Der Angriff auf den belgischen Provider Belgacom war aggressiver und weitreichender, als bislang behauptet. Zu diesem Schluss kommen Journalisten von The Intercept, aus Belgien und den Niederlanden, die den Hack – hinter dem höchstwahrscheinlich der britischen Geheimdienst GCHQ steckt – nun ausführlich nachgezeichnet haben. Der NSA-Whistleblower Edward Snowden, von dem die ersten Beweisdokumente stammten, nennt den Fall demnach das erste dokumentierte Beispiel einer Cyberattacke eines EU-Staats auf einen anderen.

Die Attacke auf Belgacom, zu dessen Kunden unter anderem die Europäische Kommission, das Europäische Parlament und der Europäische Rat gehören, war bereits im September 2013 öffentlich gemacht worden. Vor wenigen Wochen wurde dann enthüllt, dass es sich bei der ausgefeilten Spyware um die Cyberwaffe Regin gehandelt hat. Belgacom selbst hat die Enthüllungen immer wieder herunter gespielt und erklärt, man habe die eigenen Systeme bereinigt. Einige Eingeweihte sehen das aber offenbar anders.

Chronologie eines Cyberangriffs

Die Attacke auf Belgacom hat den Journalisten zufolge ihren Ursprung in Bemühungen des GCHQ, in Telekommunikationsnetzwerke einzudringen. Zwischen 2009 und 2011 habe der Dienst mit seinen Alliierten daran gearbeitet, vor allem um das "Verschlüsselungsproblem" zu lösen: Weil immer mehr verschlüsselt wurde, wollte der GCHQ an die Daten gelangen, bevor sie unleserlich gemacht wurden. Belgacom bot sich dann als Ziel an, weil er nicht nur in Europa, sondern weltweit eine wichtige Rolle im Telekommunikationsnetz spielt. Außerdem sei es der Plan gewesen, über Belgacom an Zugänge zu anderen Unternehmen zu gelangen.

Um diesen Zugriff zu erlangen, seien wichtige Mitarbeiter bei Belgacom und deren IP-Adressen identifiziert worden. Mit dem von der c't enthüllten Werkzeug Hacienda seien dann Angriffspunkte im Netz von Belgacom gesucht und die anvisierten Ingenieure "gejagt" worden. Die konnten dann individuell mit Malware angegriffen und ihre Computer infiziert werden. Dafür seien sie wohl per "Man-in-the-Middle"- oder "Man-on-the-Side"-Angriff auf eine gefälschte LinkedIn-Seite geleitet worden, wo ihnen Malware untergeschoben wurde.

In einer zweiten Angriffswelle seien dann interne Verbindungen zwischen Belgacom und anderen Providern gehackt worden. Diese Leitungen sind eigentlich durch Verschlüsselung geschützt, aber durch den Weg von innen konnte der GCHQ diese Barriere überwinden. Über zwei Jahre lange konnte der GCHQ danach Daten auslesen, die durch die Netze von Belgacom geleitet wurden.

Entdeckung und Gegenwehr

Im Sommer 2012 – ein Jahr vor den Snowden-Enthüllungen – sei dann bei Belgacom ein Problem aufgetreten, durch das Mitarbeiter einer Tochterfirma keine E-Mails mehr empfangen konnten. Bis zum Sommer 2013 hätten die Techniker das Problem aber weder lokalisieren noch beheben können. Schließlich seien die Experten der IT-Sicherheitsfirma Fox-IT aus den Niederlanden engagiert worden, und die fanden "seltsame Dateien" auf dem E-Mail-Server von Belgacom. Deswegen seien dann die Polizei und die zuständige Cybercrime-Einheit informiert worden.

Was die dann fanden, sei die hochentwickeltste Malware gewesen, die sie je gesehen hätten, zitiert The Intercept anonyme Quellen, die in die Untersuchung eingeweiht gewesen seien. Außerdem seien nicht nur der E-Mail-Server sondern insgesamt 120 Systeme kompromittiert gewesen, darunter bis zu 70 PCs. Auch die Cisco-Router, die das Herz des internationalen Carrier-Netzwerks von Belgacom bilden, seien infiziert gewesen. Ob die schon so geliefert worden waren, sei aber nicht klar.

Die Router hätte man aber nicht untersuchen können, weil Belgacom angeordnet habe, dass nur Cisco-Mitarbeiter an die Geräte dürfen. Belgacom habe außerdem die Experten von Fox-IT aufgefordert, die Untersuchung abzuschließen. Sie hätten nicht einmal die Malware entfernen dürfen. Im August 2013 hätten die Techniker bei Belgacom dann bemerkt, dass die Malware wohl aus der Ferne gelöscht wurde. Einzelne Dateien seien aber auf den Systemen geblieben. Am 14. September habe man dann begonnen, die Systeme zu bereinigen. Wenige Tage später wurde der Angriff öffentlich.

Keine ernsthafte Bereinigung

Bis auf Fox-IT – wo man den GCHQ für verantwortlich hält – habe sich keine der betroffenen Firmen oder Organisationen zu dem Geschehen äußern wollen. Belgacom habe auf die Ermittlungen verwiesen. Das Unternehmen hatte aber vor dem Europäischen Parlament verlauten lassen, dass man die Systeme bereinigt habe. Jemand, der mit den Vorgängen vertraut sei, habe nun aber gegenüber The Intercept erklärt, dass die Reinigung höchstens teilweise erfolgt sei. Ein wirklich ernsthafter Versuch, sie zu entfernen, sei nicht unternommen worden.

[Update 15.12.2014 – 11:55 Uhr] In der ursprünglichen Meldung stand, dass die Anordnung, die Cisco-Router nicht zu untersuchen, von Cisco gekommen sei. Eine missverständliche Formulierung im Bericht von The Intercept könnte aber auch bedeuten, dass Belgacom dies anordnete. Darauf wird nun hingewiesen.

[Update 15.12.2014 – 17:45 Uhr] Inzwischen hat der Autor aufgeklärt, dass die Aufforderung von Belgacom kam, nicht von Cisco. (mho)