Toeval of niet: Israëlische bedrijven zijn ook marktleider in het afhandelen van telefoonfacturaties. Elk telefoongesprek of WhatsAppje moeten telecombedrijven binnen 72 uur bij elkaar in rekening brengen. Het Israëlische MIND CTI en ook Amdocs leveren de software daarvoor. Onder meer KPN, Vodafone, ABN Amro en praktisch alle Amerikaanse telecompartijen gebruiken of gebruikten Amdocs.
Die facturaties zijn een goudmijn voor inlichtingendiensten: er staat wie met wie contact heeft en welke nummers belangrijk zijn. Dat Israël een bijzonder goede inlichtingenpositie heeft, blijkt uit een geruchtmakend boek van Gordon Thomas over de Israëlische Mossad. De onderzoeksjournalist beschrijft daarin dat Israël de telefoon van Monica Lewinksy afluisterde en hoorde hoe zij telefoonseks had met president Bill Clinton. De Israëlische geheime dienst gebruikte vervolgens het onderschepte materiaal om Clinton onder druk te zetten een contraspionageoperatie tegen de Mossad te beëindigen. Onder ede verklaarde Lewinsky later dat Clinton haar had verteld dat een ‘buitenlandse ambassade’ inderdaad meeluisterde met hun intieme conversaties.
De Five Eyes kunnen deze wapens niet meer inzetten. Maar er zijn wel andere mogelijkheden. De Amerikanen willen niet afwachten totdat informatie over het verkeersnetwerk gaat, ze willen bij de bron gaan zitten: in het computernetwerk van een telecombedrijf of van een VN-organisatie. Om daarvoor te zorgen heeft de Amerikaanse NSA een speciale afdeling opgezet die apparaten op afstand kan binnendringen of deze al manipuleert voordat ze bij die organisatie geleverd zijn.
Een interne catalogus van de NSA, gepubliceerd door het Duitse weekblad Der Spiegel, laat zien hoe dat gaat. Computersystemen zijn opgebouwd uit lagen. Routers en firewalls zijn daarin belangrijke schakels: ze sturen de internetstroom de juiste kant op en kijken of er geen indringers zijn. Routers zijn de verkeersleiders in een computernetwerk. Net zoals bij iemand thuis gaat daar het internetverkeer langs en wordt het naar verschillende apparaten gestuurd: een iPad, smartphone of computer. Dat maakt routers een favoriete zwakke plek voor inlichtingendiensten.
De NSA kan onder andere routers van het Amerikaanse Juniper en het Chinese Huawei op afstand binnendringen en ‘een zaadje’ achterlaten. Daardoor heeft de dienst permanente controle over het apparaat. Ook als het apparaat gereset wordt of geüpdatet, blijft de NSA meekijken maar de eigenaar heeft niets door.
Hetzelfde geldt voor firewalls: die staan tussen een intern computernetwerk en het wereldwijde internet. Een soort milieuzone die is afgebakend met kentekencamera’s rondom een stad: de camera’s controleren wie naar binnen mag. De NSA manipuleert firewalls van alle grote merken, soms zelfs al voordat ze zijn geleverd. Speciale werknemers onderscheppen de levering, halen de spullen eruit, plaatsen extra componenten, plakken de doos weer dicht en sturen ze verder. Maar de firewall, die als een soort douane hackers moet controleren en tegenhouden, doet de slagboom juist open wanneer de NSA eraan komt.
De Britten zijn met een eigen plan naar de conferentie gekomen. Ze hebben goed gekeken naar het wereldwijde verkeersnetwerk en gezien waar de kwetsbare plekken zitten: bij telecombedrijven die voor heel veel partijen de communicatie regelen. Bijvoorbeeld Belgacom, en specifieker BICS, het onderdeel van Belgacom dat wereldwijd voor allerlei telecompartijen data verplaatst.
Er is nóg een reden om de aandacht op BICS te richten. Van de drie grootste telecomproviders die wereldwijd roaming van telefoonverkeer verzorgen, staat alleen BICS buiten de Verenigde Staten. Via nationale wetgeving hebben de Amerikanen al toegang tot roaming-providers op hun eigen grondgebied. BICS biedt de Britten, Amerikanen en hun inlichtingenpartners letterlijk toegang tot de rest van de wereld. De andere bondgenoten stemmen in met het Britse plan.
