De Belgacom Hack – een chronologie

Hoe het begon

  • Juli 2012 – Belgacom merkt problemen met de stabiliteit van enkele servers.
  • Begin 2013 – Een onderzoek van beveiligingspartner Microsoft levert niets op.
  • Juni 2013 – Tijdens een interne veiligheidscontrole door Fox-IT, een Nederlands bedrijf gespecialiseerd in cyberbeveiliging, worden bij Belgacom sporen van een digitale inbraak ontdekt. Na een scan van meer dan 25.000 werkstations en servers wordt er op enkele tientallen computers een onbekend virus aangetroffen. Het lijkt eerst enkel te gaan om een besmetting van het interne informaticanetwerk, meer bepaald van 124 besmette toestellen op een totaal van 26.600. Alleen het interne systeem zou zijn geraakt, niet het mobiele of vaste netwerk voor klanten.
    De hackers blijken echter vooral geïnteresseerd in Belgacom-dochter BICS. Die levert netwerkdiensten aan 700 telecomoperatoren, zodat hun klanten wereldwijd kunnen bellen of mobiel data doorsturen.

Op de hoogte …

  • 19/07/2013 – Belgacom dient een klacht tegen onbekenden in bij het Federaal Parket. Een onderzoek wordt opgestart door de FGP Brussel (Regionale Computer Crime Unit) met ondersteuning van de FCCU (Federal Computer Crime Unit) en de gespecialiseerde technische bijstand van Defensie (ADIV – Algemene Dienst Inlichting en Veiligheid van de krijgsmacht).
  • Eind juli – ADIV brengt het kabinet van minister van Defensie Pieter De Crem (CD&V) op de hoogte.
  • Half augustus wordt Minister van Justitie Annemie Turtelboom (Open VLD) ingelicht over wat er gaande is.
  • Eind augustus licht minister Turtelboom premier Elio Di Rupo (PS) en minister van Overheidsbedrijven Pascal Labille (PS) in.

Een eerste poging …

  • 31/08-01/09/2013 – Fox-IT doet een eerste poging om de spyware te verwijderen, maar slaagt er niet in. Naar verluidt was het risico te groot dat niet alles in één keer kon worden verwijderd. De experts vreesden dat het verwijderen van de malware tot chaos zou leiden.
  • Begin september – Het kernkabinet wordt onder strikte voorwaarden op de hoogte gebracht.
  • 14/09/2013 – De Privacycommissie wordt op de hoogte gebracht en beslist een eigen onderzoek op te starten.

Operatie geslaagd?

  • 14-15/09/2013 – Fox-IT slaagt erin de infrastructuur schoon te maken.

Het nieuws wordt publiek

  • 16/09/2013 – De Standaard maakt bekend dat op de systemen van Belgacom spyware werd aangetroffen. Er wordt onmiddellijk in de richting van de VS en de NSA gekeken.
  • 20/09/2013 – Het Duitse blad Der Spiegel meldt dat de cyberinbraak bij Belgacom het werk is van de GCHQ, de Britse geheime dienst. Dat blijkt uit documenten die klokkenluider Edward Snowden heeft vrijgegeven.
    Der Spiegel: Belgacom Attack: Britain’s GCHQ Hacked Belgian Telecoms Firm

Vrome beloften

  • 20/09/2013 – De FCCU deelt mee dat ze info over de malware in de mate van het mogelijke vrij zal geven “zodat andere instellingen na kunnen gaan of ze zijn besmet.” Dit is een uitzonderlijke stap, die nogmaals wijst op de ernst van de hack en vooral op het risico van andere besmettingen.
  • 20/09/2013 – Premier Elio Di Rupo (PS) kondigt aan dat de regering geld vrij zal maken voor de oprichting van een centrum voor cyberveiligheid. In eerste instantie zou het om 3,7 miljoen euro gaan. Ook het Cyber Emergency Response Team (het nationale meldpunt voor problemen met cyberveiligheid) zou versterkt worden.
  • 24/09/2013 – Staatssecretaris voor Ambtenarenzaken Hendrik Bogaert (CD&V) deelt mee dat er 20 miljoen euro nodig zal zijn, verdeeld over vier jaar, om de strategie rond cyberveiligheid uit te voeren. Bij de maatregelen hoort de aanwerving van een twintigtal experts. Momenteel houden 3,6 voltijds equivalenten zich met cyberveiligheid bezig bij Fedict en 6 bij ‘computer emergency response team’ CERT.be.

LIBE

  • 03/10/2013 – De LIBE Commissie organiseert in het Europees Parlement een hoorzitting over de Belgacom-hacking. Geert Standaert (verantwoordelijke van de Belgacom-netwerken) en Dirk Lybaert (secretaris-generaal van Belgacom) blinken vooral uit in nietszeggende antwoorden. Reacties van de LIBE Commissie na de hoorzitting: meer vragen dan antwoorden.
    Lees hier verder over de LIBE hoorzitting (incl. video)

Vertelt Belgacom alles?

