|
||
|
23 September 2013. English version: http://cryptome.org/2013/09/belgacom-hack-en.htm 22 September 2013 Belgacom Hack
http://www.standaard.be/cnt/dmf20130920_00752574 (behind paywall)
Ping. Het is vrijdag de dertiende. Iets voor 11 uur ?s ochtends komt er een bericht binnen bij de IT-consultants die Belgacom heeft gedetacheerd naar zijn allergrootste klanten binnen het bedrijfsleven en de overheid. Veel staat er niet in, alleen het dringende verzoek om alle afspraken van die voormiddag meteen te annuleren. Er komt een ?emergency conference call? in de plaats.
Het nieuws dat daar wordt verteld, doet de IT?ers naar adem happen. Er is een stuk kwaadaardige software aangetroffen op het netwerk van Bics. Zelfs voor de ingewijden valt het haast niet te vatten. De vertakkingen van de Belgacom-dochter gaan zo ver en diep dat het voor iedereen onmiddellijk duidelijk is dat het hier niet om een louter Belgisch probleem kan gaan. Dit is er één van minstens Europese proporties. Want vvie Bics controleert, krijgt de macht over communicatie van een groot deel van de wereld. ?Dit had 9/11 in het kwadraat kunnen zijn?, zegt een bron die de zaak van dichtbij gevolgd heeft. Zonder een greintje ironie in de woorden. De druk op de teams van de Nederlandse cyberverdediger Fox-IT die afgelopen weekend samen met een leger medewerkers van Belgacom aan de schoonmaak begonnen, was dus enorm.
Het was de tweede keer dat ze ertegenaan gingen, bevestigen verschillende bronnen. Een eerste poging om de vileine software van de besmette computers bij Belgacom te halen, in het laatste weekend van augustus, werd afgeblazen. ?Niet alle voorwaarden waren toen vervuld om het in één keer te verwijderen?, heette het. Sommige computers bleken op het alternatieve besturingssysteem Linux ? bekend van het logo met de pingu'1'n ? te draaien en niet op Microsoft. ?Het risico was te groot dat we niet alles in keer konden verwijderen. Dan moet je eraf blijven. Anders weten ze aan de andere kant dat het virus is gevonden?, zegt een politiek betrokkene.
Strikte voorwaarden Het onderzoek naar de hacking ging van start op 19 juli, toen Belgacom naar het gerecht stapte. 'I?ijdens hun werk waren de speurders bij inlichtingendiensten, politie en gerecht enorm op hun hoede voor een lek over de hele operatie. Begin september brachten ze het kernkabinet onder strikte voorwaarden op de hoogte: de lijst van de aanwezigen op die vergadering werd nauwgezet bijgehouden. Als een politicus had willen scoren door dit nieuws te onthullen voordat de malware was aangepakt, dan dienden de speurders een klacht in wegens schending van het geheim van het onderzoek. ?We konden niet riskeren dat alles in het water viel omdat iemand zijn mond voorbijpraatte?, klinkt het.
Belgacom was dan ook niet besmet met wat huis-tuin-en-keuken-virussen, maar met hyperprofessionele malware die handenvol geld gekost heeft om te ontwikkelen. ?We hebben onszelf opnieuw moeten uitvinden om dit de baas te kunnen?, zegt een speurder. ?Bij andere onderzoeken bestaat er een vast idee van waar je heen gaat, hier was het voortdurend opnieuw beginnen omdat het zo moeilijk was om vat te krijgen op de malware.?
Gaandeweg werd duidelijk dat de hackers lang niet alleen ge'1'nteresseerd waren in de communicatie in het Midden-Oosten, waar Bics via de Zuid-Afrikaanse minderheidsaandeelhouder MTN een stevige voet aan de grond heeft. ?Ze hebben een beetje overal zitten rondkijken en gepakt wat ze konden?, zeggen bronnen die betrokken zijn bij het onderzoek. Over één ding zijn ze duidelijk: de aanval kwam uit de Verenigde Staten. ?We zien dat aan de handtekening van de malware, maar vooral aan de plaats waar de sporen heen leiden. Die lopen deels via het Verenigd Koninkrijk. Amerika is volgens ons wel de belangrijkste bestemming. En de afgelopen weken voel j e bij de Amerikaanse ambassade duidelijk wat géne wanneer je om uitwisseling van informatie vraagt.?
