Hackers kregen na aanval toegang tot interne mails van Belgische overheidsdienst

De Belgische federale overheidsdienst Binnenlandse Zaken is gehackt. De aanvallers kregen in april 2019 voor het eerst toegang tot de systemen en konden interne mails lezen. Het Centrum voor Cybersecurity België kwam afgelopen maart achter de aanval.

Tegen VRT zegt de overheidsdienst dat de cybercriminelen het netwerk van Binnenlandse Zaken wilden infiltreren en persoonlijke gegevens wilden stelen. Voor zover bekend hadden de aanvallers alleen toegang tot de interne mails van Binnenlandse Zaken en 'lokale systemen'. Deze overheidsdienst is onder meer verantwoordelijk voor de databanken van Belgische politiediensten, vreemdelingenzaken en voor de organisatie van verkiezingen en de uitreiking van identiteitskaarten. Deze systemen zijn volgens de overheidsdienst niet geraakt en er stonden geen geclassificeerde informatie of staatsgeheimen op het geïnfiltreerde netwerk, zegt de overheidsdienst.

De overheidsdienst spreekt over een 'complexe, geavanceerde en doelbewuste cyberaanval', die de dienst op het spoor kwam na de Microsoft Exchange-zerodays die in maart bekend werden. Binnenlandse Zaken gebruikt Exchange-mailservers en vroeg het Centrum voor Cybersecurity België daarom om ze te helpen met de beveiliging. Hierbij vond het CCB 'achterpoortjes' op het netwerk van de overheidsdienst, die het CCB verwijderde.

Het centrum besloot verder onderzoek te doen naar het netwerk van de overheidsdienst. Bij dit onderzoek waren er 'subtiele aanwijzingen' van verdachte handelingen. De eerste sporen dateren van april 2019. De complexiteit van de aanval 'wijst op een actor die over omvangrijke cybercapaciteiten en middelen beschikt'. Het doelbewuste handelen van de aanvallers doet de overheidsdienst en het CCB vermoeden dat de aanvallers wilden spioneren.

Hoewel het CCB de aanval op het spoor kwam door de Exchange-kwetsbaarheden, benadrukt de overheidsdienst tegen VRT dat die kwetsbaarheden niet de oorzaak waren van de hackaanval. Hoe de aanvallers het netwerk dan wel zijn binnengedrongen, maakt de overheidsdienst nog niet bekend.

Het CCB zegt dat de toegang voor de aanvallers nu is gestopt, malware is verwijderd en 'belangrijke informatie is veilig gesteld'. De systemen van Binnenlandse Zaken worden nu 'opgeruimd om de veiligheid te herstellen', ook wordt de IT-infrastructuur nu gemoderniseerd. De aanval wordt nu verder onderzocht, mede door het federaal parket. Andere Belgische organisaties zijn ingelicht over de aanval, onder meer de politie, de ADIV, het Nationale Crisiscentrum en de Gegevensbeschermingsautoriteit.

Door Hayte Hugo

Redacteur

26-05-2021 • 07:48

53 Linkedin

Submitter: BlueInk

Lees meer

Reacties (53)

Wijzig sortering
Indien vergelijkbare acties 'bovengronds' zouden gebeuren, dan stond Europa al lang in rep en roer. Met vergelijkbare acties bedoel ik dan 'fysisch' in overheidsgebouwen binnendringen, documenten stelen/copiëren. De gevolgen zijn hetzelfde, maar de perceptie is helemaal anders. De schaal waarop het gebeurt, is zelfs vele malen groter. Heeft iemand enig idee waarom de ernst van dergelijke cyberfeiten door buitenlandse instanties eigenlijk wel geminimaliseerd wordt?

[Reactie gewijzigd door grrfield op 26 mei 2021 08:01]

Ik denk dat wij, als mensheid, nog helemaal aan het begin staan van digitale bewustwording. Heel oude patronen in onze hersenen zijn gewoon niet in staat om de nieuwe werkelijkheid in te zien. Vergelijk het met het wel dichtdoen van de gordijnen als je met je partner op de bank gaat rotzooien, maar vergeet dat de beveiligingscamera en microfoon je misschien gewoon kunnen zien en horen. Die dingen heb je zelf naar je " ho / grot / woning" gesleept en als de deur eenmaal dicht is, verwacht je er geen gevaar meer van. En zelfs als je gehoord hebt dat die dingen gehacked kunnen worden, onderbewust geloof je niet dat de dingen in jouw woning toevallig gehacked zijn. Je ziet het er ook niet aan. Onze hersenen nemen vooral dingen waar, die anders klinken of er iets anders uitzien. Da's namelijk een teken van mogelijk gevaar.
En omdat overheden dit weten, en grote bedrijven trouwens ook, kunnen ze dit gemakkelijk bagatelliseren, misbruiken, afdoen als ongevaarlijk. Als er fysiek wordt ingebroken, schreeuwen onze hersens om actie, vergelding, en om beveiliging om het niet nog eens te laten gebeuren .

Tl, dr: van binnen zijn we nog oermensen.
Mooi verwoord waarom mensen niet om hun digitale privacy geven. Enkel wanneer het te laat is. De volgende digitale frontier gaat draaien rondom encryptie. Gaan we het toelaten voor het gewone volk en zo de regering voor een deel buiten spel zetten? (ik denk aan encryptie voor communicatie en waardetransfer)
Wellicht speelt ook dit mee:
als je met de wagen, trein, vliegtuig gaat, weet je ook voor je vertrekt dat er ... % kans is dat je en ongeluk overkomt. Toch blijven we niet thuis: baten/kosten-saldo helt sterk door in de richting van 'toch vertrekken' tgo. de toch zo kleine kans dat MIJ iets overkomt. We zwemmen immers in een zo grote school vissen ...
Het alternatief is trouwens ook niet niks: voortaan gewoon maar thuisblijven.
Op informaticagebied is de 'school vissen' dan nog een pak groter en de kans dat IK het ben die gehackt wordt veel kleiner vermoeden we - wat voor ...% van de gebruikers ook nog eens klopt ook.
We zijn te afhankelijk van China. Oorlog met China legt onze hele industrie en handel stil. Gevolg: Recessie, hyperinflatie, huizenmarkt stort in, werkeloosheid schiet omhoog, etc. etc.
Nergens in het artikel staat dat China achter de aanval zit. Of denk je soms dat andere landen zo een zaken niet doen?
Een diepgaande cyberaanval heeft de federale overheidsdienst Binnenlandse Zaken getroffen. Het gaat duidelijk om ‘state-sponsored’ hacking, naar alle waarschijnlijkheid door China.
https://www.standaard.be/cnt/dmf20210525_97751820

[Reactie gewijzigd door oja op 26 mei 2021 08:29]

Bij de VRT zeggen ze juist dat het op dit moment nog niet te bepalen is:
"Het gaat om spionage", zegt Vandeputte. "Als je kijkt naar de omvang en complexiteit, wijst alles naar een ander land. Dan wordt er heel snel in de richting van bijvoorbeeld Rusland of China gekeken, maar eigenlijk weten we er niets over. Elk land dat we nu noemen, is speculatie."
Gisteren of eergisteren stond er nog China genoemd in de krant het belang can Limburg viel me ook al op dat nu geen land meer werd genoemd. Liever geen ruzie met China denk ik.
Of een journalist had opgepikt van iemand "tis misschien China" en is daarmee gaan lopen en anderen hebben dat overgenomen. Achteraf is dan gezegd geweest dat dat puur speculatie is en hebben ze de artikels rechtgezet.
"naar alle waarschijnlijkheid"

maw ze weten het nog niet, maar omdat China de reputatie heeft benoemen ze het nog even..
Indertijd met de hack bij Belgacom wezen ze ook eerst naar China...
het bleken de Britse vrienden te zijn
Niet alleen omdat China de reputatie heeft, ook omdat de aanvalsvector en methodiek volledig overeenkomt met eerdere aanvallen van Chinese staatshackers.

In theorie is het mogelijk dat het een copycat is, maar in de praktijk komt dit eigenlijk nooit voor bij dergelijke geavanceerde aanvallen.
kan je specifieker zijn wat jij bedoeld met "aanvalsvector" en "methodiek". Ik ben oprecht benieuwd welke duidelijk onderscheidende kenmerken zijn.

De geografische "ligging" van IP adressen zou ikzelf bvb niet als credible bewijs vinden aangezien ik verwacht dat er de aanvallers via VPN/bastion/tor hun locatie willen verbergen. Ook een paar Chinese comments in broncode kan een makkelijke manier zijn om speurders af te leiden.

Daarom dat ik graag wil begrijpen wat nou echt duidelijke "giveaways" zijn.

Mij lijkt het vooral een makkelijk "zwart schaap" om naar te wijzen.
Ik dacht dat we hier in een rechtsstaat zaten, waar er eerst bewijzen op tafel moeten komen, maar blijkbaar is dat in deze tijden niet meer nodig, en is het genoeg als iemand wat op "sociale" of andere media roept.
Klopt helemaal. Sommige media en politici zullen dan al snel naar China en Rusland wijzen omdat dat nu eenmaal op politiek vlak vijandige staten zijn en een beetje propaganda nooit misplaatst is. We sullen het misschien nooit met zekerheid weten en van 1 ding kunnen we wel zeker zijn: de Russen en Chinezen zullen ontkennen en de aanhangers van de theorie gaan weer zeggen dat die ontkenning hen net schuldig maakt.
Neen in het begin dacht men NSA .
Dat is wel heel makkelijk gesteld.
Het is niet de eerste maal dat een belangrijke Belgische instelling aangevallen wordt, de Belgische telecom operator/ISP werd ook al aangevallen, door de UK en US, met de bedoeling om op illegale wijze, telefoon en dataverkeer te kunnen tappen.
Belgie is nu eenmaal een land waar een paar van de belangrijkste internationale instellingen zich bevinden…
Op dit moment is China ook vooral afhankelijk van "ons" om alle producten te kunnen afzetten. Als wij niets Chinees kopen, klapt de Chinese economie behoorlijk in. China heeft er geen belang bij om nu op grote schaal vijanden te maken, dat past ook niet in hun strategie.
Als wij niets Chinees kopen, klapt de Chinese economie behoorlijk in.
, denk niet dat dit iets is wat we ons kunnen permitteren; zijn er zoveel schappen en voorraden leeg straks (op supermarkten na) wat onze economie weer direct of indirect zou raken.
Klopt. Tegelijkertijd zie je dat steeds meer westerse bedrijven hun afhankelijkheid van China aan het heroverwegen zijn. De consument is ook steeds vaker bereid meer te betalen voor producten die lokaal zijn geproduceerd met lokale grondstoffen. Al zitten daar beperkingen aan natuurlijk.
Beetje vreemde conclusie die neigt naar stennis schoppen. Oorlog met Amerika zou net zo goed onze hele industrie en handel stil leggen. Net als oorlog met Duitsland. Met daarbij dezelfde gevolgen. Of niet.
Natuurlijk zijn we afhankelijk van China. Nederland telt op wereldschaal amper mee, dus die afhankelijkheid hebben we van zoveel meer landen. Maar dat betekent niet dat je als land zomaar een digitale aanval zult/moet accepteren.
Omdat spionage tussen landen een geaccepteerd iets is. België zal het andersom ook doen. Het is pas niet geaccepteerd als andere landen systemen plat leggen. Dan gaat het snel richting een oorlogshandeling.

Leuke quote uit dit artikel: https://www.dw.com/en/why...-on-each-other/a-43170428

Gaat wel over fysieke spionage, maar cyber spionage kent dezelfde principes.
"Since it is widely known that embassies will always employ so-called intelligence officers, a sort of nonaggression pact has grown between states … in which governments agree to essentially cast a blind eye on each other for mutual advantage," Glees told DW.

In effect, governments have to allow spies within their country, if they also want to their spies to operate abroad. What's left is a game of whose secret service can rack up the most intelligence.

[Reactie gewijzigd door oak3 op 26 mei 2021 08:14]

Het is iets complexer natuurlijk. Als je als spion betrapt wordt in een land, wordt je meestal het land wel uitgezet, zelfs als het gastland dat niet doet maar wel bekend maakt dat je ontmaskerd bent zal het eigen land je wel terughalen want je kan je werk als spion niet meer doen.
Er is ook een nuttig effect aan lichte spionage toe laten. Er kan sneller gedeëscaleerd worden, misverstanden kunnen vermeden worden, etc.
Waarschijnlijk omdat het al zo verziekt is dat iedereen dit doet. Maak je er een hoop heissa van openbaren andere landen hetzelfde over jou.
Heeft iemand enig idee waarom de ernst van dergelijke cyberfeiten door buitenlandse instanties eigenlijk wel geminimaliseerd wordt?

