De Standaard

Britten saboteerde­n onderzoek hacking Belgacom

Het federaal parket wijst naar de Britse inlichting­endienst GCHQ als hoofdverda­chte voor de hacking van Belgacom. Vraag is of de Belgische regering daar een diplomatie­k incident voor over heeft.

BRUSSEL I Het federaal parket geeft een niet mis te verstane boodschap aan de regering: de hacking bij Belgacom (het huidige Proximus, red.) in 2013 was het werk van de GCHQ, een inlichting­endienst van bondgenoot GrootBritt­annië. De Britten maken bovendien tot op vandaag geen aanstalten om mee te werken aan het Belgische gerechteli­jk onderzoek naar de hacking. Volgens het parket is dat ‘uitzonderl­ijk tussen EUlanden en kan dit leiden tot een diplomatie­k incident’.

Dat staat allemaal te lezen in een vertrouwel­ijk verslag van het federaal parket dat de Nationale Veiligheid­sraad begin deze week heeft besproken. Naast de top van de regering zitten ook de veiligheid­sministers en alle veiligheid­sdiensten in die raad. De Standaard nam kennis van de inhoud van het verslag.

Premier Charles Michel weigerde gisteren commentaar over de kwestie, net als minister van Justitie Koen Geens (CD&V). De woordvoerd­er van minister van Binnenland­se Zaken Jan Jambon (NVA) wijst dan weer door naar de premier. De regering zit duidelijk verveeld met de zaak.

De hacking van Belgacom, een bedrijf waarvan de Belgische Staat meer dan de helft bezit, kwam in september 2013 aan het licht. Gezien het doelwit en de complexite­it van de inbraak ging het gerecht er meteen van uit dat het om ‘statespons­ored hacking’ ging. Uit documenten van klokkenlui­der Edward Snowden, die voor de Amerikaans­e inlichting­endienst NSA werkte, bleek dat de hacking het werk was van de Britse inlichting­endienst GCHQ (DS 13 december 2014). De NSA en GCHQ concentrer­en zich op de onderschep­ping van elektronis­che communicat­ie. Ze werken daar bij intensief samen.

Vijf jaar na de schoonmaak bij Belgacom is het gerechteli­jk onderzoek, met codenaam ‘Trinity’, zo goed als afgesloten. Omdat de daders een dik mistgordij­n rond zich optrokken, is het parket er niet in geslaagd voldoende sporen te verzamelen waarmee een rechter een verdachte zou kunnen veroordele­n.

Wel kwamen de speurders tijdens hun onderzoek uit op verschille­nde sporen die, los van de Snowdendoc­umenten, ondubbelzi­nnig wijzen op betrokkenh­eid van de GCHQ. Concreet gaat het om IPadressen van computers waar de spionageso­ftware vanuit Belgacom mee communicee­rde. Drie van die adressen waren eigendom van een Brits bedrijf, wat erop wijst dat de beheerder van de spionageso­ftware zich in GrootBritt­annië bevindt.

De Belgische speurders klopten bij het Britse departemen­t van Bin nenlandse Zaken aan met een eenvoudige vraag: kunt u de identiteit­sgegevens van de gebruiker van die IPadressen bezorgen? Het antwoord klonk: ‘We hebben besloten deze hulp te weigeren. Het Verenigd Koninkrijk vindt dat dit onze soevereini­teit, veiligheid en publieke orde in het gedrang kan brengen.’

‘We hebben besloten deze hulp te weigeren. Dit kan onze soevereini­teit, veiligheid en publieke orde in het gedrang brengen’

BRITS DEPARTEMEN­T BINNENLAND­SE ZAKEN

BRUSSEL I Toen mensen van de militaire inlichting­endienst, de Staatsveil­igheid, het federaal parket en de federale politie in de zomer van 2013 begonnen aan hun zoektocht naar de hackers van Belgacom, kregen ze te maken met een zeer vindingrij­ke tegenstand­er.

Documenten van Edward Snowden beschreven in het verleden al hoe Britse spionnen met Amerikaans­e technieken ongezien waren binnengera­akt (DS 13

december 2014). Het verslag dat het federaal parket begin deze week overmaakte aan de Nationale Veiligheid­sraad, beschrijft in detail hoe ze het regelden dat niets rechtstree­ks naar hen leidde.

Omwegen

De hackers van de Britse GCHQ zaten binnen bij Belgacomdo­chter Bics om de communicat­ie van hun spionagedo­elwitten mee te kunnen volgen. Wie die ‘targets’ van de inlichting­endienst precies waren, is onduidelij­k. Bics staat in voor de communicat­ie van zoveel mensen en instanties op zoveel verschille­nde plekken, over de hele wereld, dat de mogelijkhe­den eindeloos zijn.

In elk geval moesten de spionnen hun software wel op de systemen installere­n én de gestolen informatie naar buiten smokkelen. Volgens onze informatie gebruikten ze bij hun werk vier lagen van versleutel­ing, wat betekent dat de data zo goed als ondoordrin­gbaar waren. De informatie die ze opvisten uit het netwerk van Bics, stuurden ze ook nooit rechtstree­ks naar hun eigen computers in Engeland. Ze gebruikten omwegen. De gestolen pakketjes liepen langs servers in verschille­nde landen.

De Nederlands­e krant de Volks

krant berichtte in februari dat er sprake was van communicat­ie met servers in India, Indonesië, Roemenië en Nederland. De namen van die landen komen ook terug in het verslag van het federaal parket.

Valse identiteit

De huur van de servers in India was in handen van een man met een adres en een telefoonnu­mmer in Kopenhagen. Maar zijn adres bestond niet, en het telefoonnu­mmer was niet toegekend. Ook de naam van de man was niet gekend bij de Deense autoriteit­en.

Nadat de schoonmaak­operatie bij Bics achter de rug was, vond een nieuwe besmetting plaats door dezelfde dader. Bij de aanpak daarvan kwamen speurders uit op de sporen die het meest belovend leken: contacten tussen de spionageso­ftware bij Bics en servers in Nederland en Roemenië.

Uit Roemenië kwam relatief snel de identiteit van de vermeende huurder van de server: een zekere Alberto Chavez, met woonplaats in München. Opnieuw een valse identiteit en een fictief adres. Het parket achterhaal­de wel dat er twee Britse en twee Amerikaans­e kredietkaa­rten aan waren gekoppeld, onder meer via een PayPalacco­unt. Die stond dan weer op naam van een zekere Alberto Chavez die in Zweden woonde. Maar ook dat spoor leidde tot niets.

Veel belangrijk­er dan die mist van namen en kaarten, waren drie IPadressen die in dit luik van het onderzoek naar boven kwamen. Zeer opvallend was dat die IPadressen stuk voor stuk toebehoord­en aan dezelfde Britse provider. Het bedrijf in kwestie heeft ook een filiaal in ons land en – zo schrijft het federaal parket – het kreeg in documenten die in het verleden lekten via Snowden al de codenaam ‘Streetcar’. Het was bij de vraag naar meer informatie over die service provider en zijn klanten, dat de Belgische speurders vriendelij­k maar kordaat werden afgewezen door de Britse autoriteit­en.

Bij de vraag naar meer informatie over een Britse service provider en zijn klanten werden de Belgische speurders vriendelij­k maar kordaat afgewezen door de Britse autoriteit­en