'CIA tipte Belgische militaire inlichtingendienst over hackende Russen'

De Belgische inlichtingendiensten hebben niet zelf gesignaleerd dat Russische hackers op systemen van het Ministerie van Buitenlandse Zaken actief waren. De militaire inlichtingendienst ADIV zou zijn getipt door de Amerikaanse inlichtingendienst CIA.

Dat meldt De Standaard op basis van, naar eigen zeggen, 'goedgeplaatste bronnen'. De CIA zou de Belgische collega's van de ADIV hebben gewaarschuwd dat Russische hackers door middel van het zogenaamde Snake-virus waren binnengedrongen op de computersystemen van het ministerie van Buitenlandse Zaken. In eerdere berichten werd nog de suggestie gewekt dat de Belgische geheime diensten de aanvallen had gesignaleerd.

Naast de tip van de CIA dat er Russische hackers actief waren op overheidssystemen, zou de Amerikaanse inlichtingendienst ook hebben gewaarschuwd dat de aanvallers zochten naar NAVO-documenten over Oekraïne. Zeker één geheim NAVO-rapport zou zijn buitgemaakt, maar vermoedelijk is er meer ontvreemd.

De Federal Computer Crime Unit gaat de aanval samen met de militaire inlichtingendienst en de dienst Staatsveiligheid verder onderzoeken. Eerder deze week werd besloten om het ministerie van Buitenlandse Zaken in een digitale quarantaine te plaatsen. Door de maatregel is het onder andere voor gemeenten onmogelijk om nog langer paspoorten af te leveren.

De Belgische regering onder leiding van Di Rupo zou woedend zijn over de kraak. Zo werd dinsdag voor de eerste maal in twee jaar een bijeenkomst georganiseerd van het ministerieel comité voor Inlichtingen en Veiligheid. De regering heeft na de hacks van GCHQ bij Belgacom 10 miljoen euro vrijgemaakt om systemen beter te beveiligen en enkele miljoenen gaan naar het getroffen ministerie. Volgens experts is het beschikbare bedrag echter veel te laag,

IT-banen

Reacties (81)

Dr.Root 14 mei 2014 12:56

Voor mensen die zich meer over de inhoud willen buigen, hoe deze geadvanceerde malware te werk gaat, wat het doet. Hoe geniaal het is geschreven en dat het wat mij betreft een militaire graad verdient op basis van complexiteit..

Ik heb een whitepaper over deze malware in mijn bezit, welke ik nu met jullie deel:
Ook de bevindingen hoe men achter het bestaan van deze ''ziekelijke malware'' gekomen zijn. Heel simpel, wireshark captures analyseren naar dubieuze processen die communiceren met C&C servers (Command&Control servers)

http://info.baesystemsdet...ages/snake_whitepaper.pdf

@Tweakers redactie, wellicht noemenswaardig om deze whitepaper op te nemen in het nieuwsbericht! Het bevat waardevolle informatie voor personen wie zich meer willen verdiepen in deze E-Spionage toolkit.

Het geniale is dat het steeds weer geadopteerd wordt, verbeterd/veranderd/nog minder zichbaar is, tot het uiteraard weer wordt ontdekt door oplettende mensen.

De conclusie is daarmee ook toegelicht. Het gaat om een zeer geadvanceerd framework, met een eigen kernel-centric architectuur, welke (de architectuur) van snake zeer uniek maakt. Het heeft tevens maar 1 host nodig die online is om data te laten exfiltreren.

De overheden gaan hier een zware dobber aan beleven.

Dit zijn tevens ook nog wel interessante artikelen gerelateerd aan dit artikel:
http://www.reuters.com/ar...orm-idUSTRE75F5TB20110617
http://www.foreignaffairs...ii/defending-a-new-domain

https://public.gdatasoftw...oburos_RedPaper_EN_v1.pdf

[Reactie gewijzigd door Dr.Root op 23 juli 2024 01:41]

AndrewF @Dr.Root • 14 mei 2014 23:10

Dr. Root, wat een gedetailleerde whitepaper, bedankt! Ik raad iedereen die geïnteresseerd is in cyber security om de paper te lezen.

Er blijken toch wel enkele aanwijzingen te zijn dat het mogelijks om Russisch malware gaat (UTC+4 timezone, developers genaamd 'vlad' en 'gilg', Ukraine as grootste doelwit).

