Belgacom, KPN en EU niet veilig dankzij virus Britse geheime dienst

Spionage: Dankzij een virus kon de Britse geheime dienst rechtstreeks binnenkijken bij klanten van Belgacom in de hele wereld, onder wie Europese instellingen in Brussel.Dat blijkt uit nieuwe documenten van NSA-klokkenluider Edward Snowden.

Drie mannen, alle drie midden dertig, alle drie studeerden ze techniek. Een Venezolaan, twee Belgen. Harde werkers, vertellen hun collega’s.

Hun eerste baan is bij een lokaal telecombedrijf: de Venezolaan bij Movistar, de Belgen bij Alcatel-Lucent en Proximus. Maar hun expertise brengt ze in 2010 samen bij een dochter van Belgacom, de grootste Belgische telecomorganisatie. Het dochterbedrijf, Belgacom International Carrier Services (BICS), regelt wereldwijd telefoon- en dataverkeer voor 700 klanten, waaronder maar liefst 400 mobiele ‘operators’, zoals KPN en T-Mobile. BICS heeft kantoren in Singapore, Dubai en New York. De drie vervullen technische sleutelrollen voor BICS. Een van hen is ‘regionaal technisch manager’. Juist hun expertise zal BICS’ achilleshiel blijken.

Ze maken snel carrière, is te zien op de sociale profielensite LinkedIn, waar ze hun cv bijhouden. Het is eind 2010, begin 2011 als ze alle drie, onwetend, op een valse LinkedIn-pagina terechtkomen. Dat is geen toeval. De drie zijn in het geheim zorgvuldig geselecteerd door Britse dataspionnen. Hun computers zijn gehackt. En via hun computer zal het BICS-netwerk dat ze runnen langzaam besmet worden.

Hoe kan dat? Daarvoor moeten we terug naar 2009. Op initiatief van de Britse inlichtingendienst GCHQ komen de Canadese evenknie CSEC en de Amerikaanse NSA samen om kennis over digitaal inbreken te delen. Ze bespreken de eerste fase van het plan voor een aanval op werkcomputers van de drie. Het BICS-net is een slagader van mondiale datastromen, met Brussel in het hart. BICS aftappen betekent: toegang tot telefonie en data van Europa tot het Midden-Oosten en Afrika. Het betekent ook: inpluggen bij de grote organisaties in Brussel, van de Europese Unie tot de NAVO.

In de storm onthullingen over het werk van de NSA en de Britse GCHQ, kwam al veel naar buiten over de Belgacom-hack. Maar het hele verhaal over Belgacom is nog niet opgeschreven. Samen met de Amerikaanse website The Intercept en de Belgische krantDe Standaard heeft NRC een complete reconstructie gemaakt. Daarvoor is gesproken met direct betrokkenen. Maar een belangrijk deel komt uit nieuwe documenten van NSA-klokkenluider Edward Snowden. Vragen daarbij: hoe kan zo’n groot bedrijf slachtoffer worden van een buitenlandse inlichtingendienst? Wat heeft Belgacom gedaan toen de hack bekend werd. Wie zijn door de hack getroffen? En: welke rol speelde Belgacom zelf eigenlijk?

Nog eens naar 2009. Ontmoetingen van Britse, Canadese en Amerikaanse tapspecialisten zijn gebruikelijk. Sinds de Tweede Wereldoorlog werken de drie diensten plus die van Nieuw-Zeeland en Australië intensief samen als de ‘Five Eyes’, de vijf ogen. Alle vijf hebben ze een dienst die zich toelegt op signals intelligence (‘Sigint’): informatie uit onderschepte telecommunicatie, waaronder complete telefoongesprekken.

