Verantwoording en bronnen bij de Ophef-aflevering over de verstoringen van BabyTV

2 weken geleden 2

Hieronder lees je de verantwoording van de Ophef-aflevering over de verstoringen van BabyTV in Nederland en Russische aanvallen op satellieten. Daarin lichten we toe wat we uitzochten en hoe we tot onze conclusies zijn gekomen. Ook lees je de reacties van betrokken bedrijven, zoals het satellietbedrijf Eutelsat, en vind je meer over de sprekers die aan het woord komen in de video.

Begin april meldden verschillende media (Nu.nl, VRT) dat ouders en baby's in Nederland die op 28 maart naar de tv-zender BabyTV keken, verrast werden door een paar minuten Russische propaganda op het kanaal. De video verscheen op diezelfde datum ook op BabyTV in België, Scandinavië en Portugal. Een paar weken later, op 17 april, was het weer raak, meldt opnieuw Nu.nl. Video's van de op BabyTV uitgezonden beelden verschijnen onder meer op YouTube.

Op dat moment is niet duidelijk wat er precies is gebeurd. In de Nederlandse pers wordt gespeculeerd over mogelijke verklaringen, zoals een hack (inbraak) bij een satellietbedrijf, mogelijke daders (er wordt gewezen naar Rusland), en motieven - want waarom zou je baby's propaganda willen laten zien?

We besluiten antwoorden te zoeken op die vragen. Die zoektocht leidt ons naar de wereld van de televisiesatellieten.

In het tweede artikel op Nu.nl wordt melding gemaakt van een satelliet die betrokken zou zijn bij de incidenten: een Hotbird van het Franse satellietbedrijf Eutelsat. Via die satelliet, waarover tv-signalen lopen, zou BabyTV in Europese huiskamers belanden.

Bij verschillende openbare bronnen die satellietinformatie publiceren (1, 2, 3) is te zien dat BabyTV in maart en april inderdaad werd uitgezonden via een satelliet van Eutelsat, de Hotbird 13G, op transponder HB 121. De transponder is het onderdeel van de satelliet dat signalen terugstuurt naar aarde.

Uit openbare bronnen en navraag bij BabyTV blijkt dat naast BabyTV verschillende andere tv-zenders via deze transponder en op dezelfde frequentie worden uitgezonden. Naast BabyTV maken onder andere een aantal pornozenders en de Oekraïense televisiezenders Dim TV en Freedom (FREE) in maart gebruik van deze transponder.

Oekraïne en Nederland: uitzendingen tegelijkertijd verstoord

Oekraïense televisiezenders hebben vaker te maken met verstoringen van hun televisiesignaal. In verschillende Oekraïense media wordt melding gemaakt van aanvallen op Oekraïense televisie op 16 maart, 28 maart, en 17 april (link, link, link).

Zo vermeldt de website van FreedomTV dat op de ochtend van 16 maart een aanval heeft plaatsgevonden op de Hotbird 13G-satelliet met als doel het overnemen van het televisiesignaal. Zo'n aanval heet signal hijacking, en kan plaatsvinden door met een grote schotel een sterker tv-signaal te versturen naar een satelliet, en daardoor het signaal over te nemen.

Door deze aanval werd de televisie-uitzending van het kanaal Dim onderbroken en verschijnt op FreedomTV een andere, Russische zender in beeld, inclusief een logo met daarin een Russische tekst (betekenis: "FOR LIFE!"). De verstoring begint om 08.50 uur (Nederlandse tijd). Om 09.46 uur wordt de normale uitzending weer hervat.

Navraag van Nieuwsuur leert dat bij KPN op precies hetzelfde moment het BabyTV-signaal wordt verstoord. Het automatische monitoringssysteem van de provider treedt in werking, en klanten krijgen een storingsbeeld te zien. Om 10.28 uur wordt de reguliere BabyTV-uitzending van KPN weer hervat.

Op dat moment wordt er geen melding gemaakt van de verstoring: KPN komt erachter bij navraag van Nieuwsuur. Odido en Ziggo, de andere aanbieders van BabyTV in Nederland, zeggen niet op de hoogte te zijn van een storing van BabyTV op 16 maart en hebben op die data geen technische afwijkingen opgemerkt.

De aanvallen op Oekraïense kanalen gaan door, en vallen samen met de verstoringen van de Nederlandse BabyTV-uitzendingen.

Op 28 maart werd door het 1+1 Media, het grootste mediabedrijf van Oekraïne, melding gemaakt van een aanval op tv-zenders die via een andere satelliet lopen: de Astra4a-satelliet van het bedrijf SES. In plaats van de reguliere uitzendingen is tussen 09.30 uur en 11.00 uur (lokale tijd) Russische propaganda te zien.

