Waarom kwam de Britse geheime dienst zo makkelijk weg met het hacken van Belgacom?

Een schandaal dat laat zien hoe Westerse landen elkaar de hand boven het hoofd houden

De smoking gun voor de hack van telecomgigant Belgacom werd gevonden bij de Britse geheime dienst. Er zou hard worden ingegrepen. Maar er gebeurt niets. Waarom komen de Britten weg met spionage?

Het schandaal illustreert treffend waarom het de laatste jaren in meerdere Westerse landen zo vaak gaat over Russische, Iraanse en Noord-Koreaanse hackers en zo weinig over de Britten en Amerikanen. Foto Nelson Goncalves

Augustus 2013 krijgt de Belgische premier Elio di Rupo bezoek. Het is een zware delegatie. Het hoofd van de militaire veiligheidsdienst komt langs, evenals gespecialiseerde politie-onderzoekers en de ministers van Justitie en Overheidsbedrijven. Ze hebben slecht nieuws: het is een buitenlandse staat gelukt om het belangrijkste telecombedrijf van België binnen te dringen. Met uiterst geavanceerde middelen zijn ze ongemerkt Belgacom binnengeslopen, een Belgisch kroonjuweel. Het regelt wereldwijd de mobiele datastromen van honderden telecombedrijven.

Di Rupo is woest. Het is een ongekende schending van de integriteit van zijn land, vindt hij. Voor het eerst krijgt België met deze nieuwe dreiging te maken en de premier wil meteen duidelijk maken waar hij staat. België zal dit 'ten strengste' veroordelen zegt hij later publiekelijk. Het land zal 'gepaste maatregelen' nemen tegen diegenen die hiervoor verantwoordelijk zijn. Denk aan lange gevangenisstraffen. De infiltratie krijgt de allerhoogste prioriteit. De hoge aanklager die normaal belast is met terrorismezaken neemt het dossier onder zijn hoede. Dit is een zaak van de staat.

Al snel is duidelijk dat de Britten achter de inbraak en jarenlange spionage in het hart van België zitten. Maar nu na 4,5 jaar het onderzoek van de federale politie eindelijk af is zal er niets gebeuren. Geen verhoren of arrestaties. In weerwil van de woorden van Di Rupo en ondanks een overdaad aan bewijs zal de aanklager de zaak seponeren, vertellen personen met kennis van de materie aan de Amerikaanse website The Intercept en de Volkskrant.

Vijf personen die vanaf het begin betrokken zijn geweest bij het onderzoek of die daar kennis van hebben vertellen hoe dat kan. Zij spreken op voorwaarde van anonimiteit, want de zaak ligt nog steeds bijzonder gevoelig in België. Belgacom is een trauma voor België, maar de zaak staat voor meer.

Het schandaal illustreert treffend waarom het de laatste jaren in meerdere Westerse landen zo vaak gaat over Russische, Iraanse en Noord-Koreaanse hackers en zo weinig over de Britten en Amerikanen. Het laat zien dat Westerse landen elkaar liever de hand boven het hoofd houden en ook hoe ingenieus Britse spionnen te werk gaan. Die bleken voor België en het politieteam veel te machtig. Zoals een van de onderzoekers het verwoordt: 'We wilden als klein land laten zien dat er niet met ons te sollen valt, maar we vochten tegen het cyberleger van Groot-Brittannië. We wisten dat we dat niet zouden winnen.'

Lees ook:

Europol heeft eind 2013 geweigerd om België te helpen met het onderzoek naar de Britse spionage bij telecombedrijf Belgacom. Lees hier het nieuwsbericht

Buitenlandse invasie

Uit allerlei richtingen snellen onderzoekers op juli 2013 naar de twee glazen torens aan de Koning Albert II-laan in Brussel. Het zijn specialisten van de federale politie, de Federale Cyber Crime Unit, de militaire inlichtingendienst en de Staatsveiligheid. Er is iets aan de hand bij Belgacom en dat betekent paniek.