  • 04/10/2013 – De Standaard deelt mee dat Bics niet afraakt van de spionagesoftware op het netwerk. Nochtans communiceert het bedrijf al sinds het nieuws over de spionage bekend raakte, dat alles in orde is. Een dag eerder, tijdens de hoorzitting over de hacking in het Europees Parlement, had Geert Standaert, IT-topman bij Belgacom, dat nog herhaald. Een bron die betrokken is bij het onderzoek, spreekt dat tegen.”‘We vinden elke dag nog nieuwe stukjes besmetting bij Belgacom. Niet zo schokkend als de eerste malware, maar er komt wel telkens iets nieuws aan het licht.”
    De Standaard: Belgacom nog steeds met spionagesoftware besmet
  • 04/10/2013 – Volgens de Nederlandse NOS zou de spionage bij Belgacom niet beperkt gebleven zijn tot het afluisteren van telefoonverkeer in het Midden-Oosten. Ook internationale organisaties in Brussel, waaronder het Europees Parlement, de NAVO en Swift, dat het internationale betalingsverkeer regelt, zouden het doelwit geweest zijn van de afluisterpraktijken van Britse en Amerikaanse inlichtingendiensten.
  • 17/10/2013 – Belgacom geeft toe dat er nog steeds onregelmatigheden zijn op een router bij BICS. Onderzoek wees erop dat er wijzigingen zijn aangebracht in de software van de router, wat gebeurd kan zijn tijdens de recente digitale inbraak. Dit keer werden de bevoegde instanties, het BIPT en de Privacycommissie geïnformeerd en belooft Belgacom hen verder op de hoogte te houden.
  • 04/12/2013 – Volgens De Tijd krijgt Belgacom de hacking niet onder controle. Het was al duidelijk dat de besmetting veel ruimer is gebleken dan eerst werd gedacht. In eerste instantie was sprake van wijzigingen in de software van één router bij BICS. Nu blijkt dat tal van routers waren aangetast. De spyware is zo complex gebleken dat naar verluidt zelfs buitenlandse experts ermee worstelen. Ze zouden volgens insiders “echt op het einde van hun Latijn” zijn. Dat kan betekenen dat de GCHQ, NSA of whoever nog steeds ergens een backdoor hebben. Lees hier en hier de bedenkingen van belsec.

Edward Snowden bevestigt de hack

  • 07/03/2014 – In een schriftelijke reactie (pdf) op vragen van het Europees Parlement bevestigt Edward Snowden dat de NSA wel degelijk achter de Belgacom hacking zit.

Can you confirm cyber-attacks by the NSA or other intelligence agencies on EU institutions, telecommunications providers such as Belgacom and SWIFT, or any other EU-based companies?

Yes. I don’t want to outpace the efforts of journalists, here, but I can confirm that all documents reported thus far are authentic and unmodified, meaning the alleged operations against Belgacom, SWIFT, the EU as an institution, the United Nations, UNICEF, and others based on documents I provided have actually occurred. And I expect similar operations will be revealed in the future that affect many more ordinary citizens.

REGIN

  • 24/11/2014 – De Standaard en The Intercept bevestigen dat de geavanceerde spionagesoftware waarmee Belgacom gehackt werd, van Amerikaans-Britse makelij is. De software wordt geïdentificeerd als REGIN. Beveiligingsbedrijf Symantec noemt REGIN “hoogtechnologische, baanbrekende spionagesoftware die nergens zijn gelijke kent”. De aanval zelf zou uitgevoerd zijn de Britse geheime dienst GCHQ.

Spionagesoftware die gebruikt werd bij Belgacom hack is van Amerikaans-Britse makelij
Lezen op zaterdag (16): Regin special

Meer en meer details

  • 13/12/2014 – De Standaard en The Intercept publiceren meer details over de Belgacom hack. Daaruit blijkt dat bij de digitale aanval op Belgacom de Britse geheime dienst veel meer communicatie kon onderscheppen dan tot nu toe werd aangenomen. De GCHQ raakte in 2011 binnen in het netwerk door drie werknemers te hacken. Daarna kon de GCHQ twee en een half jaar lang ongestoord rondsnuffelen in het netwerk van Belgacom en dochterbedrijf BICS. De geheime dienst kon zo de communicatie onderscheppen van de individuele klanten van Belgacom zelf, van de NAVO en de EU, en van de klanten van honderden internationale telecomproviders.
    De Standaard: Britse geheime dienst bespioneerde jarenlang Belgacom-klanten
    The Intercept: Operation Socialist. The Inside Story of How British Spies Hacked Belgium’s Largest Telco
  • 13/12/2014 – Uit de documenten die De Standaard publiceert, blijkt ook hoe massaal en ingenieus de hacking van Belgacom is geweest. De malware heeft minstens twee jaar ongestoord in de systemen gezeten. De artikels lichten een paar tippen van de sluier van de Belgacom hack op. Maar ze roepen tegelijk weer een paar vragen op.
    Over de communicatie. Gezien de ernst en het massale karakter van de aanval, was de communicatie van Belgacom wel heel minimaal. Waarom is Belgacom in alle officiële communicatie nadrukkelijk mogelijke spionage van klanten van het bedrijf blijven ontkennen? Zelfs tijdens de LIBE hoorzitting in het Europees Parlement bleef Belgacom beweren dat de aanvallers alleen op het interne IT-netwerk zijn gekomen. Terwijl alles op het tegendeel wijst.
    Over de besmette routers. Bij de zoektocht naar het virus van GCHQ stuitten de onderzoekers bij Belgacom op besmette routers van het Amerikaanse bedrijf Cisco. Wie op de apparaten kan inbreken, kan de werking van een communicatienetwerk naar zijn hand zetten. Maar waarom laat Belgacom de routers door Cisco zelf en niet door een onafhankelijke firma onderzoeken? Zoiets is not done, volgens beveiligingsonderzoekers. Het toont dat je eigenlijk geen onafhankelijk onderzoek wil.
  • 13/12/2014 – Ook over het succes van de grote opschoonoperatie bij Belgacom blijft De Standaard zich vragen stellen. Belgacom heeft altijd gecommuniceerd dat de schoonmaak helemaal was geslaagd. Maar sommige personen die aanwezig waren bij de schoonmaak blijven overtuigd dat de GCHQ-malware heel hardnekkig is en nog steeds in het systeem zit.