Zal ons land de Britten diplomatiek straffen voor de ongeziene spionage die ze tot 2013 bij Proximus pleegden? Het federaal parket heeft de regering een gevoelig verslag bezorgd over de hacking.

Het federaal parket is zo goed als klaar met zijn onderzoek naar de ongeziene hacking die eind 2013 bekend raakte. Het parket heeft minister van Justitie Koen Geens (CD&V) een vertrouwelijk verslag bezorgd met zijn belangrijkste bevindingen.

In dat verslag staan nooit eerder bekend geraakte aanwijzingen dat de Britse geheime dienst GCHQ schuilging achter de operatie. Die kostte het toenmalige Belgacom 50 miljoen euro aan investeringen in beveiliging, boven op de reputatieschade.

Ik zal het verslag van het federaal parket voorleggen aan de Nationale Veiligheidsraad, waarin de regering en de veiligheidsdiensten samenzitten. Koen Geens Minister van Justitie

Geens wil voorlopig alleen kwijt dat hij het verslag van het federaal parket zal voorleggen aan de Nationale Veiligheidsraad. Dat is het hoogste veiligheidsorgaan van ons land. Hij wordt voorgezeten door premier Charles Michel (MR) en verzamelt de belangrijkste veiligheidsdiensten en hun ministers.

Volgens onze informatie laat het federaal parket in zijn verslag aan Geens weten dat het gerechtelijk onderzoek naar de hacking bijna klaar is en dat het parket het dossier zonder gevolg moet klasseren, omdat er strafrechtelijk onvoldoende bewijzen zijn om concrete verdachten te kunnen vervolgen. Maar het verslag somt wel alle bewijzen op die wijzen in de richting van de Britse geheime dienst GCHQ. De vraag is of de regering die kan negeren. En of er nog politieke of diplomatieke acties aan gekoppeld moeten worden.

Dubbelspion

Zeker als je ziet welke drastische diplomatieke sancties het Verenigd Koninkrijk dit jaar tegen Rusland uitvaardigde omdat de Russische dubbelspion Sergej Skripal en zijn dochter in maart op Britse bodem waren vergiftigd. Ook België zette uit solidariteit met de Britten een Russische geheim agent het land uit.

Maar nu het federaal parket in zijn verslag aantoont dat de Britten bewust zijn binnengedrongen bij onze grootste telecomoperator - met de Belgische staat als meerderheidsaandeelhouder - om die te bespioneren, lijkt een politiek signaal nodig.

Een woordvoerder van het federaal parket wilde gisteren geen commentaar kwijt. ‘Te delicaat op dit moment.’

Operatie Socialist

Op 30 augustus 2013 voelden de hackers dat ze betrapt waren. In enkele minuten tijd lieten ze de grote spionageoperatie die ze al zeker sinds 2011 bij Belgacom hadden opgezet, volledig verdwijnen. Maar vijf jaar later kennen we toch veel details over de aanval. Dat is vooral te danken aan de tientallen geheime documenten die klokkenluider Edward Snowden met de pers deelde over Operation Socialist, de codenaam die de Britse geheime dienst GCHQ aan de hacking gaf. Ook het federaal parket ging ver om de puzzelstukken te leggen.

Schermvullende weergave Slide GCHQ over hacking Belgacom ©The Intercept

Een twintigtal ‘top secret’ slides van het Network Analysis Centre, een afdeling van de Britse GCHQ, die Edward Snowden aan de Amerikaanse website The Intercept lekte, spreken boekdelen. Er staat zelfs een grondplan in van de zaal met de computerspecialisten en hun apparatuur, zoals die moet zijn gebruikt voor de aanval op Belgacom (nu Proximus) en zijn internationale dochterbedrijf BICS, telkens met naam genoemd in de slides.

Alles staat op de slides te lezen. Het doelwit waren de GRX-routers van Belgacom en BICS. Die geven toegang tot de communicatie tussen smartphones die verloopt via ‘roaming’, waarbij operatoren klanten van andere operatoren op hun netwerk toelaten.

De communicatie werd massaal onderschept via ‘Man in the Middle-operaties', waarbij de geheime dienst de communicatie als een ‘man in het midden’ naar zich liet afleiden. Daarvoor zijn de computers van sleutelpersonen bij Belgacom, die instonden voor het onderhoud en de beveiliging, gehackt. Ze liepen onder meer via valse LinkedIn-boodschappen in de val.

Prins Charles

Schermvullende weergave Tussen de slides over de hacking van Belgacom staat ook een foto van het bezoek van Prins Charles aan GCHQ. ©The Intercept

Experts twijfelen er niet aan dat op zeer hoog niveau groen licht is gegeven voor de hacking van Belgacom, mogelijk zelfs door de Britse minister van Buitenlandse Zaken. Op een van de slides prijkt een foto van prins Charles en zijn vrouw Camilla op bezoek bij de GCHQ.

Als de slides niet waren uitgelekt, zou de bewijslast tegen de Britten niet zo groot zijn. De hackers van GCHQ doen er alles aan om geen sporen achterlaten. De dienst moet alles kunnen ontkennen. Dat schrijven ze letterlijk in hun uitgelekte slides.

De spionagemalware bij Belgacom was dan ook vermomd als software van Microsoft. En de gestolen data werden verpakt onder verschillende lagen van versleuteling, voordat ze werden doorgestuurd. Dat gebeurde tijdens de werkuren om tussen de massa’s andere data niet op te vallen.

De data werden in gecomprimeerde pakketjes naar servers in Nederland, Roemenië, India en Indonesië verstuurd. Die waren in die landen bij privébedrijven gehuurd. In India ging het bijvoorbeeld om een server voor internetspelen. Ons gerecht contacteerde de bedrijven. Hun klanten bleken fictieve personen te zijn, met valse adressen in Duitsland en Denemarken.

De data werden in gecomprimeerde pakketjes naar servers in Nederland, Roemenië, India en Indonesië verstuurd.

Fouten

Maar iedereen maakt fouten, ook een geheime dienst. Zo kwam het gerecht uit bij een computer in Indonesië. Toen het over dat unieke internetadres vragen stelde, signaleerde een Brits dochterbedrijf van Belgacom dat ook de Britse overheid daarover al vragen had gesteld.

Ook de getraceerde computerservers in andere landen leiden naar de Britten. Sommige bleken gehuurd te zijn met betaalkaarten die in het Verenigd Koninkrijk waren gekocht. Al ging het om anonieme, vooraf betaalde kredietkaarten die niet rechtstreeks aan GCHQ gelinkt kunnen worden.