beweringen die Team Jorge deed over teamleden in gesprekken met journalisten.
“Sommigen van ons zijn voormalige senior informatieofficieren”, zei Mashy Meidan, die langs “Max” ging. “Sommigen van ons zijn voormalige senior experts op het gebied van financiële informatie en oorlogsvoering. Sommigen van ons werken samen met de specialisten op het gebied van psychologische oorlogsvoering.”
Meerdere Israëlische veiligheidsbronnen, die met TheMarker spraken op voorwaarde van anonimiteit, bevestigden dat Meidan heeft samengewerkt met de Israëlische interne veiligheidsdienst Shabak. Ze zeiden dat een ander teamlid, Shuki Friedman, ook met Shabak had gewerkt. Friedman reageerde niet op een verzoek om commentaar.
Yaakov Tzedek is een digitale ondernemer die wordt vermeld als mede-oprichter van het Israëlische vastgoedbedrijf Proptech Investments. Ishay Shechter is een ‘strategisch directeur’ bij Goren Amir, een vooraanstaand Israëlisch lobbybedrijf dat heeft gewerkt met internationale klanten, waaronder Visa, Uber en IKEA.
Ondanks dat ze in het Zoom-gesprek met undercoververslaggevers waren verschenen, zeiden Meidan en Shechter afzonderlijk dat ze nog nooit met Team Jorge of Tal Hanan hadden gewerkt.
Zohar, de broer van Tal Hanan, die werd geïntroduceerd als de CEO van het bedrijf, “Nick”, wordt publiekelijk geïdentificeerd als een leugendetectorexpert die samenwerkte met een Israëlisch bedrijf genaamd Sensority LTD, dat nu in liquidatie is. Een ander bedrijf, Pangea IT, kocht de technologie van Sensority, die psychologische stress bij een proefpersoon detecteert. Zohar zei dat hij “mijn hele leven volgens de wet had gewerkt”, maar hij reageerde niet op specifieke vragen.
Krediet: ZDF
Het kantoor van Team Jorge in Modi’in, Israël, waar verslaggevers undercover gingen.
Volgens een online biografie diende Tal Hanan bij de Israëlische speciale strijdkrachten als explosievenexpert. Hij wordt vermeld als CEO van ten minste twee Israëlische bedrijven, Tal Sol Energy en Demoman International Ltd., een inlichtingenbedrijf dat is opgenomen in een register van defensiebedrijven op de website van het Israëlische Ministerie van Defensie.
Hanan gaf aan dat hij lobbyoperaties in de VS had georkestreerd, ondanks dat hij zich niet had geregistreerd als een “buitenlandse agent”, zoals wettelijk vereist. Hij zei dat hij werkte via consultants en bedrijven die al geregistreerd zijn, en vertelde verslaggevers dat hij onlangs een PR-bedrijf had opgericht, Axiomatics genaamd, om Team Jorge te promoten bij ‘bestaande lobbygroepen’.
In de jaren na de aanslagen op het World Trade Center in New York in september 2001 positioneerde Hanan zich als een expert op het gebied van terrorismebestrijding. Hij beweert wetshandhavingsinstanties te hebben opgeleid, waaronder Amerikaanse federale agentschappen, volgens een gearchiveerde pagina van zijn inmiddels ter ziele gegane website suïcide-terrorism.com . In 2010 werd Hanan in The Jerusalem Post geciteerd als cyberbeveiligingsexpert, waarin hij commentaar gaf op hackmogelijkheden.
Tijdens gesprekken met undercoververslaggevers ging Team Jorge dieper in op de technologie die de groep volgens hen gebruikt om verkiezingen te beïnvloeden. Ze voegden eraan toe dat ze zes kantoren hebben en minstens 100 mensen in dienst hebben, waarbij ze benadrukken dat ze putten uit de achtergronden van collega’s met ervaring bij de inlichtingendiensten. Dit duwt de activiteiten van Team Jorge ver buiten het bereik van public relations-strategieën die vaak worden ingezet bij verkiezingen.
“Dit is vooral inlichtingenwerk. Het is geen PR-werk. Het is inlichtingenwerk,’ benadrukte Hanan.
Fact-checking werd verzorgd door de OCCRP Fact-Checking Desk.
Een Israëlisch bedrijf maakt zich schuldig aan het verspreiden van desinformatie en het beïnvloeden van verkiezingen. Dat concludeert een team van meer dan honderd journalisten uit verschillende landen na langdurig onderzoek. Onder andere de Britse krant The Guardian en de Duitse publieke omroep ZDF waren erbij betrokken.