Belgacom is de nationale telecomprovider van België en heeft over de hele wereld klanten. Het bedrijf regelt het telefoon- en dataverkeer voor 700 bedrijven, waaronder maar liefst 400 mobiele 'operators', zoals KPN en T-Mobile. De gealarmeerde onderzoekers denken dat ze voor een 'klein hackincident' komen, maar zien meteen dat er iets serieus mis is. Een mailserver hapert en bij vervolgonderzoek wordt bijzondere software aangetroffen. Zo bijzonder dat experts meteen aan een buitenlandse staat denken. Frank Groenewegen, onderzoeker van het Nederlandse Fox-IT dat in de zomer ook in Brussel onderzoek doet, zegt over de aangetroffen malware: 'Dit was veruit het beste wat ik ooit had gezien.' Een Belgische onderzoeker: 'Wij zagen meteen dat dit een staat moest zijn. Het was zó ingenieus allemaal.'

De Belgische politie is naar Belgacom gekomen met een klein team, onder wie enkele specialisten van de Federale Cyber Crime Unit. Het is een eenheid die sinds 2001 bestaat. Dit is hun eerste grote klus en de specialisten willen zich bewijzen. Een van hen: 'Het was de eerste keer dat België door een vijandige staat digitaal werd getroffen.' Een ander: 'We waren hier eigenlijk niet op voorbereid.'

De onderzoekers speuren alle systemen na en bekijken waar de software zich bevindt. Al snel leidt het spoor naar BICS. Het is een zeer winstgevend onderdeel van het telecombedrijf. Het regelt de roamingservices voor honderden telecombedrijven in de wereld. Als iemand in het buitenland belt gaat de verbinding via een andere provider dan in het eigen land. BICS regelt dit soort verbindingen. Wie toegang tot BICS weet te krijgen, krijgt op die manier toegang tot 400 mobiele telefoonbedrijven uit Europa, het Midden-Oosten en Afrika en ook van de grote organisaties in Brussel, van de Europese Unie tot de NAVO. Via BICS is het mogelijk om heimelijk locaties van bepaalde telefoonnummers te achterhalen, bijvoorbeeld voor militaire doelen, of het sms-verkeer van potentieel honderden miljoenen mensen in te zien.

Dan volgt de eerste discussie. Juristen van Belgacom willen niet dat de politie BICS gaat onderzoeken. Op zichzelf niet verwonderlijk: bedrijven zijn vaak huiverig om mensen van buiten naar hun systemen te laten kijken. Zelfs de Democratische Partij in de Verenigde Staten wilde niet dat de FBI onderzoek zou doen naar Russische spionage. Want wat als de politie nog meer informatie vindt? Wat als er onbekende software op de computers wordt gezet? De juristen vrezen ook netwerkproblemen als de politie de systemen gaat onderzoeken. Het leidt tot een conflict met technische collega's van Belgacom die wél willen weten waar de aanvallers zich verschanst hebben en met de politie, die zorgvuldig onderzoek wil doen. Na verschillende gesprekken geven de juristen het op.

Na de ontdekking is het een klus van jewelste om te bepalen waar de malware allemaal zit. Belgacom heeft 26 duizend IT-systemen. Bovendien is de malware ingenieus. Hij kan zichzelf op offline computers installeren om pakketjes over te brengen als zo'n computer weer aangaat. Verder kan de malware onder meer screenshots maken, wachtwoorden kopiëren en gewiste onderdelen herstellen.

Foto Nelson Goncalves

Het team probeert te achterhalen waar de aanvallers op uit zijn geweest. Ze zien dat de malware heimelijk bestanden verzamelt van het bedrijfsnetwerk van BICS, die versleutelt en verpakt als zip-bestandjes. Om geen argwaan te wekken worden die gestolen bestandjes tijdens kantooruren in kleine pakketjes naar buiten gestuurd. Zo vallen ze niet op in de grote datastromen die dagelijks van en naar Belgacom gaan. De bestanden zijn goed beschermd met diverse lagen versleuteling - de onderzoekers kunnen er met geen mogelijkheid in.