Zou het moeilijker zijn om dit soort malware te schrijven voor hardend Linux systemen (met SE Linux, Apparmor en dergelijke) ?

[Reactie gewijzigd door AndrewF op 23 juli 2024 01:41]

Verwijderd @AndrewF • 15 mei 2014 00:11

Rootkits bestaan al langer en na die snake_whitepaper.pdf even doorgenomen te hebben heb ik weinig echt nieuws tegengekomen behalve dan dat deze behoorlijk veel technieken combineert om de infectie zelf te verbergen. Misschien kan je daaruit opmaken dat de mensen die hieraan werken er een goed loon voor betaald krijgen (dat het geen hobbyisten zijn). Maarja, veel hobbyisten met een beetje (nt kernel) development expertise kunnen dit gerust ook bouwen.

Verder is het een beetje de back-orifice en/of netbus van deze tijd, enkel zal uw inbound firewall het niet tegenhouden omdat het ergens commandotjes zelf gaan ophalen (outbound traffiek). Dat de C&C servers daarvoor hardcoded in de code zitten vind ik zelfs een beetje zwak: iets dat bv. het tor netwerk gebruikt om de commando's zo te verspreiden en tot bij de geïnfecteerde hosts te krijgen, of commando's van de éne geïnfecteerde host naar de andere host doorgeven had beter geweest.

Die snake blijkt een component te hebben die in kernel-mode van de NT kernel draait. Dit kan op Linux ook (gewoon insmod something.ko doen, over hoe zelf zo'n something.c te maken kan je tientalle boeken kopen en is zeker geen geheim of zo). Eens in kernel-mode valt er bitter weinig aan te doen en kan de in de kernel geladen code zo goed als alles nabootsen wat het maar wil (en da's ook wat rootkits zullen doen).

Een paar voorbeelden voor Linux (quick google-searchje): http://la-samhna.de/library/rootkits/list.html . Merk op dat eens malicious code in kernel mode draait, voor zo goed als gelijk welk besturingssysteem, het qua security game over is. Totaal en compleet game over.

ps. een mogelijk oplossing hiervoor is bv. UEFI secure boot: http://mjg59.dreamwidth.org/5552.html

berthendrickx 14 mei 2014 11:37

"De Belgische regering onder leiding van Di Ruppo zou woedend zijn over de kraak."

ik citeer even uit:
http://www.gva.be/nieuws/binnenland/aid1580986/di-rupo-vergeet-miljoenen-voor-cyberbeveiliging.aspx

De 10 miljoen euro die de regering-Di Rupo had beloofd om de cyberbeveiliging van België te verhogen zijn nooit werkelijk geïnvesteerd. Dat achterhaalde De Tijd.
De woordvoerder van premier Di Rupo geeft toe dat het gebudgetteerde bedrag van 10 miljoen euro wegens 'tijdsgebrek' niet meer is verdeeld onder de overheidsdiensten die dat nodig hebben.

ejabberd @berthendrickx • 14 mei 2014 14:30

Tja, een regering die cyberbeveiliging niet prioritair vindt om in te investeren, moet maar op de blaren zitten. Ik vraag mij af wat dit in de toekomst gaat betekenen voor de Belgische diplomatie. Ik kan mij goed inbeelden dat veiligheidsdiensten van landen die cyberveiligheid wél serieus nemen, hun overheid nu al aangeraden hebben om zeer terughoudend te zijn om geheime documenten/informatie te delen met Belgische diplomaten...

Deze blunder zou zeker wat actiever gebruikt morgen worden in de verkiezingscampagnes...

unimatrix0030 @berthendrickx • 14 mei 2014 17:16

Het is zo dat de regering di rupo bespaard. Bij alle dinsten wordt "vergeten" om het voorziene geld "te verdelen.
Wat er op neer komt dat er niet wordt bespaard enkel aankopen uitgesteld. ... .

pancake82 14 mei 2014 11:31

Ik maak hieruit op dat de CIA eerst de Belgen gehacked hebben, en vervolgens zien dat de Russen ze gehacked hebben.

Briljant, de pot verwijt de ketel dat hij zwart zien!!!
Het kan ook anti Rusland propaganda zijn, want wie kan dit toetsen

[Reactie gewijzigd door pancake82 op 23 juli 2024 01:41]

EnderQ @pancake82 • 14 mei 2014 11:41

Het is niet nodig om iets te hacken om hack activiteiten te zien, door net werk activiteit analyse. Ze kunnen ook de russen hebben gehacked of via standaard spionage hier info over hebben gekregen.