Dat wordt wel moeilijker; ze stuiten in de hele wereld steeds vaker op gecodeerde data; zonder de juiste ‘encryptiesleutel’ is onderschept verkeer niet te lezen. Een virtual private network (VPN), een versleutelde datastroom die deels via openbare netten kan lopen, is populair onder telecombedrijven. Dat geldt als zeer veilig. De geheime dienst die het lukt om efficiënt VPN’s te kraken haalt de hoofdprijs binnen. In het geval van BICS: rechtstreeks binnenkijken in het dataverkeer van de honderden telecombedrijven die er klant zijn.

Er is een nog een reden om juist BICS aan te vallen. Van de drie grootste telecomproviders die roaming van telefoonverkeer verzorgen, staat alleen BICS buiten de VS. Via nationale wetgeving hebben de VS al toegang tot roaming-providers op hun eigen grondgebied. BICS biedt toegang tot de rest van de wereld.

Een valse versie van LinkedIn

Als GCHQ na twee jaar voorbereiding eind 2010 de aanvalt opent, weten de Venezolaan en de twee Belgen van niets. De Britten weten daarentegen alles van ze: wanneer ze online zijn, met wie ze communiceren. Dat is ze gelukt met een Amerikaanse techniek (Quantum Insert), die ongemerkt een virus in een computer kan injecteren. In het geval van de drie technici gebeurt het via een vervalste versie van LinkedIn, waarheen ze ongemerkt en razendsnel zijn omgeleid. Het virus volgt daarna hun doen en laten en infiltreert dieper, totdat het de kern van de BICS-infrastructuur bereikt. Het zaadje van de Britten is geplant en heet Regin.

Regin is één van de meest geavanceerde virussen ooit ontworpen: ‘modulaire’ malware die zich blijft ontwikkelen en aanpassen aan de omgeving. De makers hebben er sinds 2004 aan gewerkt; het idee van een aanval op Belgacom is uit 2009 en in 2011 zit Regin in BICS. Het zal nog twee jaar duren voordat het wordt opgemerkt.

Mails komen niet aan

De eerste tekenen dat er iets mis is bij Belgacom, komen van een interne mailserver. Mails tussen medewerkers komen niet aan of met vertraging. De server kampt sinds 2011 opvallend vaak met storingen, maar systeembeheerders van het grootste telecombedrijf van België kunnen niets vinden. Begin 2013 blijkt de storing zelfs verergerd na een software-update van Microsoft Windows. Medewerkers van Microsoft, om hulp gevraagd, konden evenmin iets vinden.

Dan besluiten de Belgen het Nederlandse computerbeveiligingsbedrijf Fox-IT te benaderen. Fox-IT doet wél een opmerkelijke vondst: software die zich verdacht gedraagt en van Microsoft lijkt te zijn, maar het niet is. Fox-IT rapporteert het probleem. Belgacom weet dan: iemand is BICS binnengedrongen.

Belgacom schakelt na de vondst de politie in en de centrale Federal Computer Crime Unit. Ook de Belgische militaire inlichtingendienst ADIV onderzoekt de inbraak samen met technici van Fox-IT. Een betrokkene: „Het was allemaal zó ingenieus.” De Britten hadden „verder alles goed gedaan”. Zonder een „schoonheidsfoutje” in de software – oorzaak van de mailstoringen – zou Regin nog jaren onzichtbaar zijn geweest.

Vervolgens gebeurt er iets merkwaardigs. Bij het zoeken naar het virus stuiten de onderzoekers op besmette routers van het merk Cisco. Dat is groot nieuws. Routers zijn de verkeersleiders van een computernetwerk; hun software is topgeheim. Wie daarop kan inbreken, kan de werking van een netwerk naar zijn hand zetten. Dat is precies wat bij BICS is gebeurd. Uit eerder gepubliceerde NSA-documenten is bekend dat de Amerikanen routers van onder meer Cisco van spionagesoftware konden voorzien.

Lees verder via Stop de bankiers.

 

Foto via Leonardo Rizzi

  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Dit vind je misschien ook leuk...

Geef jouw mening

Close