Diezelfde dag wordt ook de BabyTV-uitzending, die via de Eutelsat Hotbird 13G-satelliet loopt, onderbroken. Naast Nu.nl en VRT meldt ook een Portugees medium dat op BabyTV om 12.25 uur drie minuten lang een Russische videoclip te zien is. Op X (voorheen Twitter) maken gebruikers in Spanje melding van hetzelfde voorval. Oekraïense kanalen merken op dat moment niets, laten ze weten aan Nieuwsuur.

En op 17 april worden verschillende zenders die uitzenden via de SES ASTRA 4A-satelliet aangevallen. 1+1 Media meldt dat uitzendingen van 39 tv-zenders via de aangevallen transponder tijdelijk zijn onderbroken. Uit openbare bronnen, communicatie van SES aan haar klanten en vertrouwelijke rapporten van overheden en satellietbedrijven die Nieuwsuur in handen heeft, blijkt dat de aanval inderdaad 39 kanalen trof met als doel het vervangen van de tv-uitzendingen met Russisch propagandabeelden. Er worden onder andere beelden uitgezonden van een interview van de Amerikaanse journalist Tucker Carlson met President Poetin.

Op diezelfde dag wordt ook een transponder op de Eutelsat Hotbird 13G aangevallen. FreedomTV meldt dat hun tv-uitzending vanaf 14.06 uur Nederlandse tijd wordt vervangen door Russische propaganda. Om 14.24 uur wordt de reguliere uitzending weer hervat. De timing komt overeen met het verschijnen van dezelfde beelden op BabyTV in Nederland.

Uit beelden in bezit van Nieuwsuur blijkt dat op Ziggo om 14.05 uur een korte tijd zwart beeld werd getoond, gevolgd door de volgende Russisch propaganda videoclips: Oleg Gazmanov - Go Russia, Akim Apachev & Darya Frey - A Duck Swims Along, Shaman - I am Russian, Lyube - Birches, Shaman - My fight en Lyube - For you, Motherland!.

In ieder geval een deel van deze video's blijken bij eerdere aanvallen op de Hotbird 13G ook te zijn getoond, waaronder op 28 maart 2024 tijdens de verstoring van BabyTV en op 12 maart 2024 op transponder 12624, waar alleen Oekraïense kanalen op lopen. Op Ziggo lijken enkel beelden te worden getoond, het geluid ontbreekt. In andere landen is zowel het beeld als geluid overgenomen.

Bij de aanvallen op 16 maart en 17 april wordt dus niet alleen BabyTV, maar alle kanalen die via dezelfde transponder lopen, getroffen. Het gaat voornamelijk op Oekraïense kanalen, maar BabyTV en enkele pornokanalen, zoals BrazzersTV, worden ook geraakt.

Daarmee is onwaarschijnlijk dat BabyTV zelf het doelwit was van de aanval: die lijkt gericht op Oekraïense televisie, met de verstoring van BabyTV als nevenschade.

BabyTV: nevenschade van Russische aanval

Het Nationaal Cybercentrum NCSC, onderdeel van het ministerie van Justitie en Veiligheid, schrijft een rapport over de BabyTV-voorvallen. Dat rapport is vertrouwelijk, maar krijgen we in handen. Daarin schrijft NCSC dat de verstoring van BabyTV inderdaad "hoogstwaarschijnlijk nevenschade" is van Russische aanvallen op Oekraïense televisie.

We spreken met overheidsdiensten in andere Europese landen en deskundigen, en ook zij bevestigen: niet BabyTV, maar Oekraïense televisie was het doelwit van de aanvallen. De NCTV schrijft dit ook in haar cybersecuritybeeld 2024, dat vlak voor onze publicatie uitkomt.

De overheidsdiensten houden de mogelijkheid open dat de aanvallen (ook) dienden als test voor een toekomstige, grotere aanval. Ze maken zich zorgen over een mogelijke aanval op grote sportevenementen zoals het EK of de Olympische Spelen in Parijs.

Die zorgen zijn niet uit de lucht gegrepen: in 2018 probeerde Rusland de openingsceremonie van de Spelen te saboteren met een hackaanval en volgens de Britse NCSC viel het land in 2020 de Olympische- en Paralympische Spelen aan. Ook werd in 2022 de uitzending van de WK-kwalificatiewedstrijd Oekraïne - Wales verstoord door Russische hackers op verschillende Oekraïense kanalen. In plaats van de wedstrijd verscheen het Russische propagandakanaal Izvestia28.

Dat de aanvallen op de satelliet waarover BabyTV loopt door Rusland zijn uitgevoerd, blijkt uit vertrouwelijke stukken die zijn opgesteld door satellietbedrijven SES en Eutelsat. Uit deze stukken blijkt ook dat transponder 121 op de Hotbird 13G van Eutelsat inderdaad op 16 maart, 28 maart, en 17 april is aangevallen. Ook bevestigen de stukken de aanval op transponder 126 op 12-03-2024. Volgens de stukken was er op deze dagen inderdaad sprake van signal hijacking: geen hack bij de satellietbedrijven dus, maar een sterk signaal dat het originele signaal overstemde, met als gevolg het vervangen van een televisie-uitzending door pro-Russische televisie.

