Interview: Belgacom blikt terug op spionage-affaire

Interview

Interview: Belgacom blikt terug op spionage-affaire

Interview: Belgacom blikt terug op spionage-affaire
Interview: Belgacom blikt terug op spionage-affaire

Ruim een jaar na de gerichte cyberaanval heeft Belgacom heel wat bijgeleerd, maar het precieze doel van de hackers blijft voorlopig onbekend. Dat zegt Fabrice Clément**,** hoofd beveiliging en informatiebeheer, in een interview met MO*.

In september 2013 maakte De Standaard de hacking van Belgacom wereldkundig. Wanneer heeft Belgacom de malware precies ontdekt?

Clément: Drie maanden daarvoor, op 21 juni 2013, detecteerden we een abnormaal proces op een van onze e-mailservers. We deden een snelle analyse en ontdekten dat het ging om malware. Daarop zijn we meteen een diepgaander onderzoek gestart.

© Kristof Clerix

Fabrice Clément (Belgacom)

© Kristof Clerix

We hebben het internationaal gereputeerde Nederlandse bedrijf FOX-IT gecontacteerd, dat een paar dagen later met een team forensisch specialisten ter plekke kwam. Samen hebben we gedurende twee weken een onderzoek gedaan. We ontdekten dat het niet ging om een gewone malware maar om een zogenaamde advanced persistent threat. Het was extreem gesofisticeerd. Het ging duidelijk om een nieuwe generatie malware die voorheen nog nooit was vastgesteld. Het was ook heel goed verborgen.

Hoe viel de malware het Belgacom-systeem precies aan?

Clément: We zijn gestoten op dropper, het proces dat de malware installeerde. Die assembleerde de malware op basis van veel kleine stukjes software verborgen in tientallen gegevensbestanden. De dropper installeerde de malware en wiste daarna de sporen uit.

De malware was bovendien geëncrypteerd, op verschillende niveaus. De enctryptiesleutel was uniek en specifiek voor elk geïnfecteerd systeem.

Hoe ernstig was de besmetting?

Clément: Uiteindelijk bleken 124 van onze systemen geïnfecteerd, op een totaal van 26.000. Het ging om servers, e-mailservers van onze personeelsleden, share point servers en werkstations – de pc’s van onze personeelsleden. Zowat de helft van alle besmette systemen waren pc’s, voornamelijk van personeelsleden met technische profielen.

Hoelang was de malware al actief vooraleer hij ontdekt werd?

Clément: Het is bijna onmogelijk om dat vast te stellen. Dat zullen alle experts je bevestigen. Daar zijn geen indicaties over.

Opkuisoperatie

Hoe hebben jullie de boel uitgekuist?

Clément: Gedurende twee maanden hebben liefst 200 Belgacom-personeelsleden aan een _clean up-_operatie gewerkt. Het ging om personeel met verschillende competenties: _supply chain-_specialisten, juristen, technici… Dat gebeurde in volledige discretie. Iedereen moest een document ondertekenen om de vertrouwelijkheid te garanderen.

We hebben ook goed samengewerkt met de Federal Computer Crime Unit van de politie, de regionale Computer Crime Unit, de militaire inlichtingendienst ADIV en de Staatsveiligheid.

Daarnaast hadden we intern ook een crisisteam op poten gezet, met mensen van de communicatiedienst, de juridische dienst en technici. Elke dag kwamen we samen op het niveau van de vice-presidenten van het bedrijf om de crisis te beheren.

‘Gedurende twee maanden hebben liefst 200 Belgacom-personeelsleden aan een _clean up-_operatie gewerkt.’

Waarom moest dat allemaal zo stiekem?

Clément: Om de volledige omvang van het probleem te kunnen ontdekken en het succesvol te kunnen opruimen. We werkten dus parallel aan het onderzoek en aan de opkuisoperatie. Het onderzoek was erop gericht de stukjes malware te identificeren en na te gaan welke werkstations precies waren geïnfecteerd. We hebben zelfs speciaal een tool gebouwd om al onze 26.000 systemen te scannen.