Voor het onderzoek gingen drie journalisten – twee Israëliërs en een Fransman – undercover bij het ‘spookbedrijf’ in Israël, dat nergens officieel geregistreerd staat. Ze deden zich voor als adviseurs van een zakenman die zogenaamd de verkiezingen in een Afrikaans land wilde manipuleren.
De eigenaar van het bedrijf, Tal Hanan – hij noemt zichzelf ‘Jorge’ – zei tegen de journalisten dat zijn organisatie 33 presidentsverkiezingen heeft geprobeerd te beïnvloeden, waarvan in 27 gevallen “met succes”.
De onderzoekers konden niet verifiëren of deze bewering klopt en – zo ja – wat dat succes dan precies inhield. Wel staat volgens hen vast dat het bedrijf van Hanan zich in 2015 in het geheim bemoeide met de presidentsverkiezingen in Nigeria, samen met het in opspraak geraakte Amerikaanse databedrijf Cambridge Analytica.
Foto van Nederlander gebruikt
Het paradepaardje van Tal ‘Jorge’ Hanan is software waarmee zijn bedrijf naar eigen zeggen meer dan 30.000 nepprofielen op sociale media kan aanmaken. Met het programma kan hij in een paar muisklikken een online identiteit creëren, inclusief foto, naam, geboortedatum, e-mailadres en soms zelfs met een telefoonnummer, creditcard of Airbnb-account.
De nepaccounts zijn actief op onder andere Twitter, LinkedIn, Facebook, Telegram en Instagram. Voor een van de fake Twitterprofielen met de gebruikersnaam Canaelan gebruikte het Israëlische bedrijf de foto van de Nederlander Tom van Rooijen.
Het account van Tom van Rooijen (l) en het nepaccount waarvoor zijn foto is gebruikt
De Twitterbot Canaelan plaatst onder meer berichten van de BBC door. Zijn tijdlijn bevat ook tweets over Taylor Swift en de prijs van een KitKat.
Maar volgens The Guardian was Canaelan vooral onderdeel van een campagne om de Britse privacywaakhond ICO in diskrediet te brengen. In een van zijn tweets laat het nepaccount zich negatief uit over die organisatie, net als veel andere bots van het bedrijf van Hanan. Onduidelijk is wie de opdrachtgever was en wat diegene met de campagne wilde bereiken.
Ik weet dat dit kan gebeuren en geef er zelfs les over, maar ook dan kun je zelf slachtoffer worden.
“Leuk is anders”, reageert Tom van Rooijen, wiens foto voor het nepaccount is gebruikt. De 25-jarige Nederlander, die ironisch genoeg workshops geeft aan leerlingen over onder andere nepnieuws en online ‘trollenfabrieken’, vond het behoorlijk raar om zijn foto bij een ander account te zien staan.
“Ik weet dat dit kan gebeuren. Ik geef er zelfs les over, maar ook dan kun je blijkbaar zelf slachtoffer worden”, zegt hij. Van Rooijen heeft het nepaccount inmiddels gerapporteerd op Twitter, maar moet zijn eigen identiteit bewijzen om aan te tonen dat zijn foto is gestolen. “Daarvoor moet ik een identiteitsbewijs uploaden, maar dat doe ik liever niet.”
Gmail en Telegram gehackt
Volgens The Guardian is Van Rooijen slechts één van de – vermoedelijk tienduizenden – nietsvermoedende internetgebruikers van wie de foto in de software van Hanan terecht is gekomen. Behalve aan dit soort fraude maakt zijn bedrijf zich volgens de onderzoeksjournalisten ook schuldig aan hacken.
Zo slaagde hij er voor de ogen van de undercoverjournalisten in om in te breken in online accounts van een politiek adviseur uit Kenia. Hij klikte door de e-mails en berichten van de adviseur op Gmail en de versleutelde berichtendienst Telegram, schrijft The Guardian.
Van in ieder geval één Telegram-bericht dat Hanan op die manier namens de adviseur verstuurde, ontdekten de journalisten later dat het inderdaad op de telefoon van de ontvanger was aangekomen.
‘Niets fout gedaan’
Wie de opdrachtgevers van het Israëlische bedrijf precies zijn, is niet bekend. Het zou in ieder geval gaan om commerciële bedrijven, politieke partijen en veiligheidsdiensten.
Hanan wil niet inhoudelijk reageren op de uitkomsten van het onderzoekscollectief, melden de betrokken journalisten. Hij zegt daarvoor “toestemming” nodig te hebben van iemand anders, onduidelijk is wie. “Maar voor de duidelijkheid: ik heb niets fout gedaan”, zegt hij.
Zijn broer en zakenpartner ontkent dat het bedrijf de regels overtreedt. “Ik werk al mijn hele leven in overeenstemming met de wet.”
In het Nieuws 