De Britten hadden de sleutel

Dankzij een virus kon de Britse geheime dienst rechtstreeks binnenkijken bij klanten van Belgacom in de hele wereld, onder wie Europese instellingen in Brussel. Dat blijkt uit nieuwe documenten van NSA-klokkenluider Edward Snowden.

Drie mannen, alle drie midden dertig, alle drie studeerden ze techniek. Een Venezolaan, twee Belgen. Harde werkers, vertellen hun collega’s.

Hun eerste baan is bij een lokaal telecombedrijf: de Venezolaan bij Movistar, de Belgen bij Alcatel-Lucent en Proximus. Maar hun expertise brengt ze in 2010 samen bij een dochter van Belgacom, de grootste Belgische telecomorganisatie. Het dochterbedrijf, Belgacom International Carrier Services (BICS), regelt wereldwijd telefoon- en dataverkeer voor 700 klanten, waaronder maar liefst 400 mobiele ‘operators’, zoals KPN en T-Mobile. BICS heeft kantoren in Singapore, Dubai en New York. De drie vervullen technische sleutelrollen voor BICS. Een van hen is ‘regionaal technisch manager’. Juist hun expertise zal BICS’ achilleshiel blijken.

Ze maken snel carrière, is te zien op de sociale profielensite LinkedIn, waar ze hun cv bijhouden. Het is eind 2010, begin 2011 als ze alle drie, onwetend, op een valse LinkedIn-pagina terechtkomen. Dat is geen toeval. De drie zijn in het geheim zorgvuldig geselecteerd door Britse dataspionnen. Hun computers zijn gehackt. En via hun computer zal het BICS-netwerk dat ze runnen langzaam besmet worden.

Hoe kan dat? Daarvoor moeten we terug naar 2009. Op initiatief van de Britse inlichtingendienst GCHQ komen de Canadese evenknie CSEC en de Amerikaanse NSA samen om kennis over digitaal inbreken te delen. Ze bespreken de eerste fase van het plan voor een aanval op werkcomputers van de drie. Het BICS-net is een slagader van mondiale datastromen, met Brussel in het hart. BICS aftappen betekent: toegang tot telefonie en data van Europa tot het Midden-Oosten en Afrika. Het betekent ook: inpluggen bij de grote organisaties in Brussel, van de Europese Unie tot de NAVO.

In de storm onthullingen over het werk van de NSA en de Britse GCHQ, kwam al veel naar buiten over de Belgacom-hack. Maar het hele verhaal over Belgacom is nog niet opgeschreven. Samen met de Amerikaanse website The Intercept en de Belgische krant De Standaard heeft NRC een complete reconstructie gemaakt. Daarvoor is gesproken met direct betrokkenen. Maar een belangrijk deel komt uit nieuwe documenten van NSA-klokkenluider Edward Snowden. Vragen daarbij: hoe kan zo’n groot bedrijf slachtoffer worden van een buitenlandse inlichtingendienst? Wat heeft Belgacom gedaan toen de hack bekend werd. Wie zijn door de hack getroffen? En: welke rol speelde Belgacom zelf eigenlijk?

Nog eens naar 2009. Ontmoetingen van Britse, Canadese en Amerikaanse tapspecialisten zijn gebruikelijk. Sinds de Tweede Wereldoorlog werken de drie diensten plus die van Nieuw-Zeeland en Australië intensief samen als de ‘Five Eyes’, de vijf ogen. Alle vijf hebben ze een dienst die zich toelegt op signals intelligence (‘Sigint’): informatie uit onderschepte telecommunicatie, waaronder complete telefoongesprekken.

Dat wordt wel moeilijker; ze stuiten in de hele wereld steeds vaker op gecodeerde data; zonder de juiste ‘encryptiesleutel’ is onderschept verkeer niet te lezen. Een virtual private network (VPN), een versleutelde datastroom die deels via openbare netten kan lopen, is populair onder telecombedrijven. Dat geldt als zeer veilig. De geheime dienst die het lukt om efficiënt VPN’s te kraken haalt de hoofdprijs binnen. In het geval van BICS: rechtstreeks binnenkijken in het dataverkeer van de honderden telecombedrijven die er klant zijn.

Er is een nog een reden om juist BICS aan te vallen. Van de drie grootste telecomproviders die roaming van telefoonverkeer verzorgen, staat alleen BICS buiten de VS. Via nationale wetgeving hebben de VS al toegang tot roaming-providers op hun eigen grondgebied. BICS biedt toegang tot de rest van de wereld.