Nu komt de lastigste fase. Hoe kunnen ze ín Belgacom komen? Vanwege het grote belang van Belgacom is het bedrijf goed beveiligd. Alleen met een minutieuze voorbereiding en veel geduld kunnen de Britten en Amerikanen — die het initiatief voor de operatie nemen — hun missie ten uitvoer brengen.
Het begint met een inventarisatie van het slachtoffer. Hoe ziet het netwerk van Belgacom eruit? Waar zitten de zwakke plekken? Daarvoor gebruiken de Britten hun grote aftapnetwerk. Uit de voorbijrazende internetstromen filteren ze standaard de gegevens van systeembeheerders van telecombedrijven. Systeembeheerders beschikken over cruciale informatie over een netwerk. In al die data zoeken de Britten nu naar ip-adressen die bij Belgacom horen. Ze vinden drie geschikte systeembeheerders.
Daarna zoeken ze meer informatie over deze drie personen: bijbehorende e-mailadressen, het besturingsprogramma dat ze gebruiken, bezochte websites en LinkedIn-pagina’s. Cookies — kleine bestandjes die op een computer worden gezet door advertentiebedrijven en die het zoekgedrag bijhouden — tonen het online-gedrag van de drie doelwitten. De Britten slaan dit soort cookies ook op en halen hieruit alle relevante informatie. Het blijken een Venezolaan en twee Belgen te zijn.
De voorbereiding duurt liefst twee jaar, dan weten de Britten alles van de drie: wanneer ze online zijn en met wie ze communiceren. GCHQ kan overgaan tot de aanval. Waar veel hackers een phishing mail sturen in de hoop een ontvanger te verleiden op een bijlage te klikken, werken de geheime diensten geraffineerder. De Britten en Amerikanen bouwen de LinkedIn-pagina’s van hun doelwitten na. Wanneer de Venezolaan en Belgen LinkedIn bezoeken, wordt het internetverkeer ongemerkt en razendsnel omgeleid naar de vervalste versie van de Britse geheime dienst. Die heeft vanaf dat moment toegang tot hun computers en bekijkt zo het netwerk van Belgacom en de BICS-infrastructuur.
Als ze genoeg weten over het netwerk, laten ze hun aanvalswapen los: een virus dat zich door Belgacom heen een weg baant naar BICS. Eenmaal daar zal het opdrachten ontvangen: zoek dit telefoonnummer op en stuur alle informatie naar Groot-Brittannië. Het virus heet Regin en is gemaakt door de Britten en Amerikanen samen. Het is uiterst doeltreffend, geen geheime dienst ter wereld beschikt over een beter aanvalswapen.
In 2011 sluipt de veelkoppige slang BICS binnen en nestelt zich in de kern van het bedrijf. Het zal nog twee jaar duren voor iemand iets vreemds opmerkt.
*
De Belgische premier Elio di Rupo is woest. Hij zit eind augustus 2013 met het hoofd van de militaire veiligheidsdienst, politieonderzoekers en de ministers van Justitie en Overheidsbedrijven bijeen in een crisisoverleg. Hij heeft zojuist te horen gekregen dat een buitenlandse staat het belangrijkste telecombedrijf van België is binnengedrongen.
Hij vindt het een ongekende schending van de integriteit van zijn land. Voor het eerst krijgt België met deze nieuwe dreiging te maken en de premier wil meteen duidelijk maken waar hij staat. België veroordeelt de actie ‘ten strengste’, zegt hij publiekelijk. ‘Indien de betrokkenheid van een ander land bevestigd wordt,’ gromt Di Rupo, ‘zal de regering gepaste maatregelen nemen.’ De oplossing van de infiltratie krijgt de allerhoogste prioriteit. De hoge aanklager die normaal is belast met terrorismezaken, neemt het dossier onder zijn hoede. Dit is een zaak van staatsbelang, vindt Di Rupo.
Onderzoekers turen inmiddels al weken gefascineerd naar de slang in BICS. Ze zien allerlei bewegingen en activiteiten maar kunnen niet achterhalen wat hij nou precies doet. Het lijkt alsof hij signalen geeft aan zijn opdrachtgever. Maar wie is die opdrachtgever? Malware bevat meestal wel enige aanwijzingen van de daders: waar de gestolen bestanden naartoe gaan of sporen van een tijdszone waarin de code is geschreven, een verwijzing naar een land misschien. De onderzoekers vinden niets van dat alles. De bestanden gaan naar gehuurde servers, zoals die voor digitale spellen in India. Vandaar worden de pakketjes weer verder verzonden. Om te weten wie die server huurt, vraagt de Belgische politie informatie op. Maar een antwoord duurt maanden — in sommige gevallen kan het zelfs jaren duren.
