Lees hier hoe de Britse geheime dienst GCHQ Belgacom aanviel

Foto ANP/EPA/Julien Warnand

De belangrijkste documenten die NRC Handelsblad kon inkijken, dateren van juni 2011 en zijn gebruikt tijdens een meeting van Britse, Amerikaanse, Canadese, Nieuw-Zeelandse en Australische inlichtingendiensten, de zogenaamde Five Eyes. De documenten gaan alledrie over de aanval op Belgacom en dochterbedrijf Belgacom International Carrier Services (BICS).

In de eerste Powerpoint vertelt GCHQ gedetailleerd hoe ze door de combinatie van hun kennis en die van de Canadese geheime dienst een aantal high profile-doelwitten bij BICS kunnen selecteren. In dat document staan drie concrete namen van Belgacom-personeelsleden die zijn aangevallen. Twee van hen zijn Belgische staatsburgers.

Lees ook

Vandaag in NRC Handelsblad De Britten hadden de sleutel (€)

Het tweede document gaat in op een motief voor de aanval: toegang krijgen tot beveiligde, versleutelde communicatie die verloopt via BICS. Door in te breken bij BICS, een hoofdader voor internationale communicatie, konden de spionnen uiteindelijk communicatie meevolgen op lokale telecomnetwerken in Afrika, Europa en het Midden-Oosten. Dat betekent concreet dat GCHQ privé-communicatie van de klanten van die lokale telecomnetwerken kon onderscheppen.

De derde Powerpoint verscheen op 20 september 2013 al gedeeltelijk in het Duitse weekblad Der Spiegel. Daarin wordt bevestigd dat GCHQ zijn zinnen had gezet op Belgacom om toegang te krijgen tot het netwerk van BICS. Van daaruit konden ze wereldwijd aanvallen uitvoeren op individuen die gebruik maken van smartphones.

Hieronder een beschrijving van de aanval op Belgacom International Carrier Services (BICS), gebaseerd op nieuwe geheime documenten beschikbaar gesteld via de Amerikaanse website The Intercept en op gesprekken met onderzoekers en betrokkenen. NRC Handelsblad werkte hiervoor samen met The Intercept en de Belgische krant De Standaard.

Het begint in 2009. Dan komen de geheime diensten van de Britten, Canadezen en Amerikanen samen. Dit soort ontmoetingen is gebruikelijk. Sinds de Tweede Wereldoorlog werken de drie diensten plus die van Nieuw-Zeeland en Australië intensief samen als de ‘Five Eyes’, de vijf ogen. Alle vijf hebben ze een dienst die zich toelegt op signals intelligence (‘Sigint’): informatie uit onderschepte telecommunicatie, waaronder complete telefoongesprekken als de kenmerken ervan: wie belt met wie, wanneer en hoe lang.

Dat wordt wel moeilijker; ze stuiten in de hele wereld steeds vaker op versleuteling: data worden gecodeerd voordat ze worden verzonden; zonder de juiste ‘encryptiesleutel’ is onderschept verkeer niet te lezen. Een virtual private network (VPN) is een geEen van de manieren waarop telecombedrijven particuliere data verzenden over deels openbare netwerken verzenden heet Telecombedrijven verhullen hun dataverkeer vaak met een VPN, een zogeheten Virtual Private Network (VPN).

De code van een VPN doorbreken kan in theorie, maar daarvoor heeft de hacker bijzondere computers met veel rekenkracht nodig. Alleen: als de Britten er nou in slagen om de beveiliging (VPN) van BICS te doorbreken, kan de dienst ook gelijk bij de honderden telecomklanten van het bedrijf. Al deze klanten maken voor hun diensten gebruik van de beveiligingsmantel van BICS. Wie daarin komt, heeft toegang tot honderden telecombedrijven. In het jargon van de Britten: „Belgacom legt via VPN links naar mobiele netwerkoperatoren.”

Er is een nog een belangrijk argument om BICS aan te vallen. Van de drie grootste telecomproviders die roaming van telefoonverkeer verzorgen, staat alleen BICS buiten de Verenigde Staten.

De Amerikanen hebben via nationale wetgeving toegang tot de grootste roaming-providers die in de Verenigde Staten staan. Die regelen voornamelijk het Amerikaanse telefoonverkeer. BICS doet een groot deel van de rest van de wereld: Europese Unie, Midden-Oosten en Afrika. Toegang tot BICS is toegang tot de rest van de wereld.

