You are on page 1of 7

Lees hier hoe de Britse geheime dienst GCHQ Belgacom aanviel

Foto ANP/EPA/Julien Warnand


door Huib Modderkolk
De belangrijkste documenten die NRC Handelsblad kon inkijken, dateren van juni 2011
en zijn gebruikt tijdens een meeting van Britse, Amerikaanse, Canadese, NieuwZeelandse en Australische inlichtingendiensten, de zogenaamde Five Eyes. De
documenten gaan alledrie over de aanval op Belgacom en dochterbedrijf Belgacom
International Carrier Services (BICS).
In de eerste Powerpoint vertelt GCHQ gedetailleerd hoe ze door de combinatie van
hun kennis en die van de Canadese geheime dienst een aantal high profile-doelwitten
bij BICS kunnen selecteren. In dat document staan drie concrete namen van
Belgacom-personeelsleden die zijn aangevallen. Twee van hen zijn Belgische
staatsburgers.
LEES OOK
Vandaag in NRC Handelsblad De Britten hadden de sleutel ()
Het tweede document gaat in op een motief voor de aanval: toegang krijgen tot
beveiligde, versleutelde communicatie die verloopt via BICS. Door in te breken bij
BICS, een hoofdader voor internationale communicatie, konden de spionnen
uiteindelijk communicatie meevolgen op lokale telecomnetwerken in Afrika, Europa en
het Midden-Oosten. Dat betekent concreet dat GCHQ priv-communicatie van de
klanten van die lokale telecomnetwerken kon onderscheppen.
De derde Powerpoint verscheen op 20 september 2013 al gedeeltelijk in het Duitse
weekblad Der Spiegel. Daarin wordt bevestigd dat GCHQ zijn zinnen had gezet op
Belgacom om toegang te krijgen tot het netwerk van BICS. Van daaruit konden ze
wereldwijd aanvallen uitvoeren op individuen die gebruik maken van smartphones.

Hieronder een beschrijving van de aanval op Belgacom International Carrier Services


(BICS), gebaseerd op nieuwe geheime documenten beschikbaar gesteld via de
Amerikaanse website The Intercept en op gesprekken met onderzoekers en
betrokkenen. NRC Handelsblad werkte hiervoor samen met The Intercept en de
Belgische krant De Standaard.
Het begint in 2009. Dan komen de geheime diensten van de Britten, Canadezen en
Amerikanen samen. Dit soort ontmoetingen is gebruikelijk. Sinds de Tweede
Wereldoorlog werken de drie diensten plus die van Nieuw-Zeeland en Australi
intensief samen als de Five Eyes, de vijf ogen. Alle vijf hebben ze een dienst die zich
toelegt op signals intelligence (Sigint): informatie uit onderschepte
telecommunicatie, waaronder complete telefoongesprekken als de kenmerken ervan:
wie belt met wie, wanneer en hoe lang.

Dat wordt wel moeilijker; ze stuiten in de hele wereld steeds vaker op versleuteling:
data worden gecodeerd voordat ze worden verzonden; zonder de juiste
encryptiesleutel is onderschept verkeer niet te lezen. Een virtual private network
(VPN) is een geEen van de manieren waarop telecombedrijven particuliere data
verzenden over deels openbare netwerken verzenden heet Telecombedrijven
verhullen hun dataverkeer vaak met een VPN, een zogeheten Virtual Private Network
(VPN).
De code van een VPN doorbreken kan in theorie, maar daarvoor heeft de hacker
bijzondere computers met veel rekenkracht nodig. Alleen: als de Britten er nou in
slagen om de beveiliging (VPN) van BICS te doorbreken, kan de dienst ook gelijk bij
de honderden telecomklanten van het bedrijf. Al deze klanten maken voor hun
diensten gebruik van de beveiligingsmantel van BICS. Wie daarin komt, heeft toegang
tot honderden telecombedrijven. In het jargon van de Britten: Belgacom legt via VPN
links naar mobiele netwerkoperatoren.
Er is een nog een belangrijk argument om BICS aan te vallen. Van de drie grootste
telecomproviders die roaming van telefoonverkeer verzorgen, staat alleen BICS
buiten de Verenigde Staten.
De Amerikanen hebben via nationale wetgeving toegang tot de grootste roamingproviders die in de Verenigde Staten staan. Die regelen voornamelijk het Amerikaanse
telefoonverkeer. BICS doet een groot deel van de rest van de wereld: Europese Unie,
Midden-Oosten en Afrika. Toegang tot BICS is toegang tot de rest van de wereld.