De opkuis was echt gepland als een medische operatie, de stappen stonden minuut per minuut uitgeschreven. In het weekend van 14 en 15 september 2013 hebben we met die 200 personen het plan uitgevoerd. Tijdens de opkuisoperatie hebben we ook heel het systeem vervangen:  nieuwe pc’s geïnstalleerd, de servers gereconstrueerd…

Was het probleem daarmee van de baan?

Clément: Neen. Twee dagen later stelden we een nieuwe poging vast om ons systeem binnen te dringen. Een router van de Belgacom-dochter BICS begon zich vreemd te gedragen. Opnieuw hebben we daarvan de analyse gedaan – in samenwerking met de overheid – en hebben we de infrastructuur opgekuist.

De slides van Snowden

De vraag van één miljoen: wie zat er achter de Belgacom-hacking?

Clément: Eerlijk: we weten het niet. Het is aan het parket om dat uit te zoeken. Een maand na de ontdekking, op 19 juli 2013, hebben we een klacht ingediend bij het federaal parket. Duidelijk is wel dat het moet gaan om een grote organisatie met veel middelen, zowel op financieel vlak als wat menselijke middelen betreft. De federaal procureur verwees in dat verband reeds naar internationale spionage gesponsord door een staat.

Hoe staat het met het strafrechtelijke onderzoek?

Clément: Dat loopt nog altijd. We wachten tot het wordt afgesloten om zelf ook toegang te krijgen tot het dossier.

Denkt u dat er ooit iemand veroordeeld zal worden?

Clément: Goede vraag. Als expert kan ik u zeggen dat het altijd zeer moeilijk is, zeker in zo’n gesofistikeerde zaak, om juridische bewijzen op tafel te leggen die aantonen wie achter de aanval zit. We zullen zien.

‘Wij hebben geen indicatie dat de Amerikanen of Britten hier achter zaten.’

Wat dacht u toen Der Spiegel op basis van verklaringen van Edward Snowden met de vinger wees naar GCHQ en de NSA?

Clément: We waren toen net met die clean up bezig. Wat er in de media verscheen, interesseerde ons niet zozeer. Wij wilden in de eerste plaats alle nodige maatregelen nemen om de privégegevens van onze cliënten en personeelsleden te beschermen. Wat in de kranten stond, was vooral speculatie. De enigen die de daders kunnen aanwijzen, zijn de juridische instanties. De slides van Snowden bestaan natuurlijk, en daar staan de namen van Belgacom en BICS op, maar ik kan u niet vertellen wat het verhaal daarachter is.

Heeft Belgacom zelf ooit contact genomen met de Britse of Amerikaanse overheid? Of hebben zij ooit Belgacom benaderd?

Clément: Wij hebben geen indicatie dat de Amerikanen of Britten hier achter zaten. Wij, Belgacom, hebben geen contact opgenomen met buitenlandse overheden – dat is onze rol niet. Nogmaals: wie er achter de aanval zit, dat moet het parket achterhalen.

Slechts enkele kilobytes

Op welk soort informatie waren de hackers uit? En wat was de link met Belgacom-dochter BICS?

Clément: BICS opereert een internationaal netwerk: het verbindt verschillende telecomoperators op wereldvlak. Wat was het precieze doel van de intrusie? De indicaties die wij daarover hebben, is dat men informatie zocht over onze organisatie – hoe waren we georganiseerd? – en technische informatie over de netwerken van Belgacom en waarschijnlijk BICS. Maar nogmaals: het gebeurde allemaal geëncrypteerd. Het was onmogelijk om die info te ontcijferen.

Eigenlijk weet u dus niet precies welke informatie is buitgemaakt?

Clément: Wat we wel precies kunnen zeggen, is dat het volume van trafiek extreem laag was. Het gaat slechts over enkele kilobytes. De malware was duidelijk niet opgezet om in bulk data te onderscheppen. Ze waren er niet op uit om databanken te kopiëren of zo. Het ging om heel gerichte informatie die men zoch. Maar wat precies? Daar hebben we geen indicatie over.

Dagelijkse pogingen

Zijn er het afgelopen jaar nog pogingen geweest om het Belgacom-netwerk binnen te dringen?