De Britten vertellen tijdens de presentatie dat ze vorderingen hebben gemaakt en klaar zijn voor de eerste stappen om in de aanval te gaan. Deze fase wordt door hen ‘Nocturnal Surge’ genoemd, nachtelijke stormloop. Aan hun Amerikaanse en Canadese collega’s vertellen ze wat ze als eerste gaan doen: het identificeren van ‘interessante’ technische mensen in dienst van telecommunicatiebedrijven zoals Belgacom. Met andere woorden: ze gaan op zoek naar de systeembeheerders van BICS.

Fase 1. Stormloop bij nacht

De voorbereiding begint met Nocturnal Surge. Het is een database waarin ontelbare ip-adressen (identificatienummers) van computers van systeembeheerders staan die wereldwijd werken in een telecommunicatecentrum, of Network Operation Centre (NOC). KPN, Vodafone, Tele2: elke telecomprovider en internetprovider heeft een dergelijk centrum. De ip-adressen zijn van de systeembeheerders: zij staan in voor het onderhoud van de machines waar de telecommunicatie langs loopt.Voor de hackers van GCHQ vormen de NOC’s en de mensen die er werken een gedroomde bron van informatie. Zijn zijn de ‘interessante’ personen waar GCHQ op uit is.

In de presentatie geeft GCHQ een voorbeeld van de mogelijkheden door de ip-adressen te tonen die bij een telecombedrijf in Iran horen dat door GCHQ gehackt is.

Via een ingewikkelde methode is de database van ip-adressen opgebouwd. Daarvoor bespioneerde GCHQ volgens de presentatie het verkeer tussen computers en routers van over de hele wereld.

Routers verbinden computernetwerken met elkaar door te bepalen welke gegevens mogen passeren en wat op het netwerk wordt tegengehouden. Ze dienen bijvoorbeeld om een bedrijfsnetwerk met het internet te verbinden. Je kunt de routers in een telecomnetwerk vergelijken met de telefooncentrales van tientallen jaren geleden, waar een operator mensen met elkaar in verbinding bracht door draden in het schakelbord te verplaatsen.

Belgacom gebruikt routers om zijn internationale communicatieverkeer te regelen. De machines moeten een enorme stroom aan data kunnen beheersen.

‘Op routers draaien verschillende diensten die helpen om de ip-nummers van een Network Operation Centre te bepalen’, schrijft GCHQ.

Dat komt doordat de beheerders van het netwerk de regels opstellen waarmee hun routers werken. Die regels bepalen wie met wie kan praten. Omdat routers cruciaal zijn in de beveiliging van elk netwerk, is de configuratie van de machines een strikt bedrijfsgeheim. Wie de configuratie kan veranderen, morrelt namelijk aan de toegang tot een communicatienetwerk. ‘De toegang tot de diensten op routers is afgesloten door Access Control Lists’, staat in het GCHQ-document.

GCHQ slaagde er echter in de configuratiebestanden van duizenden routers te onderscheppen en te analyseren. Met ander woorden: GCHQ was in staat om te achterhalen wie toegang heeft tot de routers en kwam zo te weten wie belangrijk is voor het netwerkbeheer. Die gegevens kwamen in Nocturnal Surge terecht. En zo wist GCHQ wie belangrijk genoeg was om gehackt te worden.

Pentaho

Nocturnal Surge was een eerste stap, maar de spionnen van GCHQ vonden het systeem nog niet sluitend genoeg. Daarom trokken analysten van de GCHQ in het voorjaar van 2011 naar hun collega’s bij de Canadese geheime dienst CSEC voor overleg. ‘Software-ontwikkelaars van GCHQ en van CSEC gingen na of ze Nocturlan Surge konden invoegen in Pentaho’, staat in het document.

Het Canadese programma Pentaho is vergelijkbaar met Nocturnal Surge. Het bevat ook de identificatiegegevens van interessante IT’ers. Er is één belangrijk verschil. De Canadezen hebben hun informatie opgedeeld per land. De database van de Britten is opgedeeld naar de verschillende telecombedrijven. Bij het combineren van de twee databases ontstond nog meer waardevolle informatie.

Fase 2. Hyperion & 5-Alive. Doelwitten uitzuiveren via metadata

Nu hebben de geheime diensten een uitgebreide database met daarin meer gegevens dan ooit tevoren, maar toch zijn er problemen. De spionnen van GCHQ beklagen zich: ‘We krijgen niet altijd volledige configuratiebestanden (van routers, red.).’ Daardoor is het soms moeilijk om de doelwitten precies uit te zuiveren.