De Britten vertellen tijdens de presentatie dat ze vorderingen hebben gemaakt en


klaar zijn voor de eerste stappen om in de aanval te gaan. Deze fase wordt door hen
Nocturnal Surge genoemd, nachtelijke stormloop. Aan hun Amerikaanse en Canadese
collegas vertellen ze wat ze als eerste gaan doen: het identificeren van interessante
technische mensen in dienst van telecommunicatiebedrijven zoals Belgacom. Met
andere woorden: ze gaan op zoek naar de systeembeheerders van BICS.
FASE 1. STORMLOOP BIJ NACHT
De voorbereiding begint met Nocturnal Surge. Het is een database waarin ontelbare
ip-adressen (identificatienummers) van computers van systeembeheerders staan die
wereldwijd werken in een telecommunicatecentrum, of Network Operation Centre
(NOC). KPN, Vodafone, Tele2: elke telecomprovider en internetprovider heeft een
dergelijk centrum. De ip-adressen zijn van de systeembeheerders: zij staan in voor
het onderhoud van de machines waar de telecommunicatie langs loopt.Voor de hackers
van GCHQ vormen de NOCs en de mensen die er werken een gedroomde bron van
informatie. Zijn zijn de interessante personen waar GCHQ op uit is.
In de presentatie geeft GCHQ een voorbeeld van de mogelijkheden door de ipadressen te tonen die bij een telecombedrijf in Iran horen dat door GCHQ gehackt
is.
Via een ingewikkelde methode is de database van ip-adressen opgebouwd. Daarvoor
bespioneerde GCHQ volgens de presentatie het verkeer tussen computers en routers
van over de hele wereld.
Routers verbinden computernetwerken met elkaar door te bepalen welke gegevens
mogen passeren en wat op het netwerk wordt tegengehouden. Ze dienen bijvoorbeeld
om een bedrijfsnetwerk met het internet te verbinden. Je kunt de routers in een

telecomnetwerk vergelijken met de telefooncentrales van tientallen jaren geleden,


waar een operator mensen met elkaar in verbinding bracht door draden in het
schakelbord te verplaatsen.

Belgacom gebruikt routers om zijn internationale communicatieverkeer te regelen. De


machines moeten een enorme stroom aan data kunnen beheersen.
Op routers draaien verschillende diensten die helpen om de ip-nummers van een
Network Operation Centre te bepalen, schrijft GCHQ.
Dat komt doordat de beheerders van het netwerk de regels opstellen waarmee hun
routers werken. Die regels bepalen wie met wie kan praten. Omdat routers cruciaal
zijn in de beveiliging van elk netwerk, is de configuratie van de machines een strikt
bedrijfsgeheim. Wie de configuratie kan veranderen, morrelt namelijk aan de toegang
tot een communicatienetwerk. De toegang tot de diensten op routers is afgesloten
door Access Control Lists, staat in het GCHQ-document.

GCHQ slaagde er echter in de configuratiebestanden van duizenden routers te


onderscheppen en te analyseren. Met ander woorden: GCHQ was in staat om te
achterhalen wie toegang heeft tot de routers en kwam zo te weten wie belangrijk is
voor het netwerkbeheer. Die gegevens kwamen in Nocturnal Surge terecht. En zo wist
GCHQ wie belangrijk genoeg was om gehackt te worden.
PENTAHO
Nocturnal Surge was een eerste stap, maar de spionnen van GCHQ vonden het
systeem nog niet sluitend genoeg. Daarom trokken analysten van de GCHQ in het
voorjaar van 2011 naar hun collegas bij de Canadese geheime dienst CSEC voor
overleg. Software-ontwikkelaars van GCHQ en van CSEC gingen na of ze Nocturlan
Surge konden invoegen in Pentaho, staat in het document.
Het Canadese programma Pentaho is vergelijkbaar met Nocturnal Surge. Het bevat
ook de identificatiegegevens van interessante ITers. Er is n belangrijk verschil. De
Canadezen hebben hun informatie opgedeeld per land. De database van de Britten is

