Belgija istražuje jesu li kineski hakeri upali u njenu obavještajnu službu

 

Napadači koje podržava kineska država navodno su dobili pristup VSSE-ovom eksternom serveru e-pošte između 2021. i maja 2023. godine, pri čemu su izvukli oko 10 posto svih mejlova koje je poslalo i primilo osoblje Agencije.

Kompromitovani server se koristio samo za razmjenu e-pošte sa javnim tužiocima, vladinim ministarstvima, policijom i drugim tijelima javne belgijske uprave, kako je belgijski list Le Soir objavio.

Prema The Brussel Timesu, hakovani server je, također, usmjerio interne razmjene ljudskih resursa među belgijskim obavještajnim osobljem, što je izazvalo zabrinutost zbog mogućeg izlaganja osjetljivih ličnih podataka, uključujući lične dokumente i biografije koji pripadaju skoro polovini trenutnog osoblja VSSE-a i ranijih kandidata.

Belgijski lokalni mediji prvi put su izvijestili o napadu na VSSE 2023. godine, što se podudarilo s otkrivanjem ranjivosti Barracuda. Nakon toga, belgijska obavještajna služba prestala je koristiti Barracudu kao pružatelja usluga cyber sigurnosti i savjetovala je osoblju koje se našlo na udaru da obnove identifikacione dokumente kako bi se smanjio rizik od krađe identiteta.

Međutim, trenutno nema dokaza o pojavljivanju ukradenih podataka na dark webu ili zahtjevima za otkupninom, a anonimni izvori ukazuju na to da VSSE-ov sigurnosni tim nadzire forume za hakerisanje dark weba i tržišta u potrazi za informacijama koje su procurile.

"Tajming napada bio je posebno kritičan, jer smo bili usred velike akcije zapošljavanja nakon odluke prethodne vlade da gotovo udvostruči naša radna snaga", rekao je anonimni izvor iz obavještajnih službi za Le Soir. "Mislili smo da smo kupili pancir, a ispostavilo se da smo na njemu našli rupu koja zjapi".

VSSE se nije javno oglašavao po tom pitanju, samo napominjući da je podnijesena formalna žalba, prema izvještaju Brussel Timesa. Istovremeno, federalno tužilaštvo je potvrdilo da je sudska istraga počela u novembru 2023. godine, ali je naglasilo da je prerano donositi bilo kakve zaključke.

Ovo nije prvi put da kineski državni hakeri imaju na meti Belgiju. U julu 2022. godine, ministar vanjskih poslova zemlje rekao je da su kineske prijetnje koje podržava država APT27, APT30, APT31 i Gallium (aka Softcell i UNSC 2814) napale belgijska ministarstva odbrane i unutrašnjih poslova.

Kineska ambasada u Belgiji negirala je optužbe i ukazala na nedostatak dokaza koji bi potvrdili tvrdnje belgijske vlade.

"Izuzetno je neozbiljno i neodgovorno od belgijske strane izdati saopštenje o takozvanim 'zlonamjernim sajber napadima' kineskih hakera bez ikakvih dokaza", rekao je portparol kineske ambasade.

 

Kršenje povezano sa nultim danom Barracuda ESG

 

VSSE-ov server je vjerovatno probijen korištenjem ranjivosti nultog dana u uređaju Barracuda-ovog Email Security Gateway-a (ESG).

U maju 2023. godine, Barracuda je upozorila da su napadači koristili zlonamjerni softver Saltwater, SeaSpy, Sandbar i SeaSide u napadima krađe podataka najmanje od oktobra 2022. godine, pozivajući kupce da odmah zamjene ugrožene uređaje.

 

Nakon toga, CISA je otkrila da je pronašla novi Submarine (aka DepthCharge) i Whirlpool malver koji se koristi za backdoor Barracuda ESG uređaja na mrežama federalnih agencija SAD.

Istovremeno, kompanija za cyber sigurnost Mandiant povezala je napade sa UNC4841, hakerskom grupom poznatom po napadima cyber špijunaže kojom podržava Narodnu Republiku Kinu.

Mandiant je, također, otkrio da su osumnjičeni kineski hakeri nesrazmjerno ciljali i provalili vladu i organizacije povezane sa vladom širom svijeta u ovim napadima.

U decembru 2023. godine, Barracuda je upozorila na još jednu ranjivost nultog dana ESG-a koju su iskoristili u drugom talasu napada kineskih hakera UNC4841.

Glasnogovornik Barracuda izdao je saopćenje u kojem je navedeno:

„Iskorištavanje ranjivosti koja je uticala na manje od pet posto uređaja Email Security Gatewaya dogodila se 2023. – ne 2021. Podaci naše istrage potvrđuju da ranjivost nije iskorištena 2021. godine.

Barracuda je odmah otklonila problem, koji je popravljen kao dio zakrpe BNSF-36456 i primijenjen na sve uređaje korisnika".  

 

ZAKLJUČAK  

 

Posljednji u nizu slučajeva koji pokazuju o upadima kineskih hakerskih grupa podržanih od strane kineske države u sigurnosnu infrastrukturu zapadnih zemalja. Tokom prethodnih nekoliko godina ovakvi slučajevi hakerskih napada dešavali su se diljem Evrope, Sjedinjenih Američkih Država, ali i zemalja Azije. Naročito su bile pogođene zemlje koje koriste informatičku opremu proizvedenu od strane kineskih kompanija. Sve to je rezultiralo odlukom da značajan broj zapadnih zemalja eliminira opremu kineskih proizvođača koja se koristi u sigurnosnim poslovima.  

No, čak i kada se ne koristi kineska oprema i softveri, kineski hakeri koje podržava država, imaju na meti sigurnosne agencije i vladine institucije zapadnih zemalja. U više navrata su iz zapadnih sigurnosnih službi stizala upozorenja da se obrati pažnja na djelovanje kineskih hakerskih grupa.  

U zemljama Zapadnog Balkana, sa druge strane, korištenje opreme kineskih kompanija za sigurnosne namjene je vrlo česta. O ovakvim upozorenjima se gotovo ne vodi računa. Jedini koji na to upozoravaju su mediji i nevladine organizacije. No, vlasti i dalje nastavljaju sa nabavljanjem opreme od strane kineskih kompanija za sigurnosne namjene, čak i kada se te kompanije nalaze pod sankcijama.