Gisteren berichtte het Duitse weekblad Der Spiegel dat de Britse geheime dienst GCHQ (Government Communications Headquarters) achter de aanval zit. Het baseert zich daarvoor op slides die de klokkenluider Edward Snowden aan het blad heeft doorgespeeld. Het nieuws dat de Britse geheime dienst GCHQ mee achter de aanval bij Belgacom zit, is voor de diensten die bezig zijn met de affaire in elk geval een verrassing.
De malware kon alles De malware bij Belgacom bestaat eigenlijk uit een complex systeem van complementaire virussen. Die staan allemaal met mekaar in verbinding. Als er een probleem dreigt of als ze ontdekt worden, kunnen ze mekaar waarschuwen. ?Het is een beetje zoals een menselijk virus, dat muteert ook voortdurend?, zegt een betrokkene die de situatie voor zijn dienst opvolgt. ?Een bepaald onderdeel staat bijvoorbeeld in voor het doorzoeken en stockeren van informatie, terwijl een ander voortdurend op zoek gaat naar open poorten naar het internet om de informatie langs te versturen. Andere stukken code zorgen er dan weer voor dat de ?rewalls omzeild worden of staan in voor de surveillance. Als iemand de hacking ontdekt of een deel ervan probeert te verwijderen, brengt het virus dat de wacht houdt meteen alle andere op de hoogte. Omdat je niet weet wat de malware allemaal kan, kan het bij die laatste stap allemaal gruwelijk misgaan.?
De kostprijs van de hele detectie- en opruimoperatie is navenant. Fox-IT, het Nederlandse cybersecurity en -defence bedrijf dat door Belgacom is aangesteld om de problemen eerst in kaart te brengen en daarna op te lossen, is een klinkende naam in het wereldje. ?Voor de eerste twee weken hadden ze de kostprijs op 1 miljoen euro begroot?, zegt een goedgeplaatste bron. Om er daarna aan toe te voegen dat de hele operatie in totaal tien weken geduurd heeft. Bovendien had Fox-IT er niet op gerekend dat het op een bepaald moment al zijn mensen op deze zaak zou moeten zetten. Een prijskaartj e van ruim Vijf miljoen euro dus? ?Dat zal er niet ver naast zijn.?
Maar wat was er dan zo schrikwekkend aan deze cyberaanval? En waarom die paniek dat er iets mis zou gaan? Telefoongegevens over gesprekken met landen als Afghanistan, J emen en Syrié die verdvvijnen, hoe kan dat zo?n impact hebben? Dat zijn toch ?maar? gestolen telefoongegevens, niet?
De betrokken expert die tegenover ons zit, kijkt doodernstig. Er zit drama in zijn stem, maar gezien de inhoud van wat hij zegt is dat niet onterecht. ?Dit was zéér performante malware en hij zat in het zenuwcentrum van de communicatie. Alles wat de hoogst geplaatste netwerkbeheerder bij Belgacom kon, kon dit systeem ook. Daar moet ik geen tekeningetje bij maken zeker? Het had alle sleutels, alle paswoorden en de volledige controle. We moeten dit durven catalogiseren als een grote crisis. Dit had een catastrofe kunnen zijn. En men lijkt het hoegenaamd niet te beseffen.?
Gevoelige klanten Misschien kan het geen kwaad om dat tekeningetje toch even te maken. Bics noemt zichzelf een ?wholesale carrier?. Twee woorden, vier lettergrepen, maar daarachter zit een netwerk dat zich vertakt over de hele wereld en waarvan het hart klopt in onze hoofdstad. Bics zorgt voor de hardware waarlangs internetverkeer, telefoons, sms?en en mobiele data lopen van telecombedrijven en overheidsinstellingen. En hoe gevoeliger de klant, hoe sneller hij bij Bics terechtkomt. De Belgacomdochter verkoopt zichzelf met het argument dat ze nooit ofte nimmer kijkt wat er langs haar kabels loopt. ?Wij leggen ze voor u klaar en u stuurt er langs wat u wilt?, daar komt het op neer.