Net als Belgacom, FOX-IT en de andere specialisten zich opmaken voor een grote schoonmaak van de systemen, gebeurt er iets vreemds. De slang trekt zich razendsnel terug. Een onderzoeker: ‘Ik denk dat de aanvallers wisten dat we ze ontdekt hadden. Ze hebben op een grote knop met “vernietig” gedrukt.’ In een mum van tijd wist de slang zijn sporen en vernietigt een deel van zichzelf. De onderzoekers zien
het gebeuren maar kunnen het niet tegenhouden. De schoonmaak wordt uitgesteld.
Twee weken later doen honderden Belgacom-medewerkers, informatici van de militaire inlichtingendienst en onderzoekers van politie en justitie voor de tweede keer een poging om de systemen schoon te krijgen. Ze gaan alle plekken langs waar de slang is geweest, herstarten of verwijderen computers, routers en firewalls. Belgacom is na afloop tevreden. Het bedrijf denkt de aanvaller uit het netwerk te hebben geweerd en hoopt deze onzekere periode snel te kunnen afsluiten.
Maar FOX-IT heeft nog sensoren in het bedrijf staan en een paar dagen na de schoonmaak pikken die iets opmerkelijks op: twee datapakketjes die van buiten komen en door het Belgacom-netwerk gaan. Pakketjes die er niet horen. De slang is weer actief. En het verontrustende is dat de Nederlanders zien dat hij langs een cruciale router van het Amerikaanse bedrijf Cisco gaat.
Zo’n Cisco-router voor een groot telecombedrijf kost honderdduizenden euro’s; wie in staat is die te hacken, kan een heel netwerk naar zijn hand zetten. Hoe kan dit? Zijn de routers bij BICS al vóór de aanval besmet of kunnen de Britten en Amerikanen ze hacken? In beide gevallen betekent dat groot nieuws. Belgacom vraagt Cisco om hulp. De experts van het Amerikaanse technologiebedrijf willen echter geen pottenkijkers bij het onderzoek. Dit ligt te gevoelig, de software is topgeheim. FOX-IT moet weg, eisen de Amerikanen.
Belgacom stemt in met het Amerikaanse verzoek. Niet iedereen begrijpt dat. Een onderzoeker: ‘Dan wenst Belgacom dus kennelijk geen onafhankelijk onderzoek.’ Maar anderen snappen de opstelling van Cisco wel. Het Amerikaanse bedrijf kent als enige de werking van de eigen routers en als die geïnfecteerd blijken en dat wordt bekend, heeft Cisco een gigantisch probleem.
De Nederlandse onderzoekers moeten geheimhoudingsverklaringen tekenen en hun spullen inpakken. Ze vertrekken terwijl de slang nog actief is. Het verwondert dan ook als Belgacom meldt dat de systemen schoon zouden zijn. ‘Er zijn geen indicaties van een impact op het telefoonnetwerk van BICS’, staat in een persbericht dat het bedrijf half september uitgeeft.
In de Britse documenten die Ryan en ik dankzij Snowden krijgen, staat zwart op wit dat de Britse dienst GCHQ toegang heeft tot de kern van BICS. ‘We zitten diep in het netwerk,’ schrijven de Britse spionnen. ‘We blijken zeer productief.’ Het doel van de aanval is bereikt; via BICS komen de Britten en Amerikanen bij honderden telecombedrijven terecht.
De verbazing neemt toe als topman Geert Standaert van Belgacom in het Europees Parlement doet alsof er niets aan de hand is. Hij noemt de jarenlange Britse spionage ‘een zuiver intern probleem’ van Belgacom. Ook zegt hij: ‘Belgacom kan geen conclusies trekken over de daders van de recent ontdekte cyberaanval op haar IT-systemen.’ Europarlementariër Sophie in ’t Veld is na afloop stomverbaasd over de opstelling van Belgacom. ‘Het was absurd. Iedereen voelde dat de vertegenwoordigers van Belgacom niet de hele waarheid vertelden,’ zegt ze tegen Belgische media.