Ze zien ook dat de software van de aanvallers in beweging is. Het virus lijkt nog steeds met de aanvallers te communiceren. Maar op 30 augustus is een deel van de malware opeens weg. Een onderzoeker: 'Ik denk dat de aanvallers wisten dat we ze ontdekt hadden. Ze hebben op een grote knop met 'vernietig' gedrukt.' In een mum van tijd wist de malware zijn sporen en vernietigt zichzelf. De onderzoekers zien het gebeuren maar kunnen niets doen.

Midden september lekt de hack van Belgacom uit. Onderzoekers vertellen in diverse media dat ze aan de Britten denken. Een paar dagen later publiceert het Duitse weekblad Der Spiegel een set geheime documenten die door NSA-klokkenluider Edward Snowden zijn meegenomen.

Het is een goudmijn voor het onderzoeksteam: er staat zwart op wit dat de Britse geheime dienst GCHQ de aanval heeft uitgevoerd. Er is gedetailleerd beschreven welke drie werknemers van Belgacom aangevallen zijn om binnen te komen. Er staat ook in dat BICS inderdaad het doelwit van de spionnen is. De geheime operatie, door de Britten 'Socialist' genoemd, is blijkens de documenten een 'succes.' Er is jarenlang aan gewerkt.

Alsof de politie bij een verdachte van een moord een nauwkeurig plan in zijn huis treft met alle voorbereidingen, de beschrijvingen van het slachtoffer en het moordwapen: het staat er allemaal in en het onderzoeksteam hoeft het alleen nog maar te verifiëren.

Ze volgen het digitale spoor en zien dat de bestandjes vanuit Belgacom naar verschillende servers over de wereld gaan, die in handen zijn van de aanvallers. Ze zien servers in Nederland, Indonesië, Roemenië en India.

De aanvallers hebben de servers - geschikt om data te bewaren of transporteren - gehuurd bij privébedrijven, zoals een server voor online spellen in India. De politie vraagt bij alle bedrijven de gegevens van de huurders op. Dat duurt lang, erg lang; in sommige gevallen zelfs jaren. Maar dan hebben de onderzoekers ook eindelijk iets in handen: namen, adressen en betaalgegevens van diegenen die de servers huurden. Die informatie moet ze naar de daders brengen.

De personen blijken uit Duitsland en Denemarken te komen. De Belgen vragen die landen om meer informatie, maar dan loopt het spoor dood. In Duitsland blijkt het adres dat aan de dader toebehoort een theatergebouw te zijn. Het wordt duidelijk dat de informatie vals is. De verdachten bestaan niet. Een bron rond het onderzoeksteam: 'Het zijn spionnen, die creëren rookgordijnen.'

Toch staan de onderzoekers niet helemaal met lege handen. Sommige servers blijken gehuurd te zijn met creditkaarten die verstrekt zijn in Engeland. Als de politie verder onderzoek doet, blijkt het te gaan om prepaid-creditkaarten die daar anoniem zijn gekocht.

En er zijn nóg meer sporen die naar de Britten leiden. Onderzoekers zien de codenamen warriorpride en daredevil in de malware. Warriorpride is de Britse benaming van de malware die Regin heet. Uit niet eerder gepubliceerde Snowden-documenten blijkt nu dat de Britten deze malware veel vaker inzetten, onder andere bij bedrijven uit Pakistan, India, Turkije, Iran, Argentinië, Noord-Korea, de Verenigde Arabische Emiraten, Ierland, Zuid-Afrika en Zimbabwe.

Alles wijst dus naar de Britten. Het technisch bewijs is er, de plannen zijn nauwkeurig beschreven en de onderzoekers kennen geen twijfel. Maar het zal niet genoeg blijken. Een bron: 'We weten dat de Britse GCHQ erachter zit, en toch zullen we die dienst nooit voor het gerecht kunnen slepen.'

Bondgenoten buiten schot

Hoe dat komt is tekenend voor de omgang met digitale spionage in het Westen: bedrijven bagatelliseren de schade en staten spreken niet over de acties van bondgenoten. Belgacom houdt tot de dag van vandaag vol dat de infiltratie weinig effect had en dat de communicatie van klanten nooit gevaar liep. 'Er zijn geen indicaties van een impact op het telefoonnetwerk van BICS', staat in een persbericht dat Belgacom vlak na de hack uitgeeft.

