Circles is een bedrijf dat tools levert om telefoons af te luisteren. Het kan gesprekken, berichten en de locatie van het toestel onderscheppen via het SS7-protocol. Het bedrijf werd in 2014 overgenomen door NSO, het Israëlische spywarebedrijf dat zich toelegt op misbruik van kwetsbaarheden en momenteel wordt aangeklaagd door Facebook voor het hacken van Whatsapp.

Het Canadese onderzoekslab Citizen Lab pakt nu uit met een lijst van waarschijnlijke klanten van Circles. Het kan dat omdat klanten van de tools een specifiek VPN-portaal van beveiliger Check Point gebruiken. Via een brede scan van het internet kon het dat portaal bij IP-adressen van een 25-tal landen terugvinden. Omdat Circles zelf zegt alleen maar aan overheden (nation states) te verkopen, zou dit betekenen dat ook de Belgische overheid klant is en mogelijk Circles gebruikt om bepaalde telefoons af te luisteren.

Twee Belgische IP-adressen

Data News probeerde de organisatie achter de IP-adressen te achterhalen en botst daarbij op een paar vreemde zaken. Het ene adres is van een klant bij Telenet, het andere van Proximus, waarbij het laatste adres opmerkelijk genoeg wijst naar Winterthur, een verzekeringsgroep die meer dan tien jaar geleden werd overgenomen door Axa.

Maar de link naar Axa loopt dood. Het bedrijf gebruikt vandaag andere IP-adressen dan het adres dat Citizen Lab vermeldt. Mocht de klant daadwerkelijk Winterthur/Axa zijn, dan zou dat vlotter te identificeren zijn.

Tegelijk hebben de IP-adressen waar het Check Point portaal draait een certificaat dat niet helemaal klopt en geen informatie verstrekt over de eigenaar. Mocht het gaan om een bank of legitiem bedrijf (dat bijvoorbeeld securitytesten wil uitvoeren met tools van Circles) dan zou het certificaat wel in orde zijn. Dit wijst er op dat de organisatie achter de IP-adressen zijn echte identiteit probeert te verbergen.

Een goede bron van de redactie met kennis van hoe veiligheidsdiensten werken legt ons uit dat de situatie niet bewijst dat het IP-adres van een Belgische veiligheidsdienst is. Maar het patroon is wel gelijkaardig. Zo beschikken politiediensten ook over verbindingen van Telenet en Proximus om, 'vermomd' als particuliere gebruiker internetdiensten te gebruiken. Dat er twee IP-adressen van de twee grootste providers van ons land gelinkt zijn aan Circles lijkt op die praktijk te wijzen.

Een mogelijke denkpiste die de verwijzing naar Winterthur zou verklaren is dat het wel degelijk om een veiligheidsdienst gaat die een voormalig IP-adres van Winterthur gebruikt, maar dit niet liet aanpassen in de openbare registers.

Hoe luistert Circles telefoons af?

Circles luistert volgens Citizen Lab telefoons af via het SS7 of Signaling System 7. Dat protocol bestaat al sinds 1975 en wordt gebruikt door operatoren gebruiken om informatie uit te wisselen over telefoongesprekken.

Maar SS7 is verre van veilig. Destijds was het aantal telecomoperatoren beperkt. Omdat alle spelers elkaar kenden werd er geen authentificatie voorzien op dat protocol. Vandaag zijn er andere protocollen in omloop, maar SS7 bestaat nog steeds voor compatibiliteit met oudere toestellen of netwerken. Volgens Citizen Lab wordt het vandaag vooral op 2G en 3G netwerken gebruikt.

Concreet kan een speler die toegang heeft tot het SS7 netwerk zich voordoen als een buitenlandse operator en het doen lijken alsof het doelwit aan het roamen is, waardoor gesprekken, berichten en locatiedata via die speler worden gestuurd. Dat zorgt er voor dat het onderscheppen van een gesprek mogelijk is, zonder toegang tot de telefoon zelf, en zonder duidelijke sporen na te laten op dat toestel.

In België, maar daarom niet Belgisch

Tegelijk moeten we er ook aan toevoegen dat er ook andere pistes open liggen. Ons land is de thuisbasis van een aantal internationale instellingen (Navo, EU...) Het zou ook kunnen dat de 'Belgische' klant van Circles zich in die kringen bevindt.