In de stukken wordt ook gedetailleerd beschreven wanneer de aanvallen plaatsvonden en leidden de bedrijven de aanvallen door middel van geolocatie terug naar vier regio's: de gebieden rond Kalinigrad, Moskou, de door Rusland bezette Krim, en Pavlovka. Navraag bij experts leert dat op deze locaties inderdaad faciliteiten bestaan die noodzakelijk zijn voor het uitvoeren van zulke aanvallen, zoals schotels met een doorsnede van minstens 9 meter.

Nog meer aangevallen satellieten

De Russische aanvallen op Europese satellieten beperken zich dit jaar niet tot de Eutelsat Hotbird 13G en de SES Astra 4A. Dat blijkt uit openbare stukken van de International Telecommunication Union (ITU), een VN-orgaan dat gaat over satellietcommunicatie, niet-openbare documenten, en achtergrondgesprekken die Nieuwsuur de afgelopen maanden voerde.

Ook de EUTELSAT 21e en EUTELSAT 10B zijn aangevallen door Rusland, net als de Eutelsat 3B en de Eutelsat 7B-satelliet.

Deze satellieten worden niet allemaal hoofdzakelijk gebruikt voor televisiecommunicatie. Uit de brochures, verslagen en presentaties voor investeerders van Eutelsat en websites van de satellietoperaties wordt duidelijk dat alle satellieten ook andere diensten bieden.

Zo draait er op de Hotbird 13G een voor de luchtvaart ontworpen systeem dat bedoeld is om de nauwkeurigheid van positionering in Europa via GPS-signalen te verbeteren en kan de Astra 4A ook worden gebruikt voor satellietinternet/-communicatie (broadband). De Eutelsat 21B wordt voornamelijk gebruikt voor spraak- als datacommunicatie, professionele videodiensten en Internettoegang via satelliet.

De Eutelsat 10B blijkt veelvoudig te zijn aangevallen. In totaal worden er 14 incidenten op minimaal 6 verschillende transponders op die satelliet gemeld. De belangrijkste diensten op deze satelliet zijn satellietinternet, dataverkeer, overheidscommunicatie, internet voor lucht- en scheepvaart en video-uitzendingen, zo blijkt uit de brochure.

Dat brengt het totaal dus sinds maart op zes door Rusland aangevallen Europese satellieten met verschillende functies, waarvan de meeste in beheer van het Franse Eutelsat. Die aanvallen hebben niet allemaal van hetzelfde karakter: naast signal hijacking, wordt er ook gejamd.

Net als bij signal hijacking wordt bij jamming het reguliere signaal overstemd door een krachtiger signaal van de aanvaller. Maar in plaats van inhoud te vervangen, wordt er een grote hoeveelheid ruis naar de satelliet gestuurd. Hierdoor is de satelliet niet in staat het legitieme signaal te ontvangen en door te zetten. Dit kan problemen opleveren voor positiebepaling (bijvoorbeeld in oorlogssituaties) of communicatie.

Uiteraard vroegen we de betrokken partijen naar een reactie op onze bevindingen. Van het Russische ministerie ontvangen wij geen reactie. Dat geldt ook voor het Nederlandse ministerie van Justitie en Veiligheid, waar de NCSC en de NCTV onder vallen. De reacties van andere betrokkenen vind je hieronder.

BabyTV

BabyTV bevestigt aan Nieuwsuur de aanvallen op 28-03-2024 en 17-04-2024 en geeft aan dat ook op 28-03-2024 alle kanalen op de betreffende transponder zijn getroffen: "We confirm that on 28.03.2024 and 17.04.2024, the broadcast of channels distributed via Eutelsat - including BabyTV - was interrupted by external source. The signal was identified to be coming from Russia. The attacks affected every channel placed on the transponder HB 121. To prevent similar attacks in the future, BabyTV migrated to a different transponder on the same satellite. Additionally, we are diversifying the channel's delivery methods, including the launch of an additional, fully secure HD feed in Europe."

Eutelsat

"Indeed earlier this year, we were among operators to have identified radio frequency interference from an external source, presumed to be Russian, which had an intermittent impact on some video services. A small number of customers distributing content in Europe were affected by this interference.

Eutelsat has engaged the Radio Regulation Board of the ITU, which is investigating the incidents. Our teams are fully engaged on this matter and on ensuring continuity of service for potentially impacted customers. We have had no reported incidents of similar interference on video channels."

SES

"Earlier this year, SES's satellite experienced international interference originating from Russia, which has affected the ASTRA 4A satellite uplinks.

We had some video customers distributing content in Europe that were affected with outages caused by the interference. Back then, our teams had investigated the radio frequency interference events and looked into ways to mitigate the impact on affected services should it happen again. Today, SES continues to maintain a high level of vigilance to ensure continuity of service for all our customers.

That aside, several administrations have initiated the regulatory process in the International Telecommunication Union."

Sprekers

Lees het hele artikel