In oktober 2013 zegt topman Geert Standaert van Belgacom in het Europees Parlement: 'Belgacom kan geen conclusies trekken over de daders van de recent ontdekte cyberaanval op haar IT-systemen.' Europarlementariër Sophie in 't Veld is na afloop stomverbaasd over de opstelling van Belgacom. 'Het was absurd. Iedereen voelde dat de vertegenwoordigers van Belgacom niet de hele waarheid vertelden. Volgens hen was de hacking een zuiver intern probleem, maar toch was de capaciteit ervan enorm. Hoe valt dat te rijmen?'

Een jaar na de spionage zegt hoofd informatiebeheer Fabrice Clément tegen het Belgische magazine MO dat hij 'geen idee' heeft wie er achter de aanval zat. En dat de malware enkel een paar interne computersystemen had geïnfecteerd. Verderop in het interview zegt hij dat hij 'niet ontevreden' is over de communicatie van Belgacom. Zijn verklaring: 'In die zin dat de voornaamste risico's efficiënt gemanaged zijn. Wij hebben geen impact op onze stockprijs gehad, we hebben geen klanten verloren, we hebben - door op het einde transparant te communiceren - geen reputatieschade geleden.'

Voor bedrijven is damagecontrol het belangrijkst na een hack. De eerste respons: zeggen dat het meevalt. Zo ging het ook bij ASML na een hack door Chinezen, bij Gemalto na Brits-Amerikaanse spionage en bij RheinMetall Defence na Chinese spionage. In al die gevallen waren de effecten groter en heviger dan door de bedrijven gecommuniceerd.

Niet voor niets neemt Belgacom na de hack intern stevige maatregelen. De besmette infrastructuur wordt vernieuwd, de netwerken worden verbeterd, ethische hackers worden aangenomen en het bedrijf wordt beter opgedeeld in aparte netwerken om toekomstige infiltratie te bemoeilijken. De schade raamt het bedrijf in eerste instantie op meer dan 15 miljoen euro; de investeringen kosten 46 miljoen euro. Vanaf juni 2015 verandert het bedrijf tevens van naam. Belgacom bestaat niet meer, op de glazen torens prijkt nu Proximus. Alle herinneringen aan de Britse spionage zijn weggepoetst.

Ruilhandel

Oud-premier Di Rupo, nog witheet toen de hack bekend werd, wil er nu na herhaaldelijke verzoeken niet op reageren. Ook de oud-minister van Justitie, Annemie Turtelboom, wil niets anders zeggen dan dat zij destijds de premier over de spionage heeft ingelicht. Voor verdere vragen verwijst zij, 'gelet op het geheim van het onderzoek', naar het Federaal Parket.

Vanaf het moment dat bekend wordt dat de infiltratie niet uit Rusland of Iran komt - klassieke Westerse vijanden -maar van een bevriende Europese partner is België ogenschijnlijk minder daadkrachtig. Belgische politici spreken er in het openbaar nauwelijks nog over. Minister van Telecomzaken, Alexander de Croo, werpt in 2016 op een conferentie in Zwitserland zelfs de vraag op of België toestemming heeft gegeven voor de Britse spionage. 'Het is goed mogelijk dat de Belgische inlichtingendiensten hebben gezegd: 'alsjeblieft, ga je gang.'' De Croo wil niet reageren op vragen over zijn opmerkingen.

De Belgische opstelling is verklaarbaar: hard optreden tegen de Britten en de Amerikanen betekent de relatie met machtige inlichtingenpartners op het spel zetten. En dat is niet zonder gevaar.

Onder geheime diensten geldt: hoe beter de relatie, hoe beter de inlichtingen. Zoals het ook helpt om zelf iets aan te bieden. Inlichtingen delen is ruilhandel: wie wat heeft, die krijgt wat. Zo bezien was de Belgische ontdekking van de Britse spionage ook een kans: geef ons betere inlichtingen en wij houden ons gedeisd.