Onze redactie nam vanmorgen contact op met het kabinet van minister van Binnenlandse Zaken Annelies Verlinden met de vraag of Belgische veiligheidsdiensten gebruik maken van Circle. Daar verwijst men door naar de federale politie en Staatsveiligheid. Bij de federale politie heeft men in eerste instantie geen weet van gebruik van de tool. Ook Staatsveiligheid ontkent formeel dat het Circles gebruikt.

Ambassades?

Een andere optie is dat de IP-adressen gelinkt zijn aan een ambassade. Het oude kantoor van Winterthur lag op de Kunstlaan 56 in Brussel. Het is een kantoorgebouw waar vandaag maar liefst 175 bedrijven hun vestigingsadres hebben, waaronder enkele nucleaire organisaties. Maar we vinden er ook de ambassade van Australië.

Mogelijk gaat het om toeval, maar Citizen Lab noemt Australië ook als één van de landen die klant is bij Circles. Het land zit samen met het VK, Nieuw-Zeeland en de VS ook in de Five Eyes alliantie van landen die onderling inlichtingen uitwisselen en de afgelopen decennia een stevige reputatie hebben opgebouwd op vlak van spionage.

Niet de eerste keer

Hoewel dus niet bewezen is dat de Belgische link naar een Belgische overheidsdienst wijst, is het niet de eerste keer dat België wordt genoemd bij gelijkaardige praktijken.

In 2015 publiceerde Wikileaks een lijst met servers die werden gebruikt voor spionagepraktijken via het Italiaanse bedrijf Hacking Team. Die kwamen aan het licht nadat Hacking Team zelf werd gehackt. De documenten toonden toen aan dat er ook vanuit België een infrastructuur werd opgezet voor dergelijke onderschepping.

Begin dit jaar lekte een klantenlijst uit van Clearview AI, een start-up die gezichtsherkenning aanbiedt met een database van drie miljard foto's die van het internet zijn geschraapt. Daaruit bleek dat Belgische politiekorpsen de software hebben gekocht of hebben geprobeerd (via een trial account).

Update 12.30 uur

We hebben dit artikel aangevuld met de passage over de ambassades van Canada en Australië.

Update 18 uur

Het artikel is aangevuld met de reactie dat de Federale Politie in eerste instantie geen weet heeft van gebruik van de tool door haar diensten.

Update 3 december, 11 uur:

Staatsveiligheid laat formeel weten aan Data News dat het Circles niet gebruikt binnen haar diensten.

Update 16.30 uur:

De ambassade van Canada heeft haar vestiging op de Kunstlaan 58, niet 56. We hebben de verwijzing naar Canda om die reden uit het artikel gehaald. De Australische ambassade zit wel in de kunstlaan 56.

