Το Ομοσπονδιακό Γραφείο Εισαγγελέων στο Βέλγιο διερευνά σοβαρά το ενδεχόμενο ότι Κινέζοι χάκερ πέτυχαν να διεισδύσουν στους εξωτερικούς διακομιστές email της βελγικής Κρατικής Υπηρεσίας Ασφαλείας (VSSE). Παρότι η VSSE δεν το επιβεβαιώνει δημόσια, το γεγονός ότι υποβλήθηκε επίσημη καταγγελία εγείρει ερωτήματα σχετικά με την έκταση της πιθανής παραβίασης και με το αν, τελικά, τέθηκαν σε κίνδυνο ιδιαιτέρως ευαίσθητα δεδομένα.
Σύμφωνα με αρκετές βελγικές εφημερίδες, οι χάκερ φέρεται να απέκτησαν πρόσβαση στον εξωτερικό email server της VSSE από το 2021 έως τον Μάιο του 2023, αποσπώντας περίπου το 10% όλων των μηνυμάτων που διακινήθηκαν από ή προς το προσωπικό της υπηρεσίας. Μεγάλο μέρος αυτής της αλληλογραφίας αφορούσε επικοινωνίες με εισαγγελείς, κυβερνητικά υπουργεία, την αστυνομία και διάφορους άλλους δημόσιους φορείς. Έτσι, αν και ο διακομιστής φέρεται να χρησιμοποιούταν μόνο για «επίσημη» εξωτερική ηλεκτρονική αλληλογραφία, ακόμα και αυτή η χρήση μπορεί να αποκαλύπτει κρίσιμες πληροφορίες για πτυχές της βελγικής κρατικής λειτουργίας.
Επιπλέον, αναφορές υποδηλώνουν ότι ο ίδιος server χρησιμοποιούνταν και για εσωτερικά ζητήματα ανθρώπινου δυναμικού, προκαλώντας ανησυχίες για διαρροή προσωπικών δεδομένων υπαλλήλων της υπηρεσίας. Έγγραφα ταυτοποίησης, βιογραφικά σημειώματα και άλλες ιδιωτικές πληροφορίες θα μπορούσαν να έχουν περιέλθει στα χέρια των επιτιθέμενων, με ό,τι αυτό συνεπάγεται για πιθανή κλοπή ταυτότητας.
Αξίζει να σημειωθεί ότι οι υποψίες για αυτή την παραβίαση προέκυψαν περίπου την ίδια χρονική περίοδο που η εταιρεία κυβερνοασφάλειας Barracuda αποκάλυψε μια επικίνδυνη ευπάθεια στο δικό της Email Security Gateway (ESG). Όπως αποκαλύφθηκε αργότερα από αναφορές της CISA και της Mandiant, η ευπάθεια σχετιζόταν με εξελιγμένες επιθέσεις που αξιοποιούσαν κακόβουλο λογισμικό (π.χ. Saltwater, SeaSpy, Submarine/DepthCharge), αποδίδοντας την ευθύνη σε μια ομάδα γνωστή ως UNC4841, που φαίνεται να δρα προς όφελος της Λαϊκής Δημοκρατίας της Κίνας. Ως επακόλουθο του συμβάντος, η VSSE διέκοψε τη συνεργασία της με τη Barracuda, ενώ όσοι επηρεάστηκαν έλαβαν οδηγίες να αντικαταστήσουν τα έγγραφα ταυτοποίησής τους για να αποφύγουν πιθανά περιστατικά κλοπής ταυτότητας.
Μέχρι στιγμής, δεν έχουν εντοπιστεί αποδείξεις ότι οι χάκερ πωλούν ή δημοσιεύουν τα κλεμμένα δεδομένα στο dark web, ούτε ότι έχουν προβεί σε οικονομικές ή άλλου είδους απαιτήσεις. Ανεπίσημες πηγές αναφέρουν ότι το προσωπικό ασφαλείας της VSSE επιτηρεί ενεργά φόρα και ψηφιακές αγορές του dark web, αναζητώντας οποιεσδήποτε ύποπτες αναρτήσεις.
