De Veiligheid van de Staat is tussen 2021 en 2023 slachtoffer geworden van een grootschalige hack door een Chinese hackersgroep. Het voorval wordt door interne bronnen omschreven als het ernstigste beveiligingsincident in de geschiedenis van de nationale inlichtingendienst.
De aanvallers, vermoedelijk opererend onder de naam UNC4841, konden binnendringen via een kritieke kwetsbaarheid in de zogenaamde e-mail security gateway-appliance van het Amerikaanse beveiligingsbedrijf Barracuda. Deze firewall, bedoeld om e-mailverkeer te filteren op malafide inhoud, bleek een achilleshiel die door Chinese hackers is uitgebuit.
Hoewel geclassificeerde informatie volgens de Staatsveiligheid niet is gecompromitteerd – deze werd uitsluitend uitgewisseld via interne servers – bestaat er grote bezorgdheid over de persoonlijke gegevens van het personeel. Naar schatting zijn identiteitsgegevens van bijna de helft van alle medewerkers mogelijk in Chinese handen gevallen.
Het federale parket heeft een officieel onderzoek geopend naar deze ernstige veiligheidsbreuk, waarbij ongeveer tien procent van alle inkomende en uitgaande e-mails van de inlichtingendienst is onderschept. Dat schrijft dagblad Le Soir. Het onderzoek moet nu uitwijzen welke specifieke gegevens zijn gestolen en wat de precieze impact is voor de nationale veiligheid.
Zero-day
Het Amerikaanse cyberbeveiligingsbedrijf Mandiant had in mei 2023 al gewaarschuwd dat de kwetsbaarheid als zero-day werd misbruikt bij wereldwijde aanvallen, waarbij een derde van de doelwitten overheidsinstanties waren. Barracuda ontwikkelde destijds een patch, maar adviseerde klanten om getroffen apparatuur volledig te vervangen.
De directie van de Staatsveiligheid heeft medewerkers aangeraden persoonlijke documenten die tussen 2021 en 2023 via e-mail zijn verstuurd, te laten vernieuwen. Het voorval wordt door bronnen binnen de dienst omschreven als het ernstigste beveiligingsincident in de geschiedenis van de Belgische inlichtingendienst.
Bij Barracuda benadrukken ze, in een schrijven aan de redactie, dat de exploitatie van de beschreven kwetsbaarheid plaatsvond in 2023. ‘En minder dan vijf procent van de Email Security Gateway-apparaten werd hierdoor beïnvloed’, klinkt het bij daar.