Ook de Belgische overheid verandert met een pirouette van standpunt als media de Britse en Amerikaanse documenten publiceren waarin de aanval minutieus staat beschreven. Premier Di Rupo, eerst witheet, is publiekelijk minder stellig. ‘Het zou bijna verbazend zijn dat Brussel, als EU-hoofdstad en zetel van tal van burgerlijke en militaire internationale instellingen, aan cyberspionage zou zijn ontsnapt,’ zegt hij eind november in het Belgische parlement. De Belgische minister van Telecomzaken Alexander De Croo werpt in 2016 zelfs de vraag op of België de Britse spionage niet heeft uitgelokt. ‘Het is goed mogelijk dat de Belgische inlichtingendiensten hebben gezegd: “Alsjeblieft, ga je gang.”’ Naderhand wil De Croo niet toelichten waarom hij dat denkt.
*
Waarom doet Belgacom alsof er niets gebeurd is? En waarom ebt de woede weg bij de Belgische overheid als blijkt dat Britse en Amerikaanse spionnen voor de inbraak verantwoordelijk zijn?
Ik kan er met mijn verstand niet bij, totdat ik met Ryan aan de tweede reconstructie begin. Dat verhaal gaat over het strafrechtelijk onderzoek naar de Britse spionage en hoe het Belgische politieteam vakkundig wordt tegengewerkt. Bij elke stap vooruit moet het team twee stappen achteruit doen. Want telkens als ze denken dichter bij de opdrachtgevers te komen, gaat er een deur dicht.
Ze krijgen bijvoorbeeld de namen, adressen en betaalgegevens van de personen die computerservers in India, Roemenië, Indonesië en Nederland huurden waar de slang z’n gestolen bestanden naartoe stuurde. De personen blijken uit Duitsland en Denemarken te komen. De Belgen vragen de landen vervolgens om meer informatie. In Duitsland blijkt het adres dat bij de daders hoort een theater te zijn. Het spoor loopt dood.
Een volgende kans biedt het uitpluizen van de betaalgegevens. Sommige servers blijken gehuurd te zijn met creditkaarten die verstrekt zijn in Engeland. Maar als de politie die nader bekijkt, blijkt het te gaan om prepaidkaarten die anoniem zijn gekocht. Ook vinden de politieonderzoekers ip-adressen die in Groot-Brittannië uitkomen. Als ze bij het Britse ministerie van Binnenlandse Zaken om meer informatie vragen, is het antwoord resoluut: ‘We hebben besloten deze hulp te weigeren. Het Verenigd Koninkrijk vindt dat dit onze soevereiniteit, veiligheid en publieke orde in het gedrang kan brengen.’
Uit wanhoop wendt het onderzoeksteam zich ook tot Europol. Die organisatie helpt EU-lidstaten om terrorisme en zware misdaad te bestrijden. Bovendien heeft zij een speciale cyberunit, die lidstaten helpt bij ‘de opsporing in reactie op cybercriminaliteit binnen de EU’. Maar Europol wenst niet te helpen, omdat ze ‘geen onderzoek wil doen dat gericht is tegen een andere EU-lidstaat’. Het hoofd van Europol is, toeval of niet, de Brit Rob Wainwright — die eerder bij MI5 werkte.
Zo lopen alle sporen dood. Het onderzoeksteam weet dat de Britse afluisterdienst achter de inbraak zit, maar kan het niet bewijzen. GCHQ gebruikt ‘verhullende infrastructuur en tussenbedrijven’ om z’n aanvallen uit te voeren, lezen Ryan en ik in een geheim document van de Britten. ‘Alle hackactiviteiten,’ schrijft GCHQ, moeten ‘te ontkennen’ zijn. Geen wonder dat de Belgen niet verder komen. Een Belgische politieman vertelt: ‘We vochten tegen het cyberleger van Groot-Brittannië. We wisten dat we niet zouden winnen.’
Zelfs de documenten die Snowden heeft meegenomen en waarin de operatie tot in detail staat beschreven, kan het onderzoeksteam niet gebruiken. Ze willen de echtheid ervan controleren door de NSA-klokkenluider in Moskou te bezoeken. Maar de Belgische aanklager ziet dat niet zitten: het zou de Amerikanen weleens tegen het hoofd kunnen stoten.