opgedeeld naar de verschillende telecombedrijven. Bij het combineren van de twee


databases ontstond nog meer waardevolle informatie.
FASE 2. HYPERION & 5-ALIVE. DOELWITTEN UITZUIVEREN VIA
METADATA
Nu hebben de geheime diensten een uitgebreide database met daarin meer gegevens
dan ooit tevoren, maar toch zijn er problemen. De spionnen van GCHQ beklagen zich:
We krijgen niet altijd volledige configuratiebestanden (van routers, red.). Daardoor
is het soms moeilijk om de doelwitten precies uit te zuiveren.
Om dat te ondervangen, verfijnen ze hun techniek verder door de data te verrijken
met metadata. Metadata zijn alle gegevens die persoonlijke communicatie blootleggen
zonder iets te verklappen over de inhoud zelf. In een telefoongesprek bijvoorbeeld
zijn metadata de telefoonnummers, de plaats waar de bellers zich bevinden, de duur
van het gesprek, welk toestel ze gebruiken, enzovoort. Bij mails kunnen het de ipadressen zijn van de computers die worden gebruikt, het tijdstip van verzending, de
mailadressen en het onderwerp.
Zowel GCHQ als de Canadese CSEC heeft een database met metadata over apparaten
die op het internet zijn aangesloten. Die gegevens halen ze voor een deel uit cookies
van de internetbedrijven Yahoo en Google.
GCHQ maakte gebruik van zijn database 5-Alive, de Canadese CSEC van hun
Hyperion. De toevoeging van die gegevens aan Nocturnal Surge, leidt ertoe dat ze
meer precies kunnen bepalen wie de interessante ITers bij Belgacom zijn.

FASE 3. HACIENDA. ZOEK DE POORT


Een laatste horde die GCHQ moet nemen voordat ze de aanval op medewerkers van
Belgacom plaatsen, is bepalen welke toestellen van de interessante ITers kwetsbaar
zijn voor een specifieke aanval van de geheime dienst.
GCHQ gaat daarom op zoek naar pcs die communiceren via een welbepaalde weg of
poort in hun systeem. Een voorbeeld: wanneer iemand een website bezoekt, passeert
dat verkeer via een specifiek genummerde poort in de configuratie van de computer.
Pc en site communiceren met elkaar in computertaal, dikwijls is dat HTTP. HTTPcommunicatie loopt gewoonlijk langs dezelfde poorten in computers.
Maar poorten zijn de achilleshiel van een netwerk. Zo komen hackers vaak een
netwerk binnen. Geheime diensten gebruiken die kwetsbaarheid ook.

Het programma dat GCHQ gebruikt om zwakke poorten te zoeken, heet Hacienda.
GCHQ zoekt specifiek naar personen die poort 23 gebruiken. Drie
systeembeheerders van Belgacom voldoen aan die voorwaarde. Gecombineerd met
andere gegevens die de geheime dienst over hen verzamelde, selecteren zij zich als
waardevol doelwit. Via hen hoopt GCHQ in BICS te komen.
EIND 2010/BEGIN 2011
Na een ruime voorbereiding is GCHQ klaar voor de hack. De gegevens over de
doelwitten zijn samengebracht. De systeembeheerders zijn zorgvuldig geselecteerd
en GCHQ gaat over tot de aanval.
De geheime dienst valt direct de werkcomputers van drie medewerkers aan. Zij weten
van niets. De Britten weten inmiddels alles van ze: wanneer ze online zijn, welke
internetbrowser ze gebruiken, wat hun LinkedIn-naam is, wat hun Google-gegevens
zijn en waar ze contact maken met het netwerk van Belgacom.
De Britten doen dit niet op eigen houtje. Ze maken gebruik van een Amerikaanse
techniek (Quantum Insert), ontwikkeld door een speciale afdeling van de NSA, om
computers te hacken. Als iemand online gaat, wordt zijn internetverkeer vliegensvlug
omgeleid naar een netwerkcomputer (of server) die de Amerikaanse geheime dienst
stiekem controleert.
Doordat die server er tussen zit, kan de NSA de internetgebruiker verder
doorsturen naar een eigen kwaadaardige netwerkcomputer. Deze server imiteert een
vertrouwde site, maar installeert eigenlijk malware op een pc.

Om BICS te hacken, maken de Britten gebruik van een valse LinkedIn-pagina. Als
medewerkers van BICS de sociale profielensite bezoeken, komen ze via de
Amerikaanse omleiding terecht op een uitstekend gemaakte vervalsing die hun
computer vervolgens injecteert met een geavanceerd virus. Drie systeembeheerders
zijn op die manier in de val gelokt, laat een presentatie van GCHQ zien. Op een slide
die een realtime beeld geeft van Quantum Insert, staan hun namen en
computergegevens. Op een presentatie gedateerd juni 2011 meldt GCHQ dat de
operatie succesvol is.
Vanaf dat moment volgt een virus hun doen en laten en infiltreert het steeds dieper
in het netwerk totdat het de kern van de BICS-infrastructuur bereikt. Het zaadje
is geplant en luistert naar de naam Regin.
Regin is n van de meest geavanceerde virussen ooit ontworpen. Het is zogeheten
modulaire malware: het blijft zich ontwikkelen en past zich telkens aan de omgeving

aan. De aanval is geslaagd. GCHQ heeft zich in de kern van Belgacom genesteld. Het
zou zeker twee jaar duren voordat de hack ontdekt wordt.

Lees ook in NRC Handelsblad: De Britten hadden de sleutel ()