Een blik op de lijst met klanten van BICS doet dan ook duizelen. Het ?nanciéle transactiecentrum Swift, Electrabel, bpost, Belgocontrol, allemaal zijn ze aangesloten op Bics. De Navo in Evere, de Europese Commissie en het Parlement, SHAPE, het Supreme Headquarters Allied Powers Europe, in Bergen: Bics, Bics, Bics. Zelfs het hoofdkwartier van de Allied Air Command van de Navo, in het Duitse Ramstein, van waar in 2011 de luchtaanvallen op Libié geleid werden, hangt af van Bics. In militaire kringen wordt erop gewezen dat er altijd nog een extra beveiligingslaag zit op militaire communicatie, maar dat wijzen gebeurt wel met een militair zeer ongebruikelijke nederigheid.
?Ieder bedrijf, niet alleen de overheid, moet zich nu beginnen afvragen hoe afhankelijk het is van één enkele provider, van één enkel netwerk. En vooral hoe goed het zelf beveiligd is?, zegt iemand die op de eerste rij zat in de hele affaire. ?Belgacom, dat is kritieke infrastructuur. Hoe kan Belgié blijven draaien zonder? Dat zijn vragen die we ons nu moeten stellen. Want de organisatie die hier achter zit heeft wel degelijk de capaciteit om Belgacom en Bics volledig plat te leggen.? Een andere bron bevestigt ? met tegenzin ? die doemscenario?s: ?J e mag er niet aan denken. Dat zou 9/11 in het kwadraat geweest zijn. De vliegtuigen zouden zowat uit de lucht vallen.? Bij wijze van spreken? ?Mja.?
Levenslijn Een bron in regeringskringen wijst op de gevolgen van zelfs maar een beperkte uitval van het telefoonverkeer en internet. ?Als er een crisis is, wat is dan het eerste dat een mens doet? Naar zijn telefoon grijpen. Beeldt u zich eens in dat die levenslijn wegvalt. Niet alleen voor u en ik, maar ook voor de hulpdiensten, voor ziekenhuizen, de brandweer...?
En voor de politie? Op het eerste gezicht niet, omdat die gebruik kan maken van het Astrid-netwerk. Maar dat werkt alleen buiten Bics om als het over lokale communicatie gaat. Voor interzonale communicatie is het net zo a?iankelijk van Bics als a1 de rest. Het is dus niet toevallig dat politiebaas Catherine De Bolle op die bewuste vrijdag de 13de, vlak voor de grote cleaning-operatie van start zou gaan, op zoek is gegaan naar een backup voor het communicatiesysteem van de federale politie. Hoe lang het zou duren eer Belgacom weer up and running zou zijn na een destructieve cyberaanval, is onduidelijk. ?Maar het is duidelijk dat we niet klaar zijn om dit soort aanvallen nu op te vangen?, zegt een hooggeplaatste bron. ?Dat besef moet eindelijk beginnen doordringen. Ik ben zeer beducht voor het gevoel van opluchting dat ik bij sommigen al zie opduiken. ?Hehe, dat varkentje hebben we toch maar weer mooi gewassen. Passons.? Niet dus, hé. Wie deze week niet beseft heeft dat het dringend is, zal het nooit beseffen. Nu gaan minimaliseren is levensgevaarlijk.?
Nadat De Standaard maandag het nieuws bracht van de grootschalige hacking bij Belgacom bleek dat ook Buitenlandse Zaken en het kabinet van de premier gekraakt waren. ?En dit is nog maar het topje van de ijsberg?, zegt een bron die bij de Belgacom-problemen betrokken was. Want telecom is één zaak, maar er zijn nog tal van andere kritieke sectoren waarop een land draait. Vervoer bijvoorbeeld. Treinen, trams, bussen, weginfrastructuur, vliegtuigen, overal komen netwerken bij kijken en overal moet men beducht zijn voor cyberaanvallen. De energievoorziening is nog zo?n cruciale poot. En last but not least: het bankwezen van een land. Luxemburg heeft alvast zijn licht opgestoken bij de Belgische cyberdiensten om meer informatie te krijgen over de malware die Belgacom trof.
