La fiscalía federal de Bélgica está investigando si hackers chinos fueron responsables de una brecha en el Servicio de Seguridad del Estado (VSSE) del país.
Se cree que atacantes patrocinados por el Estado chino lograron acceder al servidor de correo externo del VSSE entre 2021 y mayo de 2023, extrayendo aproximadamente el 10% de todos los correos electrónicos enviados y recibidos por el personal de la agencia.
Acceso a información sensible
El servidor comprometido solo se utilizaba para intercambiar correos con fiscales, ministerios gubernamentales, cuerpos policiales y otras administraciones públicas belgas, según informó el medio Le Soir.
Además, de acuerdo con The Brussels Times, el servidor hackeado también manejaba intercambios internos de recursos humanos dentro del VSSE, lo que podría haber expuesto información personal sensible, como documentos de identidad y currículums de casi la mitad del personal actual y antiguos solicitantes de empleo en la agencia.
Las primeras noticias sobre el ataque surgieron en 2023, coincidiendo con la revelación de una vulnerabilidad en Barracuda, el proveedor de ciberseguridad de la agencia.
Luego del incidente, el VSSE dejó de utilizar Barracuda y recomendó a los empleados afectados que renovaran sus documentos de identidad para evitar el riesgo de fraude.
Sin embargo, hasta ahora no hay evidencia de que los datos robados hayan aparecido en la dark web ni de que se haya realizado alguna demanda de rescate.
Fuentes anónimas han indicado que el equipo de seguridad del VSSE monitorea foros de hackers y mercados clandestinos para detectar filtraciones.
“El ataque llegó en un momento muy desafortunado, ya que estábamos en medio de una gran campaña de reclutamiento tras la decisión del gobierno anterior de casi duplicar nuestra fuerza laboral”, declaró una fuente de inteligencia al Le Soir. “Pensamos que habíamos comprado un chaleco antibalas, solo para descubrir que tenía un agujero enorme.”_
Investigación en curso
El VSSE ha mantenido silencio sobre el incidente, limitándose a confirmar que se presentó una denuncia formal, según Brussels Times.
Por su parte, la fiscalía federal confirmó que la investigación judicial comenzó en noviembre de 2023, pero subrayó que es demasiado pronto para sacar conclusiones.
No es la primera vez que hackers chinos atacan a Bélgica. En julio de 2022, el ministro de Asuntos Exteriores del país acusó a APT27, APT30, APT31 y Gallium (Softcell y UNSC 2814) de haber atacado los ministerios de Defensa e Interior.
La Embajada de China en Bélgica negó las acusaciones, argumentando que no había pruebas suficientes para sostener las afirmaciones del gobierno belga.
“Es extremadamente irresponsable por parte de Bélgica emitir una declaración sobre los supuestos ‘ciberataques maliciosos’ de hackers chinos sin presentar ninguna evidencia”, declaró un portavoz de la embajada.
Hackeo vinculado a vulnerabilidad en Barracuda ESG
El acceso al servidor del VSSE probablemente se logró mediante una vulnerabilidad de día cero en el Barracuda Email Security Gateway (ESG).
En mayo de 2023, Barracuda advirtió que atacantes habían estado utilizando malware personalizado (Saltwater, SeaSpy, Sandbar y SeaSide) en ataques de robo de datos desde al menos octubre de 2022, instando a los clientes a reemplazar inmediatamente los dispositivos comprometidos.
Poco después, la agencia estadounidense CISA reveló que había identificado nuevo malware (Submarine/DepthCharge y Whirlpool) utilizado para instalar puertas traseras en los dispositivos ESG de Barracuda dentro de redes de agencias federales en EE.UU.
Simultáneamente, la firma de ciberseguridad Mandiant vinculó los ataques al grupo UNC4841, especializado en espionaje cibernético en apoyo de la República Popular China.
Mandiant también descubrió que estos hackers chinos se enfocaron en gobiernos y entidades vinculadas al gobierno en todo el mundo.
En diciembre de 2023, Barracuda advirtió sobre una nueva vulnerabilidad de día cero en su sistema ESG, explotada en una segunda oleada de ataques por el grupo UNC4841.