Britten gestraft voor hacking Proximus?

De Britse geheime dienst GCHQ leidde de aanval vanuit zijn kantoor in Cheltenham, bijgenaamd The Doughnut. ©BELGA

Zal ons land de Britten diplomatiek straffen voor de ongeziene spionage die ze tot 2013 bij Proximus pleegden? Het spoor naar de geheime dienst GCHQ valt moeilijk te negeren.

Op 30 augustus 2013 voelden de hackers dat ze betrapt waren. In enkele minuten tijd lieten ze de grote spionageoperatie die ze al zeker sinds 2011 bij Belgacom hadden opgezet volledig verdwijnen. Maar vijf jaar later kennen we toch veel details over de aanval. Dat is vooral te danken aan de tientallen geheime documenten die klokkenluider Edward Snowden met de pers deelde over Operation Socialist, de codenaam die de Britse geheime dienst GCHQ aan de hacking gaf. Ook het federaal parket ging ver om de puzzelstukken te leggen.

Een twintigtal 'top secret' slides van het Network Analysis Centre, een afdeling van de Britse GCHQ, die Edward Snowden aan de Amerikaanse website The Intercept lekte, spreken boekdelen. Er staat zelfs een grondplan in van de zaal met de computerspecialisten en hun apparatuur, zoals die moet zijn gebruikt voor de aanval op Belgacom (nu Proximus) en zijn internationale dochterbedrijf BICS, telkens met naam genoemd in de slides.

Alles staat op de slides te lezen. Het doelwit waren de GRX-routers van Belgacom en BICS. Die geven toegang tot de communicatie tussen smartphones die verloopt via roaming, waarbij operatoren klanten van andere operatoren op hun netwerk toelaten. De communicatie werd massaal onderschept via 'Man in the Middle-operaties', waarbij de geheime dienst de communicatie als een 'man in het midden' naar zich liet afleiden. Daarvoor zijn de computers van sleutelpersonen bij Belgacom, die instonden voor het onderhoud en de beveiliging, gehackt. Ze liepen onder meer via valse LinkedIn-boodschappen in de val.

Experts twijfelen er niet aan dat op zeer hoog niveau groen licht is gegeven voor de hacking van Belgacom, mogelijk zelfs door de Britse minister van Buitenlandse Zaken. Op een van de slides prijkt een foto van prins Charles en zijn vrouw Camilla op bezoek bij de GCHQ.

Als de slides niet waren uitgelekt, zou de bewijslast tegen de Britten niet zo groot zijn. De hackers van GCHQ doen er alles aan om geen sporen achterlaten. De dienst moet alles kunnen ontkennen. Dat staat letterlijk in hun uitgelekte slides. De spionagemalware bij Belgacom was dan ook vermomd als software van Microsoft. En de gestolen data werden verpakt onder verschillende lagen van versleuteling, voordat ze werden doorgestuurd. Dat gebeurde tijdens de werkuren om tussen de massa's andere data niet op te vallen.

De data werden in gecomprimeerde pakketjes naar servers in Nederland, Roemenië, India en Indonesië verstuurd. Die waren daar bij privébedrijven gehuurd. In India ging het bijvoorbeeld om een server voor internetspelen. Ons gerecht contacteerde de bedrijven. Hun klanten bleken fictieve personen te zijn, met valse adressen in Duitsland en Denemarken.

Maar iedereen maakt fouten, ook een geheime dienst. Zo kwam het gerecht uit bij een computer in Indonesië. Toen het over dat unieke internetadres vragen stelde, signaleerde een Brits dochterbedrijf van Belgacom dat ook de Britse overheid daarover al vragen had gesteld.

Ook de getraceerde computerservers in andere landen leiden naar de Britten. Sommige bleken gehuurd te zijn met betaalkaarten die in het Verenigd Koninkrijk waren gekocht. Al ging het om anonieme, vooraf betaalde kredietkaarten die niet rechtstreeks aan GCHQ gelinkt kunnen worden.

Maar nog voordat de hackers alles konden vernietigen, hadden de speurders al kopieën genomen van de malware. In de computercodes vonden ze namen als 'Daredevil' en 'Warriorpride'. Dankzij de gelekte Snowden-documenten weten we dat dat de namen zijn van hackingsystemen die de Britse GCHQ en de Amerikaanse partnerdienst NSA gebruiken. Warriorpride is de codenaam die de Britten geven aan de malware Regin. In het verslag van het federaal parket aan minister van Justitie Koen Geens (CD&V) zouden nog meer bewijzen staan die nooit eerder bekend raakten.

GCHQ

GCHQ staat voor Government Communications Headquarters. Het is de Britse inlichtingendienst die uiterst bedreven is in 'signals intelligence', het onderscheppen van data- en communicatieverkeer. Er werken meer dan 6.000 mensen. Die zitten vooral in het hoofdkantoor in Cheltenham, in een gebouw zo groot als het Wembleystadion.

Lees verder

Advertentie
Advertentie

Tijd Connect