Procuratura federală din Belgia investighează dacă hackerii chinezi au fost implicați într-o breșă a Serviciului de Securitate de Stat al țării (VSSE).
Atacatorii sprijiniți de statul chinez ar fi obținut acces la serverul de email extern al VSSE între 2021 și mai 2023, sustrăgând aproximativ 10% din toate emailurile trimise și primite de către personalul agenției.
Serverul compromis era folosit doar pentru schimbul de emailuri cu procurorii publici, ministerele guvernamentale, forțele de ordine și alte entități publice din administrația belgiană, conform raportului publicat de Le Soir miercuri.
Conform The Brussels Times, serverul spart a rutat, de asemenea, schimburile interne de resurse umane între personalul de informații belgian, ridicând preocupări privind expunerea potențială a datelor personale sensibile, inclusiv documente de identitate și CV-uri aparținând aproape jumătate din personalul actual al VSSE și aplicanților anteriori.
Media locală belgiană a raportat pentru prima dată un atac asupra VSSE în 2023, coincizând cu divulgarea vulnerabilității Barracuda. În urma acestui incident, serviciul de informații belgian a încetat să mai folosească Barracuda ca furnizor de securitate cibernetică și a sfătuit personalul afectat să-și reînnoiască documentele de identitate pentru a reduce riscul de fraudă identitară.
Însă, în prezent nu există dovezi că datele furate au apărut pe dark web sau că au fost cerute răscumpărări, iar surse anonime indică faptul că echipa de securitate a VSSE monitorizează forumurile și piețele dark web pentru informații scurse.
„Momentul atacului a fost extrem de nefericit, deoarece ne aflam în plin proces de recrutare masiv, după decizia guvernului anterior de a dubla aproape forța noastră de muncă,” a declarat o sursă anonimă din cadrul serviciului de informații pentru Le Soir. „Credeam că am cumpărat un vest antiglonț, doar pentru a găsi un gol imens în el.”
VSSE a rămas tăcut în legătură cu această problemă, menționând doar că s-a depus o plângere oficială, conform raportului Brussels Times. În același timp, procuratura federală a confirmat că o anchetă judiciară a început în noiembrie 2023, dar a subliniat că este prea devreme pentru a trage vreo concluzie.
Aceasta nu este prima dată când hackerii de stat chinezi au vizat Belgia. În iulie 2022, ministrul belgian al Afacerilor Externe a declarat că grupurile de amenințări sprijinite de statul chinez APT27, APT30, APT31 și Gallium (cunoscut și sub numele de Softcell și UNSC 2814) au atacat ministerele belgiene ale apărării și de interne.
Ambasada Chinei din Belgia a negat acuzațiile și a subliniat lipsa de dovezi pentru a susține afirmațiile guvernului belgian.
„Este extrem de neprofesionist și iresponsabil din partea belgienilor să emită o declarație despre presupusele ‘atacuri cibernetice malefice’ ale hackerilor chinezi fără nicio dovadă,” a declarat purtătorul de cuvânt al ambasadei chineze.
Se pare că serverul VSSE a fost spart folosind o vulnerabilitate zero-day în aparatul Barracuda Email Security Gateway (ESG).
În mai 2023, Barracuda a avertizat că atacatorii au folosit malware-ul personalizat Saltwater, SeaSpy, Sandbar și SeaSide în atacuri de furt de date începând cu cel puțin octombrie 2022, îndemnând clienții să înlocuiască imediat aparatele compromise.
Ulterior, CISA a dezvăluit că a descoperit noul malware Submarine (cunoscut și sub numele de DepthCharge) și Whirlpool folosit pentru a crea backdoor-uri în aparatele Barracuda ESG pe rețelele agențiilor federale americane.
În același timp, compania de securitate cibernetică Mandiant a legat atacurile de UNC4841, un grup de hackeri cunoscut pentru atacuri de spionaj cibernetic în sprijinul Republicii Populare Chineze.
Mandiant a descoperit, de asemenea, că hackerii chinezi presupuși au vizat și spart desproporționat organizații guvernamentale și legate de guvern din întreaga lume în aceste atacuri.
În decembrie 2023, Barracuda a avertizat cu privire la o altă vulnerabilitate zero-day a ESG exploatată într-o a doua serie de atacuri de hackerii chinezi UNC4841.
Actualizare 27 februarie, 15:08 EST: Un purtător de cuvânt al Barracuda a distribuit următoarea declarație după publicarea inițială:
„Exploatarea vulnerabilității care a afectat mai puțin de cinci la sută din aparatele Email Security Gateway a avut loc în 2023 – nu în 2021. Datele noastre de investigație confirmă că vulnerabilitatea nu a fost exploatată în 2021. Barracuda a remediat prompt problema, care a fost rezolvată ca parte a patch-ului BNSF-36456 și aplicată tuturor aparatelor de client. Un cronologie detaliată a actualizărilor poate fi găsită aici.”
Leave a Reply