Bewustwording Behalve budgetten en goedbetaalde IT?ers zal de remedie tegen de toenemende cyberdreiging grotendeels te vinden zijn in een betere bewustwording. ?Belgié wil inzetten op kennis en innovatie, maar als er nu één sector gevoelig is voor spionage, is het die wel. Net zoals op tal van computers bij het wereldwijde diplomatennetwerk van Buitenlandse Zaken gewoon een post-it plakt met de paswoorden, zo laten kleine bedrijven hun beveiliging slabakken?, zegt een cyberspecialist. ?En als je durft vragen of ze hun Chinese stagiairs grondig gescreend hebben, kijken ze je aan alsofje van een andere planeet komt.?
Of de ernst van de situatie bij iedereen is doorgedrongen, lijkt twijfelachtig. In hun of?ciéle communicatie zegt Belgacom dat het op dit moment geen aanwijzingen heeft dat er een impact is op de klanten of hun gegevens. Begrijpelijk dat het bedrijf geen hysterie uit wil lokken, maar dit klinkt toch sterk minimaliserend. ?Wat moeten we dan schrijven??, reageert woordvoerder Jan Margot. ?De besmetting zat bij enkele tientallen computers in ons eigen systeem. Die zijn samen met het hele netwerk schoongemaakt.?
Ook Bics maakt er niet te veel woorden aan vuilz ?Er zijn geen indicaties van een impact op het telecomnetwerk van Bics?, schrijft het in een eigen persbericht. ?Een aantal van onze IT-systemen zijn geintegreerd in de omgeving van Belgacom en zijn op die manier wel aangetast, maar dat bleef buiten het netwerk waarlangs de trafiek van de klanten loopt.?
?Allemaal toch nogal eufemistisch?, vinden speurders die bezig zijn met het onderzoek. ?Maar van liegen kun je ze niet beschuldigen. Er is heel duidelijk nagedacht over elke komma van die communicatie.?
Kneusje Is Belgié door de Belgacomhack nu het kneusje van het Europese vasteland? Inlichtingendiensten staan voortdurend in contact met mekaar en wisselen informatie uit. Voor het imago van ons land is de voorbije week allesbehalve deugddoend geweest, maar toch wordt benadrukt dat het bij zulke contacten vaak ook op persoonlijke relaties gaat tussen mensen. ?Bovendien hebben alle landen problemen en probeert iedereen er bovenuit te komen.?
En ethisch gezien? Is het niet schizofreen dat ons land informatie over dreigingen krijgt die de VS of anderen bij ons hebben gestolen? ?Dat is de eeuwige paradox?, zegt een ontvanger van dat soort informatie. Diplomatiek is dat het moeilijkste. Maar als je informatie krijgt over een serieuze dreiging zoals een terreuraanslag, dan kan je dat niet negeren. Op zo?n moment heb je wel andere dingen aan je hoofd.?
English google translate:
Ping . It's Friday the thirteenth . Just before 11 am there will be a message within the IT consultants that Belgacom has posted to its biggest customers in industry and government. There is not much , only the urgent request to cancel . All appointments for the morning immediately There is an 'emergency conference call ' in place .
The news that there are told , does the IT people gasping for breath . There is a piece of malicious software found on the network of Bics . Even for the uninitiated it is hard to grasp . The ramifications of the Belgacom daughter go so far and deep that it is immediately clear to everyone that this is a purely Belgian problem can not go here . This is one of at least European proportions. Because vvie Bics checks , get control of communication of a large part of the world . " This had 9/11 may be in the square ," says a source who has followed the case closely . Without a shred of irony in the words . The pressure on the teams of the Dutch cyber defender Fox - IT that last weekend with an army Belgacom employees started the cleaning, was so huge.
It was the second time they went against it , confirm different sources. A first attempt to extract the villainous software of computers infected with Belgacom in the last weekend of August , was canceled . " Not all the conditions were fulfilled when to remove it at once ," it was called . Some computers appeared on the alternative operating system Linux - known of the logo with the pingu'1'n - turning and not Microsoft . " The risk was too great that we could not remove . Every time Then you should stay off. Otherwise they know on the other hand that the virus is found , "says a political party.
strict conditions The investigation into the hacking was launched on 19 July, when Belgacom stepped to the dish. ' I'ijdens their work were the investigators in intelligence , police and justice huge wary of a leak on the entire operation . In early September they released the inner cabinet under strict conditions to date : the list of those present at that meeting was meticulously maintained . If a politician wanted to score by revealing before the malware was addressed , this news than the investigators had a complaint for violation of the secrecy of the investigation . " We could not risk everything fell into the water because someone bijpraatte for his mouth ," he says.
Belgacom was not infected with some home - garden - and - kitchen - viruses , but with state professional malware cost of money has to develop . "We ourselves have to invent it to the boss again ," says an investigator . " In other studies , there is a fixed idea of ??where you go , here it was constantly restart because it was so difficult to get the malware . " barrel
Gradually it became clear that the hackers were long ge'1'nteresseerd not only in communication in the Middle East, where Bics has a firm foothold on the South African MTN minority shareholder . "They 're all a little look around and took what they could ," say sources involved in the investigation. One thing they are clear: the attack came from the United States . "We see that the signature of the malware , but especially to the place where the traces lead back . Which run partly through the UK. America is in our opinion the most important destination . And in recent weeks feel at the U.S. Embassy clear what gene when you ask for information exchange . "
Yesterday the German weekly Der Spiegel reported that the British intelligence service GCHQ ( Government Communications Headquarters) is behind the attack . It relies on slides that the whistleblower Edward Snowden has passed on to the blade. The news that the British intelligence service GCHQ along behind the attack at Belgacom , for the services engaged in the affair in any case a surprise .
The malware could all The malware at Belgacom is actually a complex system of complementary viruses . Which are all connected with each other . If a problem is imminent or if they are discovered , they can warn each other . "It's a bit like a human virus that mutates constantly ," says a person who observes the situation for his service . " A certain section provides example for searching and storage of information , while another is constantly looking for open ports to the internet by sending the information. Other pieces of code will make sure again that the firewalls are bypassed or are responsible for surveillance . If someone discovered the hacking or part of trying to remove the virus that brings the guard shall constitute all other informed . Because you do not know what the malware can do, it can be horribly wrong in that last step all . "
The cost of the entire detection and cleanup operation correspondingly . Fox-IT , the Dutch cyber security and defense company that is appointed by Belgacom to first identify the problems and solve map , then it is a big name in the world . For the first two weeks they had estimated the cost at 1 million , "says a well-placed source . In order then to add that the whole operation lasted ten weeks in total . Moreover, Fox -IT is not expected that the people should put . At one time been on this case A prijskaartj e of more than five million so ? "That will not be far off ."
But what was so terrifying than this cyber attack ? And why the panic that something could go wrong ? Data on telephone interviews with countries such as Afghanistan , J strap and Syria who verdvvijnen , how it could have such an impact ? Those are 'only' stolen phone records , right?
The expert in question is in front of us , looking dead serious. There is drama in his voice , but given the content of what he says is not unjustified. " This was very efficient malware as he sat in the nerve center of the communication . All the most senior network administrator at Belgacom could , could this system . I must not draw it to make sure? It had all the keys , all passwords and full control . We must dare cataloging as a major crisis . This had a catastrophe may be. And they seem not to realize it whatsoever . "
sensitive customers Maybe it does not hurt to do just to make that. Doodle Bics calls himself a " wholesale carrier . Two words , four syllables , but behind it is a network that branches all over the world and whose heart beats in our capital. Bics provides the hardware through which Internet traffic , phones , texting and mobile data walk from telecom companies and government agencies . And how sensitive the customer , the faster he reaches Bics . The Belgacom Daughter sells itself with the argument that they never, ever look what runs along its cables. "We make them for you and send it along what you want ' , it comes down to .
A look at the list of clients BICS does therefore dizzy . The financial transaction center Swift , Electrabel , bpost , Belgocontrol , all of them are connected to Bics . NATO in Evere , the European Commission and Parliament , SHAPE , the Supreme Headquarters Allied Powers Europe in Mons : Bics , Bics , Bics . Even the headquarters of Allied Air Command of NATO , Ramstein in Germany , of which 2011 were in the air strikes on Libya led depends on Bics . In military circles it is noted that there is always an extra layer of security is on military communications , but that happens with a military point very unusual humility .