Om dat te ondervangen, verfijnen ze hun techniek verder door de data te verrijken met metadata. Metadata zijn alle gegevens die persoonlijke communicatie blootleggen zonder iets te verklappen over de inhoud zelf. In een telefoongesprek bijvoorbeeld zijn metadata de telefoonnummers, de plaats waar de bellers zich bevinden, de duur van het gesprek, welk toestel ze gebruiken, enzovoort. Bij mails kunnen het de ip-adressen zijn van de computers die worden gebruikt, het tijdstip van verzending, de mailadressen en het onderwerp.

Zowel GCHQ als de Canadese CSEC heeft een database met metadata over apparaten die op het internet zijn aangesloten. Die gegevens halen ze voor een deel uit cookies van de internetbedrijven Yahoo en Google.

GCHQ maakte gebruik van zijn database 5-Alive, de Canadese CSEC van hun ‘Hyperion’. De toevoeging van die gegevens aan Nocturnal Surge, leidt ertoe dat ze meer precies kunnen bepalen wie de interessante IT’ers bij Belgacom zijn.

Fase 3. Hacienda. Zoek de poort

Een laatste horde die GCHQ moet nemen voordat ze de aanval op medewerkers van Belgacom plaatsen, is bepalen welke toestellen van de interessante IT’ers kwetsbaar zijn voor een specifieke aanval van de geheime dienst.

GCHQ gaat daarom op zoek naar pc’s die communiceren via een welbepaalde weg of ‘poort’ in hun systeem. Een voorbeeld: wanneer iemand een website bezoekt, passeert dat verkeer via een specifiek genummerde poort in de configuratie van de computer. Pc en site communiceren met elkaar in computertaal, dikwijls is dat HTTP. HTTP-communicatie loopt gewoonlijk langs dezelfde poorten in computers.

Maar poorten zijn de achilleshiel van een netwerk. Zo komen hackers vaak een netwerk binnen. Geheime diensten gebruiken die kwetsbaarheid ook.

Het programma dat GCHQ gebruikt om zwakke poorten te zoeken, heet ‘Hacienda’. GCHQ zoekt specifiek naar personen die poort 23 gebruiken. Drie systeembeheerders van Belgacom voldoen aan die voorwaarde. Gecombineerd met andere gegevens die de geheime dienst over hen verzamelde, selecteren zij zich als waardevol doelwit. Via hen hoopt GCHQ in BICS te komen.

Eind 2010/begin 2011

Na een ruime voorbereiding is GCHQ klaar voor de hack. De gegevens over de doelwitten zijn samengebracht. De systeembeheerders zijn zorgvuldig geselecteerd en GCHQ gaat over tot de aanval.

De geheime dienst valt direct de werkcomputers van drie medewerkers aan. Zij weten van niets. De Britten weten inmiddels alles van ze: wanneer ze online zijn, welke internetbrowser ze gebruiken, wat hun LinkedIn-naam is, wat hun Google-gegevens zijn en waar ze contact maken met het netwerk van Belgacom.

De Britten doen dit niet op eigen houtje. Ze maken gebruik van een Amerikaanse techniek (Quantum Insert), ontwikkeld door een speciale afdeling van de NSA, om computers te hacken. Als iemand online gaat, wordt zijn internetverkeer vliegensvlug omgeleid naar een netwerkcomputer (of server) die de Amerikaanse geheime dienst stiekem controleert.

Doordat die server er tussen zit, kan de NSA de internetgebruiker verder doorsturen naar een eigen kwaadaardige netwerkcomputer. Deze server imiteert een vertrouwde site, maar installeert eigenlijk malware op een pc.

Om BICS te hacken, maken de Britten gebruik van een valse LinkedIn-pagina. Als medewerkers van BICS de sociale profielensite bezoeken, komen ze via de Amerikaanse omleiding terecht op een uitstekend gemaakte vervalsing die hun computer vervolgens injecteert met een geavanceerd virus. Drie systeembeheerders zijn op die manier in de val gelokt, laat een presentatie van GCHQ zien. Op een slide die een ‘realtime’ beeld geeft van Quantum Insert, staan hun namen en computergegevens. Op een presentatie gedateerd juni 2011 meldt GCHQ dat de operatie “succesvol” is.

Vanaf dat moment volgt een virus hun doen en laten en infiltreert het steeds dieper in het netwerk – totdat het de kern van de BICS-infrastructuur bereikt. Het zaadje is geplant en luistert naar de naam Regin.

Regin is één van de meest geavanceerde virussen ooit ontworpen. Het is zogeheten ‘modulaire’ malware: het blijft zich ontwikkelen en past zich telkens aan de omgeving aan. De aanval is geslaagd. GCHQ heeft zich in de kern van Belgacom genesteld. Het zou zeker twee jaar duren voordat de hack ontdekt wordt.

Lees ook in NRC Handelsblad: De Britten hadden de sleutel (€)

De documenten: