Staatsveiligheid en militaire eenheid getroffen door hacking bij securityleverancier

© Getty
Kristof Clerix
Kristof Clerix Onderzoeksjournalist

De hacking van het Amerikaanse securitybedrijf Barracuda heeft in België impact op twee overheidsdiensten: de Staatsveiligheid en de Belgian Pipeline Organisation, de militaire eenheid die pijpleidingen onderhoudt. Dat vernamen Knack en Datanews uit meerdere goedgeïnformeerde bronnen. Het Cyber Command van Defensie voert een forensisch onderzoek bij de BPO.

Op 18 mei 2023 ontdekt het Amerikaanse securitybedrijf Barracuda dat er iets vreemd aan de hand is met de hard- en software die het wereldwijd verkoopt om e-mails te beschermen. Al snel achterhaalt het een kwetsbaarheid in zijn “Email Security Gateway appliance”. In mensentaal: een toestel dat fungeert als een soort firewall voor het in- en uitgaande mailverkeer.

Na verder onderzoek in samenwerking met de cyberspecialisten van Google-dochterbedrijf Mandiant stelt Barracuda vast dat hackers al in oktober 2022 de kwetsbaarheid waren beginnen uitbuiten, onder meer om malware te verspreiden. Barracuda vindt ook bewijs dat er data zijn buitgemaakt. Het wijst de hacking toe aan UNC4841, een ‘agressieve en zeer bekwame actor’ met ‘vermoedelijke linken naar China’. Mandiant maakte melding van slachtoffers in minstens 16 landen, waaronder ook overheidsdiensten.

Knack en Datanews vernamen uit meerdere goedgeïnformeerde bronnen dat in België de Staatsveiligheid en de Belgian Pipeline Organisation (BPO) getroffen zijn door de hacking van Barracuda.

Extern mailverkeer

Voor alle duidelijkheid: het is níét de Staatsveiligheid zelf die gehackt is. De Staatsveiligheid maakt gebruik van twee gescheiden datanetwerken: een intern netwerk met geclassificeerde informatie en een extern netwerk voor e-mailverkeer met de buitenwereld. Dat eerste is volgens onze info niet getroffen, het externe mailverkeer wel –aangezien dat beveiligd wordt met Barracuda-apparatuur.

En ook al staat er in principe geen geclassificeerde informatie in die e-mails, de vraag of een derde partij al dan niet heeft kunnen meelezen veroorzaakt ongerustheid bij een aantal medewerkers van de inlichtingendienst.

Zoals wettelijk voorzien heeft de Staatsveiligheid de kwestie gemeld aan zijn toezichthouder, het Comité I. Ook het Centrum voor Cybersecurity Belgium (CCB) is ingeschakeld om het probleem mee te managen.

De Staatsveiligheid, het Comité I en het CCB wensen niet te reageren.

Netwerk van pijpleidingen

De Belgian Pipeline Organisation (BPO), opgericht in 2006 en met hoofdzetel in Leuven, staat 24/7 in voor de uitbating van een militair netwerk van 800 kilometer ingegraven pijpleidingen om brandstoffen te vervoeren. De BPO is zowel een Belgische militaire eenheid als een internationaal orgaan.

‘In mei is de BPO door Barracuda op de hoogte gebracht van de kwetsbaarheid in de Email Security Gateway appliance’, bevestigt kolonel Göran Boudry, hoofd van de BPO. ‘Bij zulke cyberveiligheidincidenten volgen we een vaste procedure. We hebben via de normale kanalen – het Cyber Command van Defensie – de nodige acties ondernomen om het lek te dichten. De eerste inschatting is dat de hackers niet voorbij het Barracuda-systeem zelf zijn gegaan. Maar dat moet verder bevestigd worden. Het Cyber Command is nog bezig met het forensische onderzoek.’

Apart netwerk

Of het e-mailverkeer van BPO dan wel andere data getroffen zijn, daarover wil Boudry niet in detail gaan. Volgens onze info zijn alvast geen geclassificeerde data getroffen omdat die op een apart netwerk stonden. Dat BPO überhaupt een doelwit is van cyberoperaties, verbaast de kolonel niet: ‘Wij zijn én een militaire installatie, én we maken deel uit van energie-bevoorrading. Dan is het niet onlogisch dat we op de radar komen.’

Het Cyber Command van het Belgisch leger bevestigt dat zij het incident mee opvolgen. ‘We hebben meermaals bij de BPO een team ter plaatse gestuurd, en ook een forensisch onderzoek uitgevoerd op het toestel in kwestie. Een verder actieplan wordt de komende weken uitgerold’, zegt generaal Michel Van Strythem, hoofd van het Cyber Command. ‘De bescherming van kritische infrastructuur met rechtstreekse impact op de werking van Defensie – en bijgevolg van het land – staat terecht hoog op de radar van het Cyber Command.’

Patch

Het Amerikaanse securitybedrijf Barracuda reageert dat het ‘snel een patch heeft uitgerold’ om de kwetsbaarheid in zijn Email Security Gateway appliances te verhelpen.

‘Vanaf 10 juni 2023 zijn er bij ongeveer 5 procent van de actieve ESG-appliances wereldwijd aanwijzingen gevonden die duiden op compromittering’, laat Barracuda weten in een reactie aan Knack en Datanews. ‘In het kader van onze beheersingsstrategie hebben we klanten op 31 mei 2023 geadviseerd om gecompromitteerde apparaten te vervangen door een nieuw, niet-aangetast apparaat. Barracuda verstrekt het vervangende product kosteloos aan getroffen klanten.’

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content