Dinsdag 12/11/2019

Uit het archief

Zo komen de Britten weg met de gigantische Belgacom-hack

Beeld RV

Het federaal parket bezorgde minister van Justitie Koen Geens (CD&V) een vertrouwelijk verslag over de Belgacom-hack die eind 2013 aan het licht kwam. Daarin staan nieuwe aanwijzingen dat de Britse geheime dienst GCHQ schuilging achter de operatie. Eerder kon u hier al lezen hoe die zaak wellicht geseponeerd zal worden:

***

De smoking gun voor de hack van telecomgigant Belgacom werd gevonden bij de Britse geheime dienst. Er zou hard worden ingegrepen. Maar er gebeurt niets. Waarom komen de Britten weg met spionage?

Augustus 2013 krijgt de toenmalige premier Elio di Rupo (PS) bezoek. Het hoofd van de militaire veiligheidsdienst komt langs, evenals gespecialiseerde politie-onderzoekers en de ministers van Justitie en Overheidsbedrijven. Ze hebben slecht nieuws: het is een buitenlandse staat gelukt om het belangrijkste telecombedrijf van België binnen te dringen. Met uiterst geavanceerde middelen zijn ze ongemerkt Belgacom binnengeslopen.

Di Rupo is woest. Het is een ongekende schending van de integriteit van zijn land, vindt hij. Voor het eerst krijgt België met deze nieuwe dreiging te maken en de premier wil meteen duidelijk maken waar hij staat. België zal dit "ten strengste" veroordelen zegt hij later publiekelijk. Het land zal "gepaste maatregelen" nemen tegen diegenen die hiervoor verantwoordelijk zijn. De hoge aanklager die normaal belast is met terrorismezaken neemt het dossier onder zijn hoede. Dit is een zaak van de staat.

Al snel is duidelijk dat de Britten achter de inbraak en jarenlange spionage in het hart van België zitten. Maar nu na 4,5 jaar het onderzoek van de federale politie eindelijk af is, zal er niets gebeuren. Geen verhoren of arrestaties. De zaak wordt geseponeerd.

Vijf personen die vanaf het begin betrokken zijn geweest bij het onderzoek of die daar kennis van hebben vertellen hoe dat kan. Het schandaal illustreert treffend waarom het de laatste jaren in meerdere westerse landen zo vaak gaat over Russische, Iraanse en Noord-Koreaanse hackers en zo weinig over de Britten en Amerikanen. Het laat zien dat westerse landen elkaar liever de hand boven het hoofd houden en ook hoe ingenieus Britse spionnen te werk gaan. Die bleken voor België en het politieteam veel te machtig. 

Buitenlandse invasie

Uit allerlei richtingen snellen onderzoekers op juli 2013 naar de twee glazen torens aan de Koning Albert II-laan in Brussel. Het zijn specialisten van de federale politie, de Federale Cyber Crime Unit, de militaire inlichtingendienst en de Staatsveiligheid. Er is iets aan de hand bij Belgacom en dat betekent paniek.

De gealarmeerde onderzoekers denken dat ze voor een 'klein hackincident' komen, maar zien meteen dat er iets serieus mis is. Een mailserver hapert en bij vervolgonderzoek wordt bijzondere software aangetroffen. Een Belgische onderzoeker: "Wij zagen meteen dat dit een staat moest zijn. Het was zó ingenieus allemaal."

De onderzoekers speuren alle systemen na en bekijken waar de software zich bevindt. Al snel leidt het spoor naar BICS. Het is een zeer winstgevend onderdeel van het telecombedrijf. Het regelt de roamingservices voor honderden telecombedrijven in de wereld. Via BICS is het mogelijk om heimelijk locaties van bepaalde telefoonnummers te achterhalen, bijvoorbeeld voor militaire doelen, of het sms-verkeer van potentieel honderden miljoenen mensen in te zien.

Juristen van Belgacom willen niet dat de politie BICS gaat onderzoeken. Op zichzelf niet verwonderlijk: bedrijven zijn vaak huiverig om mensen van buiten naar hun systemen te laten kijken. De juristen vrezen ook netwerkproblemen als de politie de systemen gaat onderzoeken. Het leidt tot een conflict met technische collega's van Belgacom die wél willen weten waar de aanvallers zich verschanst hebben en met de politie, die zorgvuldig onderzoek wil doen. Na verschillende gesprekken geven de juristen het op.

Na de ontdekking is het een klus van jewelste om te bepalen waar de malware allemaal zit. Belgacom heeft 26.000 IT-systemen. Bovendien is de malware ingenieus. Hij kan zichzelf op offline-computers installeren om pakketjes over te brengen als zo'n computer weer aangaat. Verder kan de malware onder meer screenshots maken, wachtwoorden kopiëren en gewiste onderdelen herstellen.

Het team probeert te achterhalen waar de aanvallers op uit zijn geweest. Ze zien dat de malware heimelijk bestanden verzamelt van het bedrijfsnetwerk van BICS, die versleutelt en verpakt als zip-bestandjes. Om geen argwaan te wekken worden die gestolen bestandjes tijdens kantooruren in kleine pakketjes naar buiten gestuurd. Zo vallen ze niet op in de grote datastromen die dagelijks van en naar Belgacom gaan. De bestanden zijn goed beschermd met diverse lagen versleuteling – de onderzoekers kunnen er met geen mogelijkheid in.

Malware opeens weg

Ze zien ook dat de software van de aanvallers in beweging is. Het virus lijkt nog steeds met de aanvallers te communiceren. Maar op 30 augustus is een deel van de malware opeens weg. Een onderzoeker: "Ik denk dat de aanvallers wisten dat we ze ontdekt hadden. Ze hebben op een grote knop met 'vernietig' gedrukt." De onderzoekers zien het gebeuren maar kunnen niets doen.

Midden september lekt de hack van Belgacom uit. Onderzoekers vertellen in diverse media dat ze aan de Britten denken. Een paar dagen later publiceert het Duitse weekblad Der Spiegel een set geheime documenten die door NSA-klokkenluider Edward Snowden zijn meegenomen.

Het is een goudmijn voor het onderzoeksteam: er staat zwart op wit dat de Britse geheime dienst GCHQ de aanval heeft uitgevoerd. Er is gedetailleerd beschreven welke drie werknemers van Belgacom aangevallen zijn om binnen te komen. Er staat ook in dat BICS inderdaad het doelwit van de spionnen is. De geheime operatie, door de Britten 'Socialist' genoemd, is blijkens de documenten een 'succes'. 

Alsof de politie bij een verdachte van een moord een nauwkeurig plan in zijn huis treft met alle voorbereidingen, de beschrijvingen van het slachtoffer en het moordwapen: het staat er allemaal in en het onderzoeksteam hoeft het alleen nog maar te verifiëren.

Ze volgen het digitale spoor en zien dat de bestandjes vanuit Belgacom naar verschillende servers over de wereld gaan, die in handen zijn van de aanvallers. Uiteindelijk hebben de speurders iets in handen: namen, adressen en betaalgegevens van diegenen die de servers huurden. Die informatie moet ze naar de daders brengen.

De personen blijken uit Duitsland en Denemarken te komen. De Belgen vragen die landen om meer informatie, maar dan loopt het spoor dood. In Duitsland blijkt het adres dat aan de dader toebehoort een theatergebouw te zijn. Het wordt duidelijk dat de informatie vals is. De verdachten bestaan niet. Een bron rond het onderzoeksteam: "Het zijn spionnen, die creëren rookgordijnen."

Warriorpride en daredevil

Toch staan de onderzoekers niet helemaal met lege handen. Sommige servers blijken gehuurd te zijn met creditkaarten die verstrekt zijn in Engeland: anonieme, prepaid-creditkaarten.

En er zijn nog meer sporen die naar de Britten leiden. Onderzoekers zien de codenamen warriorpride en daredevil in de malware. Warriorpride is de Britse benaming van de malware die Regin heet. 

Alles wijst dus naar de Britten. Het technisch bewijs is er, de plannen zijn nauwkeurig beschreven en de onderzoekers kennen geen twijfel. Maar het zal niet genoeg blijken. Een bron: "We weten dat de Britse GCHQ erachter zit, en toch zullen we die dienst nooit voor het gerecht kunnen slepen."

Bondgenoten buiten schot

Hoe dat komt is tekenend voor de omgang met digitale spionage in het Westen: bedrijven bagatelliseren de schade en staten spreken niet over de acties van bondgenoten.

In oktober 2013 zegt topman Geert Standaert van Belgacom in het Europees Parlement: "Belgacom kan geen conclusies trekken over de daders van de recent ontdekte cyberaanval op zijn IT-systemen." Europarlementariër Sophie in 't Veld is na afloop stomverbaasd over de opstelling van Belgacom. "Het was absurd. Iedereen voelde dat de vertegenwoordigers van Belgacom niet de hele waarheid vertelden. Volgens hen was de hacking een zuiver intern probleem, maar toch was de capaciteit ervan enorm. Hoe valt dat te rijmen?"

Een jaar na de spionage zegt hoofd informatiebeheer Fabrice Clément tegen het Belgische magazine MO dat hij "geen idee" heeft wie er achter de aanval zat. En dat de malware enkel een paar interne computersystemen had geïnfecteerd.

Voor bedrijven is damagecontrol het belangrijkst na een hack. De eerste respons: zeggen dat het meevalt. Maar Belgacom neemt na de hack intern wel stevige maatregelen. De besmette infrastructuur wordt vernieuwd, de netwerken worden verbeterd, ethische hackers worden aangenomen en het bedrijf wordt beter opgedeeld in aparte netwerken om toekomstige infiltratie te bemoeilijken. De schade raamt het bedrijf in eerste instantie op meer dan 15 miljoen euro; de investeringen kosten 46 miljoen euro. 