Το Βέλγιο έχει ιστορικό στοχοποίησης από ομάδες κυβερνοκατασκοπίας, ιδίως όταν οι επιθέσεις έχουν σχέση με κινεζικές κρατικές οντότητες. Ήδη από το 2022, επίσημες βελγικές αρχές κατονόμαζαν συγκεκριμένες ομάδες (APT27, APT30, APT31 και Gallium/Softcell), οι οποίες είχαν επιχειρήσει να πλήξουν κυβερνητικούς φορείς, όπως το Υπουργείο Άμυνας και το Υπουργείο Εσωτερικών. Αξιοσημείωτο είναι ότι, παρά την επίσημη βελγική θέση, η κινέζικη πλευρά αρνείται κάθε ευθύνη, απαιτώντας συγκεκριμένες αποδείξεις πριν προβεί σε οποιοδήποτε σχόλιο.
Ένας επιπλέον παράγοντας που κάνει την υπόθεση ακόμη πιο δυσάρεστη είναι ότι, σύμφωνα με μαρτυρίες μέσα από την ίδια τη VSSE, την περίοδο της κυβερνοεπίθεσης βρισκόταν σε εξέλιξη μεγάλη προσπάθεια προσλήψεων προκειμένου να διευρυνθεί η υπηρεσία σχεδόν στο διπλάσιο μέγεθός της. Το συγκεκριμένο χρονοδιάγραμμα εγείρει ερωτήματα για το πόσα νέα στοιχεία (αιτήσεις, βιογραφικά, συνοδευτικές επιστολές) ήταν αποθηκευμένα στους ίδιους υποδοχείς email, αυξάνοντας δυνητικά το ρίσκο διαρροής.
Σε κάθε περίπτωση, η ομοσπονδιακή εισαγγελία του Βελγίου, που έχει ήδη εκκινήσει έρευνα από τον Νοέμβριο του 2023, παραμένει φειδωλή στις δηλώσεις, υπογραμμίζοντας ότι ο φάκελος είναι ακόμα σε εξέλιξη και πως δεν μπορούν να εξαχθούν οριστικά συμπεράσματα για την ταυτότητα των δραστών. Εκπρόσωποι της Barracuda, από την πλευρά τους, επιμένουν πως η εκμετάλλευση της ευπάθειας στο ESG συνέβη αποκλειστικά το 2023 και πως οποιαδήποτε αναφορά σε παραβίαση από το 2021 βασίζεται σε εσφαλμένες ή ανακριβείς πληροφορίες.
Ανάλυση και Εκτίμηση των Επιπτώσεων
Η υπόθεση αυτή αντικατοπτρίζει πόσο δύσκολες είναι οι κυβερνοεπιθέσεις απέναντι σε κρατικούς οργανισμούς, όταν μάλιστα αυτοί βασίζονται σε τρίτους παρόχους τεχνολογικής ασφάλειας. Ο αγώνας μεταξύ επιτιθέμενων και αμυνόμενων τείνει να εντείνεται ιδιαίτερα όταν το διακύβευμα είναι η εθνική ασφάλεια και η προστασία από πρακτικές κυβερνοκατασκοπίας. Οι εκτεταμένες επιθέσεις με στόχο κρατικές υποδομές απαιτούν διαρκή αναβάθμιση των μεθόδων προστασίας καθώς και εντατική παρακολούθηση πιθανής διαρροής δεδομένων.
Εάν επιβεβαιωθούν οι αρχικές ενδείξεις ότι πίσω από τις επιθέσεις κρύβονται κρατικοί φορείς της Κίνας, το ζήτημα πιθανότατα θα επηρεάσει τη διπλωματική σχέση ανάμεσα στο Βέλγιο και το Πεκίνο, καθώς ήδη υπάρχουν παρόμοιες κατηγορίες για προηγούμενες εισβολές σε βελγικούς δημόσιους οργανισμούς. Μένει να φανεί κατά πόσο η δικαστική έρευνα θα καταλήξει σε αδιάσειστες αποδείξεις, ικανές να τεκμηριώσουν επίσημες και πιο οριστικές κατηγορίες.
Πηγή: BleepingComputer, BrusselsTimes
