Belgische staat gebruikt bijzonder omstreden spionagesoftware, spoor leidt naar militaire geheime dienst

Belgische staat gebruikt bijzonder omstreden spionagesoftware, spoor leidt naar militaire geheime dienst

De Belgische staat is klant van FinFisher, een controversieel bedrijf dat spyware ontwikkelt waardoor bijvoorbeeld Skype-gesprekken, e-mails en chatberichten onderschept kunnen worden. Ons land staat als klant zo tussen repressieve landen zoals Qatar en Bahrein. Dat blijkt uit nieuwe documenten die klokkenluiderssite Wikileaks heeft gepubliceerd. Alles wijst erop dat de militaire inlichtingendienst ADIV de klant is.

De software en diensten van FinFisher zijn erg omstreden, omdat het door heel wat dubieuze en totalitaire regimes gebruikt wordt om de eigen bevolking te bespioneren en zo de teugels strak aan te trekken. Het gaat dan om landen zoals Qatar, Bahrein en Pakistan. Het bedrijf kwam een eerste keer echt onder de aandacht in 2011, toen bleek dat veiligheidsdiensten van de voormalige Egyptische president Hosni Mubarak licenties op de software van FinFisher had aangekocht.

“Geen misbruik”

Nu komt Wikileaks, de site van Julian Assange, met een nieuwe lijst van FinFisher-klanten, en daar staan vier landen bij waar nog nooit eerder iets over verschenen is. En jawel: België is erbij.

Vorig jaar publiceerden de onderzoekers van Citizen Lab al eens 36 landen waar sporen van de spionagepraktijken van FinFisher werden gevonden. Daar zaten heel wat landen met omstreden reputaties bij.

Zelf blijft Gamma, het moederbedrijf van FinFisher, volhouden dat alles legitiem verloopt, en de software enkel aan overheden wordt verkocht die er geen misbruik van zullen maken. Onderzoekers van de Universiteit van Toronto wisten echter al aan te tonen dat ook staten zoals Bahrein de tools gebruiken voor bijvoorbeeld mensenrechtenactivisten te te bespioneren.

Licenties

Wat weten we nu precies over ons land? De gegevens komen van een anonieme hacker die claimt vorige maand de servers van FinFisher te hebben gehackt. Uit die gegevens kon nog niet zo veel worden opgemaakt, omdat de gegevens een lijst met nietszeggende gebruikersnamen bevatte. De hacker wist namelijk ook support tickets te bemachtigen, en dankzij analyse van die gegevens konden de gebruikersnamen aan landen en overheden gelinkt worden.

De eerste Belgische licentie werd volgens de buitgemaakte gegevens op 19 mei 2012 besteld, en vorig jaar werden nog nieuwe licenties besteld die ook dit jaar nog geldig zijn. Dat kostte de Belgische overheid in totaal naar schatting 1.104.360 euro, voor dertien verschillende licenties. Het gaat dan niet alleen om de basisversie van FinSpy, maar ook voor mobiele toestellen en FinFly-spionagesoftware voor USB, LAN, web, FireWire en een zogenaamde FinIntrusion Kit.

Wie is Wim Bordeyne?

De Belgische contactpersoon bij FinFisher blijkt ene Wim Bordeyne te zijn. Uit onderzoek van newsmonkey blijkt dat Bordeyne voor het Belgische leger werkte, maar we kregen daar geen bevestiging over van Defensie, en Bordeyne zelf reageert niet op gsm-oproepen.

Naar alle waarschijnlijkheid werkt Bordeyne voor ADIV, de militaire inlichtingendienst van Defensie. Die heeft zo’n 600 mensen in dienst, en is bevoegd om informatie te verzamelen voor het leger.

Bordeyne stelt vragen over hoe rootkits – een set spyware – geïnstalleerd moeten worden op de systemen van doelwitten, en hoe hij samen met ene Pierre en Lucian data van een geïnfecteerde computer kan opvragen. In de support tickets wordt verder ook nog gesproken over het gebruik van de keylogger – een programma dat bijhoudt welke toetsen op het keyboard worden ingedrukt – en een programma dat screenshots kan maken op een geïnfecteerd toestel.

Dat België ook dit jaar nog actief gebruikmaakte van FinFisher blijkt ook uit de support tickets. De overheidsinstantie in kwestie heeft op de vergadering op 14 januari 2014 namelijk gevraagd aan FinFisher of het mogelijk is om de software tijdelijk “in slaapstand” te zetten. Ze mogen de spionagesoftware namelijk enkel gebruiken als een rechter daar toelating voor gegeven heeft, maar soms werkt het Belgische gerecht te traag waardoor het nieuwe schriftelijk bevel een week te laat wordt verkregen.

Gesponsorde artikelen