Een valse versie van LinkedIn

Als GCHQ na twee jaar voorbereiding eind 2010 de aanvalt opent, weten de Venezolaan en de twee Belgen van niets. De Britten weten daarentegen alles van ze: wanneer ze online zijn, met wie ze communiceren. Dat is ze gelukt met een Amerikaanse techniek (Quantum Insert), die ongemerkt een virus in een computer kan injecteren. In het geval van de drie technici gebeurt het via een vervalste versie van LinkedIn, waarheen ze ongemerkt en razendsnel zijn omgeleid. Het virus volgt daarna hun doen en laten en infiltreert dieper, totdat het de kern van de BICS-infrastructuur bereikt. Het zaadje van de Britten is geplant en heet Regin.

Regin is één van de meest geavanceerde virussen ooit ontworpen: ‘modulaire’ malware die zich blijft ontwikkelen en aanpassen aan de omgeving. De makers hebben er sinds 2004 aan gewerkt; het idee van een aanval op Belgacom is uit 2009 en in 2011 zit Regin in BICS. Het zal nog twee jaar duren voordat het wordt opgemerkt.

Mails komen niet aan

De eerste tekenen dat er iets mis is bij Belgacom, komen van een interne mailserver. Mails tussen medewerkers komen niet aan of met vertraging. De server kampt sinds 2011 opvallend vaak met storingen, maar systeembeheerders van het grootste telecombedrijf van België kunnen niets vinden. Begin 2013 blijkt de storing zelfs verergerd na een software-update van Microsoft Windows. Medewerkers van Microsoft, om hulp gevraagd, konden evenmin iets vinden.

Dan besluiten de Belgen het Nederlandse computerbeveiligingsbedrijf Fox-IT te benaderen. Fox-IT doet wél een opmerkelijke vondst: software die zich verdacht gedraagt en van Microsoft lijkt te zijn, maar het niet is. Fox-IT rapporteert het probleem. Belgacom weet dan: iemand is BICS binnengedrongen.

Belgacom schakelt na de vondst de politie in en de centrale Federal Computer Crime Unit. Ook de Belgische militaire inlichtingendienst ADIV onderzoekt de inbraak samen met technici van Fox-IT. Een betrokkene: „Het was allemaal zó ingenieus.” De Britten hadden „verder alles goed gedaan”. Zonder een „schoonheidsfoutje” in de software – oorzaak van de mailstoringen – zou Regin nog jaren onzichtbaar zijn geweest.

Vervolgens gebeurt er iets merkwaardigs. Bij het zoeken naar het virus stuiten de onderzoekers op besmette routers van het merk Cisco. Dat is groot nieuws. Routers zijn de verkeersleiders van een computernetwerk; hun software is topgeheim. Wie daarop kan inbreken, kan de werking van een netwerk naar zijn hand zetten. Dat is precies wat bij BICS is gebeurd. Uit eerder gepubliceerde NSA-documenten is bekend dat de Amerikanen routers van onder meer Cisco van spionagesoftware konden voorzien.

Zijn de routers bij BICS al vóór de aanval besmet of heeft het virus dat gedaan? Belgacom gaat zich raar gedragen. Als de onderzoekers de routers willen inspecteren, houdt Belgacom dat tegen. Het bedrijf heeft liever dat Cisco zelf onderzoekt wat er mis is. Met argwaan tot gevolg. „Dan toon je dat je geen onafhankelijk onderzoek wil”, zegt een onderzoeker.

Aan de samenwerking met Fox-IT, de ontdekker van het virus, komt plots een einde. De medewerkers van het bedrijf moeten geheimhoudingsverklaringen tekenen. Bovendien moeten ze al hun ‘bewijs’ vernietigen, maar niet het virus. Belgacom zegt dat zelf te willen doen.

In het weekend van 14 september 2013 doen honderden Belgacom-medewerkers, informatici van de militaire inlichtingendienst en onderzoekers van politie en justitie voor de tweede keer een poging om de systemen schoon te maken. Twee weken eerder werd dat afgeblazen, omdat ze niet zeker waren dat ze alle kwaadaardige software in één keer zouden kunnen verwijderen. Bovendien bleek op vrijdag 30 augustus een deel van het virus uit zichzelf verdwenen. Slimme malware is zo ingericht dat het ook sporen wist.

Na het weekeinde wordt de aanval op BICS bekend als deze krant en De Standaard er voor het eerst over publiceren. Direct wijzen betrokkenen naar de Amerikanen en de Britten. Een paar dagen later publiceert het Duitse weekblad Der Spiegel geheime documenten van Snowden waarin Belgacom ook is beschreven in een geheime Britse operatie. Belgacom stuurt een persbericht uit. „Tot dusver is er geen enkele aanwijzing van impact op de klanten of hun gegevens”, staat daarin. „Enkele tientallen” computers waren besmet, maar volgens Belgacom is de schoonmaak „succesvol en vlekkeloos verlopen”. Geen woord over het echte doelwit: dochterbedrijf BICS. Uitleg over eventueel motief of identiteit van de dader volgt evenmin.