Het onthullen past wel in het publieke opinie sturen van de betrokken partijen ivm verhoogde spanning omtrent de Oekraïne crisis. Intuïtief lijkt het wel een aantasting van soevereiniteit, in ieder geval wekt het een dergelijke emotionele associatie op.

In een eerder bericht werd er ook gepleit (door de us?) om cyber attacks op staten als een oorlogshandeling te zien. Of in ieder geval hier afspraken over te maken.

Alle partijen in de crisis houden zich bezig met propaganda ook de EU Navo Rusland en de Oekraïne intern pro en anti Rusland.

[Reactie gewijzigd door EnderQ op 23 juli 2024 01:41]

BenGenaaid @EnderQ • 14 mei 2014 12:41

Als de Amerikanen zichzelf en hun beweringen geloven, zijn de VS en RU dus al in oorlog met elkaar: Er is een digitale oorlogsdaad begaan tegen een NAVO bondgenoot.

Wanneer komen die raketten over ons hoofd vliegen? Als die ooit komen komen ze ook op woensdrecht... Fijn die Amerikanen toch (die ander is ook geen vriend hoor).

edit: fijn dat Europa het speelveld is waar de USA en Rusland hun spelletje Stratego uitspelen http://nl.wikipedia.org/wiki/Stratego

[Reactie gewijzigd door BenGenaaid op 23 juli 2024 01:41]

Sissors @BenGenaaid • 14 mei 2014 14:18

Hoe kom je daarbij dat dit een oorlogsdaad zou zijn? Is dit weer op het paar jaar oude bericht gebaseerd waarbij de VS aankondigde (logischerwijs) een digitale aanval hetzelfde te behandelen als een conventionele aanval. Nou bedenk eens wta er zou gebeuren als een Russische spion een mapje uit een archiefkast had gejat. De Belgen zouden pissig zijn, en niet heel veel meer. Daarover begint niemand een oorlog. En guess what: dat is exact hetzelfde als wat er nu het geval is.

Overigens -1 voor alle mensen die nog geen eens een andere optie overwegen dan dat de CIA dus in de systemen van de belgen zouden zitten. Is het mogelijk? Ja. Is het realistisch? Denk het niet echt. Als ze zo diep erin zaten hadden ze zelf wel die aanval proberen af te slaan. Belangrijker is echter dat nu al die systemen nauwgezet worden gecontroleerd, dus grote kans dat het dan ook zou uitkomen dat de CIA erin zit.

Silmarunya @BenGenaaid • 14 mei 2014 21:20

Spionage is geen daad van oorlog en is dat ook nooit geweest, alle dreigende taal ten spijt.

graverobber2 @pancake82 • 14 mei 2014 11:46

Het is heel moelijk om ergens binnen te breken zonder sporen na te laten.

Akkoord, de CIA kan dat bewijs vervalst hebben (wat niet altijd zo simpel is),
maar dat heeft weinig nut, want Rusland wordt ATM toch al als de 'bad-guy' aanzien.

RGAT @graverobber2 • 14 mei 2014 14:17

Precies, en als die bad-guy degene is die het digitale vuur opent...
Iets met 'waving-flag' idee, werd vooral met de aanslagen in complot theorieen gebruikt maar het principe klopt wel, zonder het alu-hoedje of complot denken, als je vijand jou aanvalt zullen je burgers een tegenaanval steunen, en ook je bondgenoten.
Vraag me trouwens ook af hoe de CIA dit doet, dacht dat de NSA spionage dingen deed?...
Maar dan zit iemand van de CIA in de logjes te kijken van hun hack bij de Belgen en ziet die ineens een Russisch adres voorbijkomen ofzo? Waarom weet de CIA dit? Scant de NSA alle internetverkeer en zien de bekende malware zoals Snakes voorbij komen en zeggen ze dat aan de CIA, lijkt me niet?...

[Reactie gewijzigd door RGAT op 23 juli 2024 01:41]

graverobber2 @RGAT • 14 mei 2014 15:14

AFAIK helpt de CIA de belgische overheid met IT-security (zodat alleen zij aan onze informatie kunnen, natuurlijk)

Edgarz @pancake82 • 14 mei 2014 20:03

Wie bewijst dat God bestaat? En toch geloven er miljarden mensen, misschien zelfs jij wel. En bewijs wordt toch wel weer gediskwalificeerd door, zonder bewijs, het vermoeden van fabricage in de discussie te gooien. Niet echt een solide vraag dus.