Ik wilde reageren en toen bedacht ik me dat ik eigenlijk helemaal niet begrijp wat je nu schrijft.. "De ernst minimaliseren" wat bedoel je daarmee?
CCB heeft eindelijk ontdekt hoe bevriende mogendheden meekijken/luisteren.
Dus zo ernstig is dit niet ...
Ik denk dat er communicatiegewijs veel geminimaliseerd wordt om escalaties te vermijden. Bovendien is het vaak heel lastig werkelijk te bewijzen wie zo'n aanval pleegt - waar dat bij fysieke handelingen wellicht anders is.
Politiek heb je er niks aan te schieten op de usual suspects zonder bewijs. Voor de publieke opinie is het wellicht ook beter niet teveel in detail te treden. Gesteld dat er een derde partij nodig was om de breach vast te stellen, lijkt het niet dat de security controls in place waren die het überhaupt mogelijk maken kwetsbare en/of geïmpacteerde systemen en informatie te identificeren.
Zonder logcollection en goed gemikte auditing rules is daar (bijna) geen beginnen aan - en dat is niet de boodschap die je wil brengen.
Het is niet altijd een kwestie van minimaliseren van dergelijke feiten. Met dergelijke cyberfeiten is het vaak erg moeilijk om de schuldige te achterhalen.
En foutief iemand beschuldigen is diplomatiek gezien ook best riskant.
Wat erger is, is dat politici de risico's en gevaren minimaliseren.
Deze dienst ook verantwoordelijk is voor uitreiking van identiteitskaarten, waarbij ze in Belgie "3 maanden lang" de vingerafdrukken mogen opslaan die op de eID's worden opgeslagen. Of er nu data van gelekt is of niet; dat is dus meteen het schoolvoorbeeld van waarom het opslaan van biometrische data geen goed plan is - ook niet "tijdelijk".

[Reactie gewijzigd door Slonzo op 26 mei 2021 15:25]

Deze dienst ook verantwoordelijk is voor uitreiking van identiteitskaarten, waarbij ze in Belgie "3 maanden lang" de vingerafdrukken mogen opslaan die op de eID's worden opgeslagen. Of er nu data van gelekt is of niet; dat is dus meteen het schoolvoorbeeld van waarom het opslaan van biometrische data geen goed plan is - ook niet "tijdelijk".
Ik had er niet meteen bij stilgestaan, maar dit is wel degelijk een zeer terechte opmerking.
En weer triest te lezen dat ondanks dat de patch al eeuwen uit is, dat het dan nog zo lang geduurd heeft eer de overheid zijn eigen systemen gepatcht krijgt.
Ik begrijp dat het niet direct kan als de patch uitkomt, maar tussen uitkomen van de patch en mja, dichten van het lek zullen we maar noemen, is toch wel een beetje overdreven veel tijd gegaan.
Nalatigheid is nog zacht uitgedrukt denk ik als het op beveiliging ( lees : het "gewoon" patchen van een security patch op Exchange) aankomt in dit geval.
Niet. De kwetsbaarheid werd nog niet zolang geleden ontdekt en gepachet, maar deze groepering was al langer op de hoogte van het lek en misbruikte het al sinds 2019. Het is omdat het ministerie een onderzoek instelde om na te gaan als het pas ontdekte lek actief misbruikt werd dat dit aan het licht kwam.
Is er bevestiging dat ze effectief de vulnerability in exchange hebben misbruikt in 2019?
Dat lees ik nergens echt duidelijk. De meeste persberichten zijn ook gewoon tegenstrijdig en maken veel sprongen in hun redenering.
Heb je het artikel eigenlijk wel gelezen?
Het Centrum voor Cybersecurity België kwam afgelopen maart achter de aanval.
Hoewel het CCB de aanval op het spoor kwam door de Exchange-kwetsbaarheden, benadrukt de overheidsdienst tegen VRT dat die kwetsbaarheden niet de oorzaak waren van de hackaanval.
Dus het heeft niets te maken met Exchange, behalve dan dat het patchen van de Exchange-servers te moeilijk bleek voor Binnenlandse Zaken en dat het CCB is gaan helpen en zo gezien heeft dat er iets niet klopte.

De patches voor die Exchange-kwetsbaarheden zijn ook uitgekomen in maart, dus ik zou eerder zeggen dat ze juist snel waren met hun systemen te patchen.
2 jaar toegang, maar er is geen gevoelige data gelekt ... yeah right. 🧐
Tja, het is net zo'n uitspraak als 'er stonden geen geclassificeerde informatie of staatsgeheimen op het geïnfiltreerde netwerk, zegt de overheidsdienst'.