Direct twijfelen mensen aan de stelligheid van Belgacom. Een van de personen die het virus zag, vertelt dat er slechts „sprake was van een gedeeltelijke schoonmaak”. De malware in de kern van BICS „was gewoon nog aanwezig.”

Europees Parlement

Drie weken later houdt het Europees Parlement een hoorzitting over de infiltratie. Geert Standaert, chef-IT van Belgacom, verklaart daar dat alles in orde is met hun systemen. Verschillende bronnen spreken dat een dag later tegen in De Standaard. Volgens Belgacom is de berichtgeving „doorspekt met fouten of verkeerde interpretaties.” Twee weken later maakt het echter zelf bekend dat er toch nog problemen zijn bij dochterbedrijf BICS. „Het eerste onderzoek wijst erop dat er wijzigingen zijn aangebracht in de software van de router, wat gebeurd kan zijn tijdens een recente digitale inbraak.” Experts twijfelen aan deze uitleg. Een bron: „Als de malware echt opgeruimd was, had niemand er meer bij gekund.” Hij gaat nog een stap verder. „Ik ben ervan overtuigd dat de kwaadaardige software er nog steeds zit. Het is verschrikkelijk lastig te verwijderen en Belgacom heeft voor zover ik weet geen serieuze poging gedaan het weg te halen.” Bewijs voor deze stelling kan hij niet overleggen.

In het Europees Parlement ontkent Belgacom nadrukkelijk dat klanten van BRICS, onder wie „Europese instellingen” of gewone consumenten zijn afgetapt. De aanvallers zouden alleen op het interne IT-netwerk zijn gekomen. Ook dat wordt in verschillende media weersproken. In het najaar van 2013 melden verschillende bronnen aan de NOS dat de Britse geheime dienst al die tijd ook toegang had tot telefoonverkeer van internationale organisaties zoals de NAVO, de Europese Commissie, het Europees Parlement en de organisatie die het internationale betalingsverkeer regelt, SWIFT. Onderzoekers bevestigen dat nu. Via BICS kon GCHQ telefoon- of internetverkeer inzien of wegsluizen voordat het bij de ontvanger terechtkwam.

In de nieuwe documenten beschrijft een speciaal hackteam van GCHQ in 2012 de vorderingen bij BICS. De Britten melden dat ze allereerst het interne netwerk van Belgacom hebben blootgelegd en toegang hebben tot de zogeheten GRX-router, kern van BICS die het telefoon- en internetverkeer voor buitenlandse providers regelt. „We zitten ver in het netwerk en aan de randen ervan. We kijken nu naar mogelijkheden om via deze router aanvallen uit te voeren”, schrijven de teamleden.

Later meldt het team: „We blijken zeer productief.” En uiteindelijk vertellen de Britten dat ze „zeer succesvol” zijn. En dat ze in staat zijn om VPN-verkeer te bekijken dat mobiel telefoonverkeer overbrengt. Het in 2009 geformuleerde doel van de aanval is bereikt.

Uit een overzichtskaart blijken de grote mogelijkheden voor de Britten: via BICS kan GCHQ zeer gericht mobiel telefoon- en internetverkeer van honderden internationale telecomproviders achterhalen en inzien. Een van de onderzoekers bevestigt dit: „GCHQ zat op de ‘core-router’ van BICS en was zo in staat om praktisch elk telefoonnummer van een buitenlandse provider in te voeren en de gegevens te achterhalen.”

Belgacom spreekt er niet over. Zoals de Belgische telecomprovider nog altijd volhoudt dat het niet weet wie de aanval heeft uitgevoerd. Eind oktober zegt het hoofd beveiliging van Belgacom Fabrice Clement in het magazine MO, dat de aanvallers waarschijnlijk informatie zochten over Belgacom zelf. Ook zegt hij dat onbekend is wie de aanvallers waren. „Wij hebben geen indicatie dat de Amerikanen of Britten hier achter zaten.”

Ronald Prins, directeur van computerbeveiligingsbedrijf Fox-IT, heeft de ontdekte malware bestudeerd. Hij twijfelt niet: „Op basis van de documenten en de analyse van de malware kan ik concluderen dat dit van GCHQ is.”

Er loopt nog altijd een juridisch onderzoek door het Belgische federale parket naar de hack van Belgacom. De Belgische oud-premier Di Rupo zei na het ontdekken van de inbraak, dat België gepaste maatregelen zou nemen als blijkt dat er sprake is van spionage. Alles wees volgens hem in de richting van „betrokkenheid op hoog niveau van een ander land”. Maar het onderzoek heeft nog geen uitsluitsel gegeven, laat staan dat er diplomatieke maatregelen zijn genomen. Het is stil geworden rond Belgacom.

Twee van de drie mannen hebben BICS verlaten. De Venezolaan werkt nu in Zwitserland, een van de Belgen werkt in Gent bij een consultancybureau voor IT’ers. Eén van hen is nog werkzaam bij BICS.