Circles is een bedrijf dat tools levert om telefoons af te luisteren. Het kan gesprekken, berichten en de locatie van het toestel onderscheppen via het SS7-protocol. Het bedrijf werd in 2014 overgenomen door NSO, het Israëlische spywarebedrijf dat zich toelegt op misbruik van kwetsbaarheden en momenteel wordt aangeklaagd door Facebook voor het hacken van Whatsapp.Het Canadese onderzoekslab Citizen Lab pakt nu uit met een lijst van waarschijnlijke klanten van Circles. Het kan dat omdat klanten van de tools een specifiek VPN-portaal van beveiliger Check Point gebruiken. Via een brede scan van het internet kon het dat portaal bij IP-adressen van een 25-tal landen terugvinden. Omdat Circles zelf zegt alleen maar aan overheden (nation states) te verkopen, zou dit betekenen dat ook de Belgische overheid klant is en mogelijk Circles gebruikt om bepaalde telefoons af te luisteren.Data News probeerde de organisatie achter de IP-adressen te achterhalen en botst daarbij op een paar vreemde zaken. Het ene adres is van een klant bij Telenet, het andere van Proximus, waarbij het laatste adres opmerkelijk genoeg wijst naar Winterthur, een verzekeringsgroep die meer dan tien jaar geleden werd overgenomen door Axa.Maar de link naar Axa loopt dood. Het bedrijf gebruikt vandaag andere IP-adressen dan het adres dat Citizen Lab vermeldt. Mocht de klant daadwerkelijk Winterthur/Axa zijn, dan zou dat vlotter te identificeren zijn.Tegelijk hebben de IP-adressen waar het Check Point portaal draait een certificaat dat niet helemaal klopt en geen informatie verstrekt over de eigenaar. Mocht het gaan om een bank of legitiem bedrijf (dat bijvoorbeeld securitytesten wil uitvoeren met tools van Circles) dan zou het certificaat wel in orde zijn. Dit wijst er op dat de organisatie achter de IP-adressen zijn echte identiteit probeert te verbergen.Een goede bron van de redactie met kennis van hoe veiligheidsdiensten werken legt ons uit dat de situatie niet bewijst dat het IP-adres van een Belgische veiligheidsdienst is. Maar het patroon is wel gelijkaardig. Zo beschikken politiediensten ook over verbindingen van Telenet en Proximus om, 'vermomd' als particuliere gebruiker internetdiensten te gebruiken. Dat er twee IP-adressen van de twee grootste providers van ons land gelinkt zijn aan Circles lijkt op die praktijk te wijzen.Een mogelijke denkpiste die de verwijzing naar Winterthur zou verklaren is dat het wel degelijk om een veiligheidsdienst gaat die een voormalig IP-adres van Winterthur gebruikt, maar dit niet liet aanpassen in de openbare registers.Tegelijk moeten we er ook aan toevoegen dat er ook andere pistes open liggen. Ons land is de thuisbasis van een aantal internationale instellingen (Navo, EU...) Het zou ook kunnen dat de 'Belgische' klant van Circles zich in die kringen bevindt.Onze redactie nam vanmorgen contact op met het kabinet van minister van Binnenlandse Zaken Annelies Verlinden met de vraag of Belgische veiligheidsdiensten gebruik maken van Circle. Daar verwijst men door naar de federale politie en Staatsveiligheid. Bij de federale politie heeft men in eerste instantie geen weet van gebruik van de tool. Ook Staatsveiligheid ontkent formeel dat het Circles gebruikt.Een andere optie is dat de IP-adressen gelinkt zijn aan een ambassade. Het oude kantoor van Winterthur lag op de Kunstlaan 56 in Brussel. Het is een kantoorgebouw waar vandaag maar liefst 175 bedrijven hun vestigingsadres hebben, waaronder enkele nucleaire organisaties. Maar we vinden er ook de ambassade van Australië.Mogelijk gaat het om toeval, maar Citizen Lab noemt Australië ook als één van de landen die klant is bij Circles. Het land zit samen met het VK, Nieuw-Zeeland en de VS ook in de Five Eyes alliantie van landen die onderling inlichtingen uitwisselen en de afgelopen decennia een stevige reputatie hebben opgebouwd op vlak van spionage.Hoewel dus niet bewezen is dat de Belgische link naar een Belgische overheidsdienst wijst, is het niet de eerste keer dat België wordt genoemd bij gelijkaardige praktijken.In 2015 publiceerde Wikileaks een lijst met servers die werden gebruikt voor spionagepraktijken via het Italiaanse bedrijf Hacking Team. Die kwamen aan het licht nadat Hacking Team zelf werd gehackt. De documenten toonden toen aan dat er ook vanuit België een infrastructuur werd opgezet voor dergelijke onderschepping.Begin dit jaar lekte een klantenlijst uit van Clearview AI, een start-up die gezichtsherkenning aanbiedt met een database van drie miljard foto's die van het internet zijn geschraapt. Daaruit bleek dat Belgische politiekorpsen de software hebben gekocht of hebben geprobeerd (via een trial account).Update 12.30 uurWe hebben dit artikel aangevuld met de passage over de ambassades van Canada en Australië.Update 18 uurHet artikel is aangevuld met de reactie dat de Federale Politie in eerste instantie geen weet heeft van gebruik van de tool door haar diensten.Update 3 december, 11 uur:Staatsveiligheid laat formeel weten aan Data News dat het Circles niet gebruikt binnen haar diensten.Update 16.30 uur:De ambassade van Canada heeft haar vestiging op de Kunstlaan 58, niet 56. We hebben de verwijzing naar Canda om die reden uit het artikel gehaald. De Australische ambassade zit wel in de kunstlaan 56.