Clément: Elke dag zijn er wel pogingen. Stel die vraag aan eender welke industrie of organisatie en zij zullen u hetzelfde antwoorden. We detecteren elke dag incidenten en virussen. Ze worden door antivirusprogramma’s in quarantaine geplaatst. Net omdat de frequentie zo hoog ligt, hebben wij een gespecialiseerd team dat zich daarmee bezighoudt.

Maar los van die dagelijkse huis-tuin-keukenvirussen: zijn er nog grote, gerichte aanvallen geweest?

Clément: Neen. Sinds we het systeem hebben gezuiverd, hebben we geen aanvallen van dat type meer vastgesteld.

Vijftien miljoen euro

© Kristof Clerix

Tom Delforge & Fabrice Clément (Belgacom)

© Kristof Clerix

Hoeveel heeft dit allemaal gekost voor Belgacom? De specialisten van FOX-IT inhuren, het onderzoek doen, een heuse opkuisoperatie plannen, 200 personeelsleden die twee maanden hierop werkten?

Clément: Moet het grote publiek dat weten? Ik kan u wel zeggen dat dit soort incidenten een bedrijf verschillende miljoenen euro’s kosten.

Tom Delforge (hoofd communicatie Belgacom): Het opvangen, managen en oplossen van zo’n incident heeft zijn kostprijs. De stappen die je daarna neemt om je verdediging op het niveau van de laatste dreigingen te brengen, hebben ook een prijskaartje.

Clément: Gebaseerd op onze ervaringen hebben we intern een programma rond cyberveiligheid gelanceerd. Daarin hebben we vijftien miljoen euro geïnvesteerd. We hebben trouwens al vijf jaar een team van ethische hackers in huis die onze veiligheid testen. Daarnaast hebben we intern ook een soort van IT-brandweerteam – het Cyber Security Incident Response Team (CSIRT) – dat ons systeem permanent monitort. Belangrijk is ook dat je je mensen traint en sensibiliseert.

Hoe doet Belgacom dat?

Clément: Een voorbeeld. Ons Cyber Security Incident Response Team heeft alle 14.000 Belgacom-werknemers een phishing-mail gestuurd. Als ze doorklikten op een link in die e-mail, konden ze zogezegd een Samsung smartphone winnen. De helft van ons personeel heeft daadwerkelijk op die link doorgeklikt. Waarop ze de boodschap te zien kregen: ‘Dit had je beter niet gedaan.’

‘Géén reputatieschade’

Hoe blikt Belgacom terug op de hele hacking-crisis?

Delforge: Niet ontevreden. In die zin dat de voornaamste risico’s efficiënt gemanaged zijn. Wij hebben geen impact op onze stock prijs gehad, we hebben geen klanten verloren, we hebben – door op het einde transparant te communiceren – geen reputatieschade geleden. Integendeel. Zeker van de bedrijfswereld die de problematiek beter kent en ermee vertrouwd is, hebben we veel positieve respons gehad op de manier waarop we het hebben aangepakt en erover hebben gecommuniceerd.

Komaan. De NAVO en de Europese instellingen moeten toch ernstige vraagtekens hebben geplaatst bij de betrouwbaarheid van Belgacom?

Clément: Een jaar geleden werd daarover in de kranten gespeculeerd. We hebben toen duidelijk gesteld dat noch de EU noch de NAVO geïnfecteerd is. Er was geen enkel risico voor die klanten.

Delforge: Een van de reden dat je je klanten behoudt, is omdat je investeert en moeite doet om naar hen zo transparant mogelijk te zijn, op basis van wat je kan delen. De moeilijkheid in de communicatie in het algemeen was: wat kan je delen op welk moment? Je kan geen feiten delen die het onderzoek zouden belemmeren of in gevaar brengen, of de remediëring zouden bemoeilijken.

Bedankt voor het gesprek.

MO* sprak met Fabrice Clément in de marge van het Belgian Cyber Security Symposium, dat  in Brussel plaatsvond op 21 oktober 2014. Elementen uit de speech die Clément daar gaf, zijn in bovenstaand interview verwerkt.