"Every business, not only the government , must now start wondering how dependent it is a single provider , a single network . And especially how well it itself is protected , "says someone in the front row was in the whole affair . "Belgacom , that's critical infrastructure . How Belgium continue to run without ? These are questions we must ask us now. Because the organization behind this does have the ability to lay completely flat Belgacom and Bics ' Another source confirms - reluctantly - that doomsday scenarios " . Y ou can not think . That would be 9/11 has been in the quadrature . The planes would just fall from the sky . " So to speak ? ' Mja . "
lifeline A source in government circles indicates the effects of even a limited breakdown of the telephone and internet traffic . "If there is a crisis , what is the first thing a man does ? Reach for his phone . Imagine yourself in that lifeline is lost. Not only for you and me, but also for the emergency services , for hospitals , fire ... '
And the police ? At first sight , because it can make the Astrid network . Availing But that only works outside Bics to when it comes to local communication . For long distance communication is just as afliankelijk of Bics a1 as the rest . It is no coincidence that police chief Catherine De Bolle on that fateful Friday the 13th , would go just for the big cleaning operation has been started looking for a backup for the communication of the Federal Police . How long it would take before Belgacom would be up and running after a destructive cyber attack again, is unclear . "But it is clear that we are not ready for this kind of attack to catch now ," said a senior source . " That realization should finally begin to penetrate . I am very apprehensive about the feeling of relief that I already see in some pop . " Hehe , that pig we have despite everything washed again . Passons . " Not so , huh. Who does not realize this week that it is urgent , it will never realize . Now minimize is perilous . "
After The Standard Monday brought the news of large-scale hacking at Belgacom also revealed that Foreign Affairs and the Prime Minister's Office cracked . "And this is just the tip of the iceberg ," says a source who was involved in the Belgacom problems . Because telecom is one thing, but there are many other critical sectors in which a country running. Transport, for example . Trains, trams , buses , road infrastructure , aircraft, networks come to it everywhere and one should be wary of cyber attacks everywhere. The energy is another crucial leg . And last but not least : the banking system of a country. Luxembourg has already been slightly raised in the Belgian cyber services to get the malware that Belgacom struck more information.
awareness Except budgets and well-paid IT professionals will largely find the remedy for the growing cyber threat are in a better awareness . ' Belgium pursues knowledge and innovation , but if there is one sector is sensitive to espionage , it's who . As on many computers at the global diplomatic network of Foreign Affairs just stick a post-it with passwords , so let small businesses their security salad bowls , "says a cyber specialist. "And if you dare ask if they have their Chinese trainees thoroughly screened , they look to alsofje you come from another planet ."
Or severity of the situation everyone is penetrated , seems doubtful . In their official communications Belgacom says it currently has no evidence that there is an impact on the customers and their data . Understandably, the company does not want to provoke hysteria , but from the sounds yet strong minimizing . "What should we write ? ', Says spokesman Jan Margot . " The infection was at a few dozen computers in our own system . They are together with the entire network cleaned . "
Also Bics not make too many words to vuilz "There are no indications of an impact on the telecom network Bics ' , writes in a separate press release . " Some of our IT systems are integrated in the vicinity of Belgacom and thus be affected , but remained outside the network through which the traffic of customers running. "
"All right rather euphemistically ," find investigators engaged in the study. " But you can not blame lie . There is very clear thought about every point of that communication . "
Kneusje Is Belgium by Belgacom Hack now kneusje of the European continent ? Intelligence agencies are in constant contact with each other and exchange information . For the image of our country in the past week been anything but virtue doing , but it is emphasized that often comes to personal relationships between people . At such contacts " Moreover , all countries have problems and everyone tries to get above it ."
And given ethical? Is not schizophrenic that our country is informed about threats to the U.S. or others have stolen from us ? "That's the eternal paradox ," says a recipient of such information . Diplomacy is the hardest . But if you get information about a serious threat such as a terrorist attack , you can not ignore . At that moment you do have other things on your mind . "
|