Met vijandige diensten werkt het eerder omgekeerd. Het kan nuttig zijn om te laten weten dat je zicht hebt op de aanvallen van vijanden. Sowieso kan het benadrukken van vijandige dreiging een binnenlands politiek doel dienen: het vrijmaken van extra geld bijvoorbeeld. Anders dan Westerse landen gaan Chinezen en Russen minder zorgvuldig te werk bij digitale spionage. Bij de Russen is dat welbewust. Zoals Russische gevechtsvliegtuigen onlangs nog over de Noordzee vlogen om te imponeren, zo maken Russische hackers soms veel kabaal om hun aanwezigheid te etaleren.

Een nieuw document van de Britse GCHQ laat zien hoe sterk de Britse dienst hecht aan het wissen van de eigen sporen. Alle hackactiviteiten van GCHQ, zo staat in het document dat The Intercept vandaag publiceert, moeten 'te ontkennen zijn'. GCHQ gebruikt 'verhullende infrastructuur en tussenbedrijven' om te maskeren dat de spionagedienst actief is. Met een naderende Brexit is de verwachting dat de Britten agressiever dan ooit zullen proberen om Europese documenten te bemachtigen. Al eerder, voorafgaand en tijdens klimaatconferenties in Cancun en Kopenhagen, achterhaalden Britse spionnen via digitale spionage de onderhandelingsposities van andere landen. In een geheime presentatie die de Deense krant Information presenteerde zei GCHQ daarover: 'We wisten precies wat die landen zouden zeggen, nog voordat ze het zelf uitgesproken hadden.'

Voor digitale spionnen is het verhullen van sporen een stuk makkelijker dan voor 'echte' spionnen. De sporen van de hack van Belgacom lopen dood in Engeland. En hoewel er geen twijfel is dat GCHQ de dader is, wijzen ze niet naar een echt persoon. De bestanden die vanuit Belgacom naar de Britten gaan, zijn zo goed versleuteld dat de Belgen er met geen mogelijkheid in kunnen. Daarmee is er geen tastbaar bewijs van wat de Britten precies hebben gestolen.

Opvallend is dat al snel nadat de hack bekend is geworden, gewezen wordt naar het mogelijke doel van de spionage: mobiele telefoonbedrijven in Afrika en het Midden-Oosten. Dat komt politiek niet slecht uit. Het is minder beschamend voor de Belgen, en tevens voor de Britten. Zeker in tijden van terrorisme lijkt het prima te verkopen als doelwit.

Ook de focus van het onderzoeksteam ligt vanaf het begin op de toegang die GCHQ via BICS kan krijgen tot Afrika en het Midden-Oosten. Maar Belgacom biedt veel meer, zoals toegang tot het telefoon- en dataverkeer van de NAVO en alle Europese instellingen. Al in het najaar van 2013 zeggen bronnen tegen de NOS dat de spionage niet beperkt bleef tot het afluisteren van telefoonverkeer uit het Midden-Oosten. Maar een bron zegt nu: 'We hebben er nooit aan gedacht dat het de Britten om de EU en NAVO te doen was.'

Europol zegt nee

Het lijkt erop dat de Belgen en Britten via diplomatiek overleg de plooien al snel gladstrijken.

In de maanden na het incident hebben Belgische en Britse diplomaten blijkens Britse WOB-verzoeken die met de Volkskrant zijn gedeeld een aantal afspraken. In oktober is er zelfs een tweedaagse 'België-Groot-Brittannië-conferentie' in het Lancester House in Londen, waarbij de ministers van Buitenlandse Zaken aanwezig zijn. Vlak daarna heeft de Britse ambassadeur in België een ontmoeting met de hoge aanklager Johan Delmulle. Hij is verantwoordelijk voor terrorismezaken en ziet toe op het Belgacomonderzoek. Wat in dit gesprek besproken is, is niet bekend. Het Belgisch Federaal Parket wil er niets over zeggen. Het gesprek zou over het delen van terrorisme-informatie kunnen zijn gegaan.

In gesprekken tussen geheime diensten laten sprekers nooit het achterste van hun tong zien. Schuld bekennen doen spionnen sowieso niet. Zijn ze betrapt, dan is een logische reactie om te suggereren het delen van inlichtingen nog eens te herzien en de andere partij iets aan te bieden. Dat kan opgevat worden als een impliciete bevestiging van de spionage-activiteiten, zeggen Nederlandse bronnen.