Ruilhandel

Oud-premier Di Rupo, nog witheet toen de hack bekend werd, wil er nu na herhaaldelijke verzoeken niet op reageren. 

Vanaf het moment dat bekend wordt dat de infiltratie niet uit Rusland of Iran komt – klassieke westerse vijanden – maar van een bevriende Europese partner, is België ogenschijnlijk minder daadkrachtig. Belgische politici spreken er in het openbaar nauwelijks nog over. Minister van Telecom Alexander de Croo (Open Vld) werpt in 2016 op een conferentie in Zwitserland zelfs de vraag op of België toestemming heeft gegeven voor de Britse spionage. De Croo wil niet reageren op vragen over zijn opmerkingen.

De Belgische opstelling is verklaarbaar: hard optreden tegen de Britten en de Amerikanen betekent de relatie met machtige inlichtingenpartners op het spel zetten. En dat is niet zonder gevaar. Onder geheime diensten geldt: hoe beter de relatie, hoe beter de inlichtingen. 

Opvallend is dat al snel nadat de hack bekend is geworden, gewezen wordt naar het mogelijke doel van de spionage: mobiele telefoonbedrijven in Afrika en het Midden-Oosten. Dat komt politiek niet slecht uit. Het is minder beschamend voor de Belgen, en tevens voor de Britten. Zeker in tijden van terrorisme lijkt het prima te verkopen als doelwit.

Europol zegt nee

Het lijkt erop dat de Belgen en Britten via diplomatiek overleg de plooien al snel gladstrijken.

In de maanden na het incident hebben Belgische en Britse diplomaten een aantal afspraken. In oktober is er zelfs een tweedaagse 'België-Groot-Brittannië-conferentie' in het Lancester House in Londen, waarbij de ministers van Buitenlandse Zaken aanwezig zijn. Vlak daarna heeft de Britse ambassadeur in België een ontmoeting met de hoge aanklager Johan Delmulle. Hij is verantwoordelijk voor terrorismezaken en ziet toe op het Belgacom-onderzoek. Wat in dit gesprek besproken is, is niet bekend. Het Belgisch federaal parket wil er niets over zeggen. 

Het onderzoeksteam weet niets van de afspraken van Belgische diplomaten of inlichtingendiensten. Wel kennen de onderzoekers de gevoeligheden. Er wordt gegrapt over het uitvaardigen van een arrestatiebevel als de baas van GCHQ het land bezoekt.

Het team komt al snel alleen te staan. De onderzoekers vragen eind 2013 Europol om hulp. Maar Europol wenst niet te helpen, omdat het "geen onderzoek wil doen dat gericht is tegen een andere EU-lidstaat", zo zeggen twee bronnen. Bij de Belgen veroorzaakt de afwijzing enige frustratie en ze kunnen het niet nalaten te wijzen op de nationaliteit van het hoofd van Europol. Dat is Rob Wainwright, een Brit.

Ook ziet het onderzoeksteam dat de maatschappelijke opwinding over de hack snel wegebt en zorgen over terrorisme juist groeien. In de jaren daarna zal België verrast worden door een omvangrijke terroristencel in eigen land, die onder andere de aanslagen in Parijs in 2015 en Brussel in 2016 pleegt. Zoals een bron bij het onderzoek zegt: "Uiteindelijk zijn mensen banger voor terrorisme dan voor spionage." Het is een mogelijke verklaring voor de afnemende politieke interesse voor Belgacom.

Dat de relatie met de Britten, en in hun kielzog de Amerikanen, expliciet een rol speelt, wordt duidelijk als het onderzoeksteam in 2015 overweegt om naar Moskou te gaan om Snowden op te zoeken.

Maar de aanklager ziet dat niet zitten. Hij is bang voor de relatie met de Britten en de Amerikanen. Een bron zegt: "Die landen helpen ons in de strijd tegen terrorisme. Het gevoel was dat we dat niet op het spel mochten zetten."

Zo eindigt het onderzoek naar het grootste digitale spionageschandaal in een sof: geen aanklachten, geen vervolgingen, geen openlijke diplomatieke terechtwijzingen. Het is een merkwaardig gegeven in een tijd dat Russische spionage terugkerende opwinding, verwijten en diplomatieke tegenmaatregelen veroorzaakt. Voor het onderzoeksteam is het een ingecalculeerd verlies: "De tegenstander was domweg te machtig."

Minister van Justitie Koen Geens (CD&V) wil geen commentaar geven zolang het 'gerechtelijk onderzoek' loopt, dat geldt ook voor de Belgische veiligheidsdiensten. 

Deze publicatie is een samenwerking tussen het Nederlandse dagblad de Volkskrant en de Amerikaanse website The Intercept. 

Meer over

Wilt u belangrijke informatie delen met De Morgen?

Tip hier onze journalisten


Op alle verhalen van De Morgen rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234