Kwaadaardige malware Regin gebruikt bij hack Belgacom

Foto ANP/ Lex van Lieshout

De geavanceerde spionagesoftware Regin, waarover computerbeveilingsbedrijf Symantec gisteren rapporteerde, is gebruikt bij de cyberaanval op de Belgische telecomprovider Belgacom. Dat blijkt uit gesprekken met betrokkenen en onderzoek van NRC Handelsblad, in samenwerking met De Standaard en The Intercept.

Het gaat om zeer geavanceerde en kwaadaardige spionagesoftware waaraan jaren is gewerkt. De eerste sporen van de malware dateren al van 2003. Ronald Prins, eigenaar van het Nederlandse computerbeveilingsbedrijf Fox-IT, noemt Regin de “meest geavanceerde malware” die hij ooit heeft gezien. Vorig jaar september onthulden NRC Handelsblad en De Standaard dat Belgacom slachtoffer was geworden van een grootschalige hack, waarschijnlijk uitgevoerd door de Britse of Amerikaanse inlichtingendienst.

Later publiceerde het Duitse weekblad Der Spiegel documenten van NSA-klokkenluider Edward Snowden waaruit bleek dat de Britse inlichtingendienst GCHQ onder de codenaam “Operation Socialist” Belgacom was binnengedrongen. GCHQ had zich toegang verschaft door individuele systeembeheerders van Belgacom aan te vallen en malware op hun computers te installeren.

Medewerkers Belgacom ontdekten hack

Met name de systemen die de roaming van telefoonverkeer regelen, bleken besmet. Nederlanders die in Europa bellen met hun Nederlandse telefoon, maken ook gebruik van Belgacom. Net zoals de Europese Unie, het Europees Parlement en de Europese Commissie. De hack werd op 21 juni 2013 ontdekt door medewerkers van Belgacom. Uit onderzoek van NRC Handelsblad blijkt dat diezelfde dag een systeembeheerder van Belgacom een document op VirusTotal, een gratis website voor het detecteren van virussen, plaatste. Zo kon de malware ook door anderen ingezien worden. Ronald Prins:

“Op basis van eerder gepubliceerde documenten van Snowden en kennis van de malware concludeer ik dat Regin is ingezet door de Britten en de Amerikanen.”

Hij is verbaasd over de mogelijkheden van de software. Prins:

“Een van de krachtigste kenmerken van Regin is dat het niet een stuk malware is, maar een heel framework dat naar gelang ingezet kan worden. Daarnaast heeft het een intern routerings protocol waardoor het bijvoorbeeld zelfs computers die offline zijn of af en toe aan een ander netwerk verbonden zijn inzet voor transport van gestolen informatie.”

Om te voorkomen dat de malware ontdekt wordt en om analyse te frustreren, past de software zich telkens aan. Regin kan verder, als het eenmaal is geïnstalleerd op een computer, onder meer screenshots maken, wachtwoorden kopiëren en gewiste onderdelen herstellen. Prins wil niet bevestigen dat Fox-IT, dat onderzoek deed naar de aanval op Belgacom, Regin daar ook heeft aangetroffen. Volgens Symantec zijn ook Russische en Saoedische computers geïnfecteerd. Het zou gaan om allerlei soorten doelwitten: bedrijven, regeringsinstellingen, onderzoeksinstituten. Bijna de helft van het aantal geïnfecteerde gevallen zouden individuen of kleine bedrijven zijn.

Meer details over Regin zijn te lezen via The Intercept.

Belgacom: geen commentaar

Gevraagd om een reactie, zegt Belgacom dat het geen commentaar kan geven over de malware. “Elk element dat we over de aanval hebben ontdekt hebben we doorgegeven aan het federaal parket”, zegt woordvoerder Jan Margot:

“Voor ons is het wel altijd duidelijk geweest dat de malware zeer gesofisticeerd was.”