En hoe vervelend ook, ik heb liever dat een bondgenoot mij helpt dan dat de data pot de komende jaren leeggeroofd wordt door een iets minder vriendelijk regime.

pancake82 @Edgarz • 15 mei 2014 10:40

Mijn vraag is zeer legitiem, ik geef aan hoe betrouwbaar de informatie is die ons gebracht wordt.
Rusland of onze bondgenoten zijn net zo erg... als je kijkt naar de geschiedenis dan gaat het uiteindelijk alleen om vermogen en macht.

Ik ben voor de waarheid, en dit is een eenzijdig verhaal!

Edgarz @pancake82 • 16 mei 2014 00:20

De waarheid is een perceptie en bestaat derhalve niet...

Vetsmelter 14 mei 2014 11:33

Het is geen geheim dat de Amerikanen de Belgische overheidsinfrastructuur "helpt virusvrij te houden" wegens gebrek aan expertise bij de Belgen.
Me dunkt dat de US inlichtingendiensten zelf best geplaatst zijn om 1) die data zelf te gaan wegkapen 2) hierbij een false flag virusje te lanceren.
Russen zouden zeker wel durven maar toch.. Met een grove korrel zout te nemen dit verhaal.

Gtoniser @Vetsmelter • 14 mei 2014 11:41

Natuurlijk, want de amerikanen hebben baat bij het hacken van de wereldmacht België en al hun geheimen te kennen! [/sarcasme]
Heb je het artikel wel gelezen? Er staat dat er NATO documenten zijn ontvreemd. De USA zit zelf bij de NATO, dus die documenten hebben ze zelf ook wel.

RGAT @Gtoniser • 14 mei 2014 14:20

En Rusland heeft er baat bij om de NATO uit te lokken? Alsof de Russen daadwerkelijk zo dom zijn om te denken dat er niemand achter zou komen, nee lijkt me heel anders te liggen, misschien zelfs een false-flag operatie, iets waar de VS geen problemen mee heeft om te doen...
De enige die hier profijt aan kan hebben is de VS, die zo Rusland als slechterik aanwijst en een hectere samenwerking met de NATO/EU kan aangaan...

[Reactie gewijzigd door RGAT op 23 juli 2024 01:41]

Vetsmelter @Gtoniser • 14 mei 2014 14:46

Het belang van uw data voor de tegenpartij onderschatten staat aan de wieg van een veiligheidslek.
Het is een ingeburgerde praktijk om via allerlei wegen de opinies van politieke partners te leren kennen vooraleer een belangrijke vergadering en beslissing plaats heeft.
Dit om beter te kunnen sturen en anticiperen op meningsverschillen. NATO of niet, besluiten komen er maar als de partners op 1 lijn gebracht worden.
Vandaar heeft de USA er net zoveel alle belang bij wereldmacht Belgie te gaan hacken als de Russen.
Dat België het zwakke schakel is in NAVO IT-infrastructuur en niet direct het machtigste land maakt het tevens interessant voor de hackers alsook voor slachtofferrol.

Militaire inlichtingendienst BE doet mee aan het onderzoek.
Ondertussen levert US zelfs helpdesk bij militaire Inlichtingendienst BE dus daaruit kan je voorzichtig concluderen dat US het onderzoek wel zal trekken en dat de theorie van Russische inbraak moeilijk zal te staven zijn door Belgische diensten:
https://www.security.nl/p...vroeg+VS+om+hulp+na+virus

(origineel http://www.mo.be/artikel/...oor-ernstig-cyberincident )

Enai @Vetsmelter • 14 mei 2014 11:53

False flag? Lijkt me sterk. De bedoeling van een false flag-operatie is om het "slachtoffer" tegen de "dader" op te zetten.

Maar na dertig jaar besparen weten de Belgische soldaten niet meer welk uiteinde van hun donderbus naar de vijand moet wijzen en de overheid is een efficiënt offensief gestart om de burger in slaap te lullen in plaats van enige actie te ondernemen.