Hierin schuilt de verklaring voor het Belgische gedraai: de Belgen hebben de Britten en Amerikanen harder nodig dan andersom. Dat wordt eens te meer duidelijk in de ochtend van 22 maart 2016 bij de aanslag op het Brusselse vliegveld Zaventem en in de Brusselse metro. 35 personen vinden de dood, 270 mensen raken gewond. Een terroristisch netwerk dat België al langer in z’n greep heeft, en óók toeslaat in Parijs, is er verantwoordelijk voor.
België heeft voor het bestrijden van terrorisme de hulp nodig van inlichtingendiensten van grotere landen als Frankrijk, Groot-Brittannië en de Verenigde Staten. Het schakelt de NSA in rond de begrafenis van een van de leden van het terroristennetwerk. Dankzij bulkinterceptie door de Amerikanen komt de leider Salah Abdeslam in beeld. In dit geweld is Belgacom slechts een detail. Een Belgische politieonderzoeker: ‘De Britten en Amerikanen helpen ons in de strijd tegen terrorisme. Het gevoel was dat we dat met het Belgacom-onderzoek niet op het spel mochten zetten.’
Belgacom heeft zijn eigen motieven: het bedrijf wil de relatie met klanten en die met aandeelhouders onderhouden. Een keuze die veel bedrijven maken nadat ze zijn getroffen door spionage. En dus stelt Belgacom publiekelijk dat het allemaal wel meevalt, terwijl er intern stevige maatregelen worden genomen. De besmette infrastructuur wordt vernieuwd, in allerijl worden er ethische hackers gerekruteerd en het bedrijf wordt opgedeeld in aparte netwerken om toekomstige infiltratie te bemoeilijken. Het bedrijf raamt de schade op meer dan 15 miljoen euro. De investeringen om herhaling te voorkomen, kosten nog eens 46 miljoen euro. Belgacom verandert van naam: op de glazen kantoortorens prijkt nu de naam Proximus. Alle herinnering
en aan de Britse spionage zijn weggepoetst.
De Britten kunnen jarenlang de communicatie van in potentie honderden miljoenen aftappen. Niemand kan of wil ze stoppen. De belangen zijn zo groot dat de Belgische overheid accepteert dat de Britten en Amerikanen het belangrijkste telecombedrijf bezitten. Belgacom is zelfs bereid erover te liegen.
Een technisch expert die in de zomer van 2013 de Britse spionage bij Belgacom bekeek, vertelt later dat hij ervan overtuigd is dat de Britten nog steeds in Belgacom zitten. Dat het onmogelijk is de systemen schoon te houden. Dat je een besmette Cisco-router kunt vervangen door een nieuwe, maar dat die nieuwe ook weer kan worden besmet. De expert: ‘Als de Britten en Amerikanen het op je hebben gemunt, ben je kansloos.’
Dát is het verhaal van Belgacom: dat de Britten en Amerikanen zo goed en zo machtig zijn dat ze overal en op elk moment kunnen toeslaan. Regin, de veelkoppige slang die in Belgacom zat, werd naderhand ook gevonden bij een persoonlijk medewerker van de Duitse bondskanselier Angela Merkel. Het beest sloop ook bedrijven in Pakistan, India, Turkije, Iran, Argentinië, Noord-Korea, de Verenigde Arabische Emiraten, Ierland, Zuid-Afrika en Zimbabwe binnen.
Het grote telecombedrijf Belgacom en de nietige, armoedige Somalische herder Omar: allebei waren ze kansloos tegen het digitale geweld dat ze trof. Waar konden ze terecht om hun beklag te doen? Of om hun recht te halen?
Digitalisering verandert de aansprakelijkheid: Omar heeft de moordenaar van zijn twee dochters nooit gezien. Belgacom kent de spionnen niet die hun aanval op het bedrijf openden. Een spion die op heterdaad betrapt wordt, zet je het land uit. Digitale spionnen blijven anoniem. Die kunnen meer risico nemen, langduriger aanvallen, hoeven nauwelijks te vrezen voor vervolging. Ze leggen buiten het eigen land geen verantwoording af en staan zelden in de schijnwerpers. Zij kunnen individuen en bedrijven aanvallen, overrompelen en zelfs doen verkruimelen en ermee wegkomen.
En er is nóg een reden tot zorg: wat de Britten en Amerikanen doen, kunnen andere landen ook. En wel op hun eigen manier.
Het is oorlog maar niemand die het ziet Page 12