Het onderzoeksteam weet niets van de afspraken van Belgische diplomaten of inlichtingendiensten. Wel kennen de onderzoekers de gevoeligheden. Er wordt gegrapt over het uitvaardigen van een arrestatiebevel als de baas van GCHQ het land bezoekt.

Het team komt al snel alleen te staan. De onderzoekers vragen eind 2013 Europol om hulp. Die organisatie helpt EU-lidstaten om terrorisme en zware misdaad te bestrijden. Bovendien heeft het een speciale cyberunit, die lidstaten helpt bij 'de opsporing in reactie op cybercriminaliteit binnen de EU.' Maar Europol wenst niet te helpen, omdat het 'geen onderzoek wil doen dat gericht is tegen een andere EU-lidstaat', zo zeggen twee bronnen. Bij de Belgen veroorzaakt de afwijzing enige frustratie en ze kunnen het niet nalaten te wijzen op de nationaliteit van het hoofd van Europol. Dat is Rob Wainwright, een Brit.

Ook ziet het onderzoeksteam dat de maatschappelijke opwinding over de hack snel wegebt en zorgen over terrorisme juist groeien. In de jaren daarna zal België verrast worden door een omvangrijke terroristencel in eigen land, die onder andere de aanslagen in Parijs in 2015 en Brussel in 2016 pleegt. Zoals een bron bij het onderzoek zegt: 'Uiteindelijk zijn mensen banger voor terrorisme dan voor spionage.' Het is een mogelijke verklaring voor de afnemende politieke interesse voor Belgacom.

Dat de relatie met de Britten, en in hun kielzog de Amerikanen, expliciet een rol speelt, wordt duidelijk als het onderzoeksteam in 2015 overweegt om naar Moskou te gaan. De documenten van NSA-klokkenluider Snowden zijn belangrijk bewijs, maar de onderzoekers hebben er wel een probleem mee. Ze vinden dat de documenten niet als bewijs kunnen dienen omdat Snowden ze in het geniep meenam. Het onderzoeksteam kan daardoor niet met zekerheid vaststellen of de documenten wel echt zijn. Daarom overwegen ze om Snowden in Moskou op te zoeken.

Maar de aanklager ziet dat niet zitten. Hij is bang voor de relatie met de Britten en de Amerikanen. Een bron zegt: 'Die landen helpen ons in de strijd tegen terrorisme. Het gevoel was dat we dat niet op het spel mochten zetten.'

Zo eindigt het onderzoek naar het grootste digitale spionageschandaal in een sof: geen aanklachten, geen vervolgingen, geen openlijke diplomatieke terechtwijzingen. Het is een merkwaardig gegeven in een tijd dat Russische spionage terugkerende opwinding, verwijten en diplomatieke tegenmaatregelen veroorzaakt. Voor het onderzoeksteam is het een ingecalculeerd verlies. Vanaf het eerste moment, zegt een voorname onderzoeker, wist hij dat het nooit tot arrestaties zou komen. 'Daarvoor was de tegenstander domweg te machtig.'


Reacties en verantwoording: geen commentaar van justitie

De Belgische minister van Justitie wil geen commentaar geven zolang het 'gerechtelijk onderzoek' loopt, dat geldt ook voor de Belgische veiligheidsdiensten. De Veiligheid van de Staat (VSSE) zegt in algemene zin dat het door de 'grote complexiteit van digitale aanvallen bijzonder ingewikkeld is om een aanval met zekerheid toe te wijzen aan een bepaald land'. Het Belgische Centre for Cybersecurity Belgium(CBB), zegt VSSE verder, heeft tot doel om 'de weerbaarheid van de Belgische netwerken tegen digitale bedreigingen, waaronder digitale spionage, te verbeteren.'

De Volkskrant werkte voor deze publicatie samen met de Amerikaanse website The Intercept. Dat medium beschikt over de NSA-documenten van Edward Snowden. Niet eerder geopenbaarde documenten, die The Intercept vandaag publiceert, zijn vooraf door de Volkskrant ingezien. Relevante informatie daaruit is gebruikt voor dit verhaal.