Het provoceren van België tegen Rusland zou ongeveer even effectief zijn als Duitsland die de Italianen als bondgenoten inzette in WO2. Dus ja... ik denk het niet.

Splorky 14 mei 2014 15:11

Ben toch wel een beetje beniuwd hoe de CIA aan deze informatie komt.
Er komen wel meer berichten uit America die Andere de schuld geven van wat ze zelf doen (en dan doel ik ok het Cisco nieuws. Ook dat hacken van overheden als Act of War gezien kan worden als het America uit komt, maar dan valt het aftappen van telefoontjes van brussel daar weer buiten)

Jaccoh @Splorky • 14 mei 2014 15:26

Volgens mij zijn er niet zo heel veel opties. Of zelf ook hacken... of een hack/infiltrant in Rusland?

Relief2009 14 mei 2014 11:30

Tja is niet zo raar als de CIA ook al diep in het systeem zat

Ik zie het al voor me hoe de CIA zelf de Belgen heeft gehackt en dan op een gegeven moment een nietsvermoedende Russische hacker voorbij ziet komen.

Cyberthriller op zijn best

[Reactie gewijzigd door Relief2009 op 23 juli 2024 01:41]

Enai @Relief2009 • 14 mei 2014 11:35

En de Belgische regering, die stond erbij als een politieagent bij een gevecht tussen de X-Men.

graverobber2 @Enai • 14 mei 2014 11:44

Volgens mij geef je onze regering iets teveel krediet >.>

Het geld voor IT-security werd al een hele tijd geleden vrijgemaakt, maar er is nog steeds niets mee gedaan.

Verwijderd @Relief2009 • 14 mei 2014 11:39

Natuurlijk is het door jou gestelde scenario mogelijk.
Een alternatieve mogelijkheid is dat er een infiltrant van 'een bevriende natie' bij de 'vrienden in Rusland' aan het werk is, of dat er een rus met gewetensbezwaren gelekt heeft.
We zullen er wel nooit echt achter komen...

Blokker_1999

België
Netwerk en systeembeheer
Rusland

@Relief2009 • 14 mei 2014 11:42

Of hoe dat ze hun eigen sporen maskeren alsof ze uit Rusland komen om zo de schuld in de schoenen van een ander te schuiven.

H!GHGuY @Relief2009 • 14 mei 2014 12:35

Dit heet dan Meet-in-the-middle attack

koelpasta @Relief2009 • 14 mei 2014 11:43

Ik zie ook helemaal voor me dat de CIA dit zelf heeft gedaan. Waarom zou je enige uitspraak vertrouwen van een partij die blijkbaar al je systeem binnenstebuiten heeft gekeerd?

BenGenaaid @Relief2009 • 14 mei 2014 12:31

Tja is niet zo raar als de CIA ook al diep in het systeem zat

Ik zie het al voor me hoe de CIA zelf de Belgen heeft gehackt en dan op een gegeven moment een nietsvermoedende Russische hacker voorbij ziet komen. Cyberthriller op zijn best

Wie heeft de film rechten hiervoor opgeeist? ik?

oh sorry da's een andere discussie

fdh 14 mei 2014 11:32

Zeg, nu waren we onze dagelijkse ochtend check bezig om te zien of er nog interessante documenten waren bijgekomen toen we merkten dat jullie door de russen gehacked waren.
Kunnen jullie daar een iets aan doen

tweaker2010 14 mei 2014 11:35

Het verbaasd me niets eerlijk gezegd. Er wordt ook op dat niveau onderling samengewerkt en samen probeert men de Russen buitenspel te zetten. Zie ook de verklaring van de G7 op de top in Den Haag: http://www.hln.be/hln/nl/...ren-was-een-minimum.dhtml Deze hacks zullen als tegenaanval van Rusland bedoeld zijn.

Enai 14 mei 2014 12:17

Ziehier een aprilvis van Reynders:
http://www.standaard.be/cnt/dmf20140513_01103413
"‘Ik heb gisteren met mijn Nederlandse collega gepraat, en hij zei me dat ze in Nederland elke dag zo’n aanval te verwerken krijgen. Het is hetzelfde in alle Europese landen’, klonk het op VRT-radio"

MrAndy9797 14 mei 2014 13:02

Het nieuws dat Di Rupo miljoenen zou zijn vergeten voor cyberveiligheid zal er niet beter aan doen denk ik dan

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (81)

Sorteer op:

Weergave: