Le parquet fédéral belge enquête pour savoir si des pirates informatiques chinois sont à l’origine d’une violation du Service de sécurité de l’État du pays (VSSE).
Des attaquants soutenus par l’État chinois auraient eu accès au serveur de messagerie externe de VSSE entre 2021 et mai 2023, siphonnant environ 10% de tous les courriels envoyés et reçus par le personnel de l’agence.
Le serveur compromis n’a été utilisé que pour échanger des courriels avec des procureurs, des ministères publics, des forces de l’ordre et d’autres organes de l’administration publique belge, comme l’a rapporté mercredi le journal belge Le Soir.
Selon le Brussels Times, le serveur piraté a également acheminé des échanges internes de ressources humaines entre le personnel du renseignement belge, soulevant des inquiétudes quant à l’exposition potentielle de données personnelles sensibles, y compris des documents d’identité et des CV appartenant à près de la moitié du personnel actuel et des anciens candidats de la VSSE.
Les médias locaux belges ont signalé pour la première fois une attaque contre le VSSE en 2023, coïncidant avec la divulgation de la vulnérabilité de Barracuda. Suite à cela, le service de renseignement belge a cessé d’utiliser Barracuda en tant que fournisseur de cybersécurité et a conseillé au personnel concerné de renouveler les documents d’identité afin d’atténuer le risque de fraude d’identité.
Cependant, il n’y a actuellement aucune preuve que des données volées apparaissent sur le dark Web ou des demandes de rançon, et des sources anonymes indiquent que l’équipe de sécurité de VSSE surveille les forums et les marchés de piratage du dark Web à la recherche d’informations divulguées.
« Le moment choisi pour l’attaque était particulièrement malheureux, car nous étions au milieu d’une importante campagne de recrutement suite à la décision du gouvernement précédent de presque doubler nos effectifs », a déclaré une source de renseignement anonyme au Soir. « Nous pensions avoir acheté un gilet pare-balles, seulement pour y trouver un trou béant. »
Le VSSE est resté silencieux sur la question, notant seulement qu’une plainte officielle avait été déposée, selon le rapport du Brussels Times. Dans le même temps, le parquet fédéral a confirmé qu’une enquête judiciaire avait débuté en novembre 2023 mais a souligné qu’il était trop tôt pour tirer des conclusions.
Ce n’est pas la première fois que des pirates informatiques chinois ciblent la Belgique. En juillet 2022, le ministre des Affaires étrangères du pays a déclaré que les groupes de menaces chinois APT27, APT30, APT31 et Gallium (alias Softcell et UNSC 2814) soutenus par l’État avaient attaqué les ministères belges de la Défense et de l’Intérieur.
L’Ambassade de Chine en Belgique a nié les accusations et a souligné le manque de preuves pour étayer les affirmations du gouvernement belge.
« Il est extrêmement peu sérieux et irresponsable de la part de la partie belge de publier une déclaration sur les soi-disant » cyberattaques malveillantes « de pirates informatiques chinois sans aucune preuve », a déclaré le porte-parole de l’ambassade de Chine.
Violation liée au jour zéro ESG de Barracuda
Le serveur de VSSE a probablement été piraté à l’aide d’une vulnérabilité zero-day dans l’appliance ESG (Email Security Gateway) de Barracuda.
En mai 2023, Barracuda a averti que les attaquants utilisaient des logiciels malveillants personnalisés d’eau salée, de mer, de banc de sable et de bord de mer dans des attaques de vol de données depuis au moins octobre 2022, exhortant les clients à remplacer immédiatement les appareils compromis.
Par la suite, CISA a révélé qu’elle avait trouvé de nouveaux logiciels malveillants Submarine (alias DepthCharge) et Whirlpool utilisés pour pirater les appareils Barracuda ESG sur les réseaux des agences fédérales américaines.
Dans le même temps, la société de cybersécurité Mandiant a lié les attaques à UNC4841, un groupe de piratage connu pour ses attaques de cyberespionnage à l’appui de la République populaire de Chine.
Mandiant a également constaté que les pirates informatiques chinois présumés ciblaient et violaient de manière disproportionnée le gouvernement et les organisations liées au gouvernement dans le monde entier lors de ces attaques.
En décembre 2023, Barracuda a mis en garde contre une autre vulnérabilité ESG zero-day exploitée dans une deuxième vague d’attaques par les pirates informatiques chinois UNC4841.