We praten hierover de mailsystemen van een overheidsdienst. Die bevatten de email van vrijwel alle medewerkers voor decennia. Er zouden inderdaad geen geheime zaken opgeslagen mogen zijn maar in de praktijk is er genoeg interessante informatie te vinden. Die ambtenaren die vaak maar wat:
https://nos.nl/nieuwsuur/...-henk-kamp-is-wel-gehackt
nieuws: Privéaccount dat vicepresident VS gebruikte voor vertrouwelijke mail ...
Dat kan, afhankelijk van hoeveel toegang men had en hoe gevoelige informatie gedeeld wordt. Als gevoelige emails incrypted verstuurd worden moet je al tot aan de private keys geraken om ze te ontsleutelen. En laat dat iets zijn waar bijv. Exchange geen toegang toe heeft.
Dat kan, afhankelijk van hoeveel toegang men had en hoe gevoelige informatie gedeeld wordt. Als gevoelige emails incrypted verstuurd worden moet je al tot aan de private keys geraken om ze te ontsleutelen. En laat dat iets zijn waar bijv. Exchange geen toegang toe heeft.
Het zou kunnen maar het is wel vrij theoretisch. Ik heb nog nooit een mailserver gezien waar geen gevoelige informatie op staat. Ondanks dat ik al jaren pleit voor versleutelde e-mail is het me nog niet gelukt om de wereld te overtuigen. Er zijn misschien redenen waarom het niet vlot gaat maar het is echt wel een pijnlijke tekortkoming en een waarvan ik niet snap dat er niet meer aandacht naar toe gaat.
We hebben misschien wel 10 standaarden ingevoerd die overbodig waren geweest met versleutelde mail.
SPF, DKIM en DMARC zouden we zo mee kunnen stoppen als iedereen z'n mail versleutelde.
Het zou het hele spam probleem ook ontzettend veel kleiner maken omdat je een eerste schifting kan maken op "bekende/correcte handtekening".
Zonder de Exchange-kwetsbaarheden die in het nieuws waren. Wisten ze het nu nog niet...
In de bronartikels vind ik niet direct terug dat het over emails gaat, enkel over 'data'. We kunnen misschien afleiden dat het over emails gaat vermits het ontdekt is na een verder onderzoek op de Exchange servers, maar dit wil niet direct zeggen dat het gevonden is op deze exchange servers. Dus 100% zekerheid dat het over emails gaat is er naar mijn mening niet.
BiZa is natuurlijk vooral het doelwit van georganiseerde misdaad. Het is natuurlijk niet onmogelijk dat bijv. de FSB er zou binnenbreken.
Maar zonder meer aanwijzingen zou ik toch echt elders en dichter bij huis kijken.
Maar het is duidelijk geen meer en het was geen probleem want wij hebben geen problemen hier. Welterusten.
Ik zou dolgraag een uitgebreid csi achtig verslag van zoiets zien/lezen. Iets wat lekker diep op de materie ingaat. :)
Waarom hangt een organisatie met een beetje belangrijke functie dan ook hun Exchange servers direct aan het internet? Zet daar een (always-on) VPN voor op. Het aanvalsoppervlak wordt daar aanzienlijk mee verkleind.
Hoe de aanvallers het netwerk dan wel zijn binnengedrongen, maakt de overheidsdienst nog niet bekend.
Dat doet niets af aan mijn opmerking hierboven. Wel ben ik benieuwd wat dan de originele kwetsbaarheid is geweest.

[Reactie gewijzigd door The Zep Man op 26 mei 2021 08:03]

Citrix ADC (vroegere Netscaler) of gelijkaardige reverse proxy oplossingen lossen dat weer op. Zij voorwien in authenticatie en zorgen ervoor dat je niet rechtstreeks aan de betreffende servers kunt.
Waar haal jij uit dat deze rechtstreeks aan het internet hangen? Waarom zou men geen keten van exploits hebben kunnen gebruiken om tot op de servers te geraken?

Jij zegt dat het hoe niet belangrijk is, ik denk dat dat net alles kan verklaren.
Waar haal jij uit dat deze rechtstreeks aan het internet hangen?
Niet direct voor deze zaak, maar het is het meest aannemelijk gezien de staat van informatiebeveiliging bij het ministerie.
Waarom zou men geen keten van exploits hebben kunnen gebruiken om tot op de servers te geraken?
Dat kan.
Jij zegt dat het hoe niet belangrijk is,
Nee, dat zeg ik niet.

[Reactie gewijzigd door The Zep Man op 26 mei 2021 09:30]

Wie gaat nu de Belgische Binnelandse zaken beboeten ?

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.



Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee