Amerikaanse spyware die Belgacom hackte geïdentificeerd
Het hoofdkwartier van Belgacom, nu Proximus. Foto: Bruno Fahy/belga

De geavanceerde spionagesoftware die is gebruikt bij de hacking van telecombedrijf Belgacom heet ‘Regin’ en is van Amerikaans-Britse makelij. Dat blijkt uit gezamenlijk onderzoek van De Standaard, NRC Handelsblad en de Amerikaanse nieuwssite The Intercept.

Ruim een jaar geleden raakte bekend dat telecombedrijf Belgacom het doelwit was van een zeer geavanceerde hacking. Nadat De Standaard en NRC Handelsblad de zaak uitbrachten (DS 16 september 2013 ), sprak het federaal parket over ‘state-sponsored cyberspionage’.

Officieel is er tot op vandaag geen duidelijkheid over wie precies verantwoordelijk is voor de aanval, maar alles wijst naar de Amerikaanse geheime dienst NSA en zijn Britse evenknie GCHQ. Beide inlichtingendiensten zijn gespecialiseerd in het onderscheppen van (digitale) telecommunicatie. Het Duitse weekblad Der Spiegel publiceerde op 20 september vorig jaar documenten van NSA-klokkenluider Edward Snowden.

Uit die documenten bleek dat de Britse GCHQ Belgacom had aangevallen. Ze maakten daarbij gebruik van een inbraaktechniek van de NSA.

Een gezamenlijk onderzoek van De Standaard, NRC Handelsblad en de Amerikaanse nieuwssite The Intercept identificeert de geavanceerde malware die is gebruikt bij Belgacom nu als ‘Regin’.

Regin is kwaadaardige software die volgens experts wordt gebruikt door NSA en GCHQ. Ook de vermaarde professor en encryptiespecialist Jean-Jacques Quisquater (UCL) zou met Regin zijn aangevalllen (DS 1 februari 2014 ).

‘Op basis van eerder gepubliceerde documenten van Snowden en kennis van de malware concludeer ik dat Regin is ingezet door de Britten en de Amerikanen’, zegt Ronald Prins van het Nederlandse computerbeveilingsbedrijf Fox-IT. Prins wil niet bevestigen dat Fox-IT, dat onderzoek deed naar de aanval op Belgacom, Regin daar ook heeft aangetroffen. Volgens onze bronnen is die kwaadaardige software wel degelijk gebruikt bij Belgacom.

Symantec-rapport

Beveiligingsbedrijf Symantec, bekend van onder meer het populaire antivirusprogramma Norton, bracht gisteren al een rapport uit over Regin. Symantec noemt Regin daarin ‘hoogtechnologische, baanbrekende spionagesoftware die nergens zijn gelijke kent’.

Symantec zegt dat Regin ook gebruikt is bij de aanval op telecombedrijven.

De hackers hadden het bij Belgacom vooral gemunt op dochterbedrijf Bics. Dat bedrijf levert over de hele wereld technologie en diensten waarmee lokale telecombedrijven hun klanten laten communiceren. Tot in door de VS als schurkenstaten bestempelde landen toe.

Bics is een wereldspeler op vlak van kabels, schakelstations en andere kerninfrastructuur waarlangs mensen met elkaar bellen en mailen.

De analyse van de malware maakt duidelijk dat de malware zo bijzonder is om verschillende redenen. Ze slaagt erin onder de radar van antivirusprogramma’s te blijven. Dat komt doordat hij zeer ingenieus is opgebouwd. In eerste instantie wordt een aantal computers besmet. Daarna ontvouwt zich een web van spionageprogramma’s met elk hun eigen doelstelling. Het ene programma, in vaktaal ‘module’, kopieert ongemerkt de wachtwoorden, andere maken screenshots van de gehackte computers of onderscheppen communicatie.

Bronnen bij Belgische veiligheidsdiensten die aanwezig waren bij de schoonmaak van de systemen bij Belgacom, beschreven al tegenover De Standaard de ‘modulaire’ structuur van de spionagesoftware.

Belgacom: ‘Malware was zeer gesofisticeerd’

Belgacom wil geen commentaar geven over de nieuwe onthulling. ‘Elk element dat we over de aanval hebben ontdekt hebben we doorgegeven aan het federaal parket’, zegt woordvoerder Jan Margot. ‘Voor ons is het wel altijd duidelijk geweest dat de malware zeer gesofisticeerd was. Maar sinds de schoonmaak is dat voor ons verleden tijd.’

Meer technische gegevens van de malware zijn te lezen op The Intercept.