belgacom-hack

Half september 2013 raakt bekend dat Belgacom het doelwit is van een grootschalige spionage-operatie door “een buitenlandse mogendheid”. Het gaat om “hyperprofessionele malware die handenvol geld gekost moet hebben om te ontwikkelen.” Doelwit van die aanval is Bics, een dochterbedrijf van Belgacom dat wereldwijd hardware levert waarlangs internetverkeer, telefoons, sms’en en mobiele data van telecombedrijven en overheidsinstellingen loopt. De handtekening van de malware en de plaats waar de sporen heen leiden, doet sterke vermoedens rijzen dat de NSA achter de hack zit. Maar volgens slides die het Duitse weekblad Der Spiegel uitbracht, is de Britse geheime dienst GCHQ verantwoordelijk voor de hacking. Allicht is dat gebeurd in nauwe samenwerking met de NSA. Codenaam van de acties is Operatie Socialist, Belgacom zelf krijgt de codenaam Merion Zeta mee.

Reactie van de Duitse IT-experte en CCC-woordvoerster Constanze Kurz: “Volgens de Navo-criteria uit het Tallin-handboek kan je die Belgacom-zaak zien als een aanval op de kritische infrastructuur –door een bevriend Navo-land nota bene. Zo’n agressieve aanval is er nog niet geweest. Ze hebben feitelijk de kritische infrastructuur van België overgenomen. Dat is toch ongelooflijk?”

Doel van de hack was de infrastructuur van de provider beter te begrijpen, om vervolgens het internationale dataverkeer te kunnen onderscheppen dat langs de centrale router van Belgacom passeert. Uiteindelijk zouden via die weg ook gerichte aanvallen kunnen worden uitvoeren op specifieke smartphonegebruikers. Uit de slides valt op te maken dat de aanval gericht was op verschillende Belgacom-werknemers met toegang tot belangrijke delen van de infrastructuur. Door hen naar een bepaalde website te lokken, kon malware op hun systemen geïnstalleerd worden.

Gaandeweg werd duidelijk dat de hackers lang niet alleen geïnteresseerd waren in de communicatie in het Midden-Oosten, waar Bics via de Zuid-Afrikaanse minderheidsaandeelhouder MTN een stevige voet aan de grond heeft. Volgens een expert “hebben (ze) een beetje overal zitten rondkijken en gepakt wat ze konden.”

Voor Sophie in ‘t Veld, europarlementslid voor D66 en ondervoorzitter van de LIBE-commissie is “de Belgacomhacking opnieuw een verhaal in de reeks spionage-onthullingen waaruit blijkt dat de geheime diensten op hol zijn geslagen.”

De spyware

Het soort aanval dat op Belgacom werd uitgevoerd staat bekend als een Advanced Persistent Attack. Zo’n aanval wordt doorgaans op maat van het doelwit geschreven. Anders dan bij een virus, dat kan worden opgespoord door te zoeken naar stukjes programmacode, lukt dat bij een APA niet omdat de code voortdurend muteert.

De spyware bij Belgacom bestaat uit een complex systeem van complementaire virussen. Die staan allemaal met mekaar in verbinding. Als er een probleem dreigt of als ze ontdekt worden, kunnen ze mekaar waarschuwen. Eén van de betrokkenen vergelijkt de spyware met een menselijk virus, dat ook voortdurend muteert. Een bepaald onderdeel staat bijvoorbeeld in voor het doorzoeken en stockeren van informatie, terwijl een ander voortdurend op zoek gaat naar open poorten naar het internet om de informatie langs te versturen. Andere stukken code zorgen er dan weer voor dat de firewalls omzeild worden of staan in voor de surveillance. Als iemand de hacking ontdekt of een deel ervan probeert te verwijderen, brengt het virus dat de wacht houdt meteen alle andere op de hoogte.

De gestolen data zelf werden eerst samengedrukt, zodat de gesmokkelde pakketjes kleiner werden. Daarna werden de gegevens nog eens extra versleuteld. Wie die sleutel niet heeft, krijgt alleen maar nietszeggende codetaal wanneer hij een pakket opent.

Een betrokken expert wijst erop dat de zéér performante malware in het zenuwcentrum van de communicatie zat. Alles wat de hoogst geplaatste netwerkbeheerder bij Belgacom kon, kon dit systeem ook. Het had alle sleutels, alle paswoorden en de volledige controle.

bicsC’est quoi, Bics?

“Wie Bics controleert, krijgt de macht over communicatie van een groot deel van de wereld.”

Belgacomdochter Bics (kort voor Belgacom International Carrier Services) is geen naam die veel belletjes doet rinkelen, maar speelt een sleutelrol in het wereldwijd dataverkeer. Bics zorgt voor de hardware waarlangs internetverkeer, telefoons, sms’en en mobiele data lopen van telecombedrijven en overheidsinstellingen. In Afrika en het Midden-Oosten is het de belangrijkste telecomprovider.

Onder de klanten van BICS vinden we onder meer Swift, Electrabel, bpost, Belgocontrol, het controlecentrum van de luchtvaart, het Astrid-netwerk van de Federale Politie, de Navo in Evere, de Europese Commissie en het Parlement, SHAPE, tot zelfs het hoofdkwartier van de Allied Air Command van de Navo in het Duitse Ramstein.

Meer