Belgické ministerstvo vnútra špehovali, hackerov odhalili pri inštalovaní aktualizácií

Belgické ministerstvo vnútra špehovali, hackerov odhalili pri inštalovaní aktualizácií

V Bruseli je posledné týždne rušno. Po tom, čo hackeri dočasne odstavili vládne stránky, belgickú verejnosť šokovala informácia, že ministerstvo vnútra sa stalo obeťou kyberšpionáže. Útok súvisel s kampaňou Microsoft Exchange. 

Belgické ministerstvo vnútra cez týždeň informovalo, že sa stalo obeťou komplexného, sofistikovaného a cieleného kybernetického útoku. Incident, ktorý príslušné zložky identifikovali v marci tohto roku, siaha do apríla 2019.

Spoločnosť Microsoft a bezpečnostní výskumníci práve v marci urgovali súkromné organizácie a vládne entity k okamžitému zaplátaniu zistených zraniteľností v emailovej službe Microsoft Exchange.

Pokyny nasledovalo i belgické ministerstvo v spolupráci s národným Centrom pre kybernetickú bezpečnosť. V procese aplikácie záplat odborníci „identifikovali jemné stopy pochybných aktivít v sieti ministerstva vnútra“.

Základné črty útoku podľa vládnych predstaviteľov naznačujú, že išlo o špionáž.

„Zložitosť tohto útoku indikuje aktéra, ktorý má kybernetické kapacity a rozsiahle zdroje. Páchatelia konali cielene, čo naznačuje špionáž.“

Otázka atribúcie

Útoky na lokálny softvér technologického giganta sú pripisované čínskej hackerskej skupine Hafnium. Vládny orgán zatiaľ neobjasnil, či sa aj v prípade tohto incidentu jedná o rovnakého páchateľa.

Niektorí bezpečnostní odborníci zdôrazňujú, že začiatkom tohto roka zraniteľnosti nultého dňa v emailovej službe zneužili viaceré skupiny.

Federálna prokuratúra začala útok vyšetrovať. Cieľom je objasniť nielen rozsah napadnutých údajov ale aj zodpovedať otázku, či nešlo o štátom sponzorovaný útok.

Na zložitosť vyšetrovania a následnej atribúcie poukazuje expert Ilja Koločenko, zakladateľ firmy ImmuniWeb a odborník Europolu:

„Útočníci sa bežne pokúšajú oklamať forenzné vyšetrovanie kopírovaním vzorcov útokov známych hackerských skupín alebo okrem iného ukradnutím údajov, ktoré skutočne nepotrebujú, ale chcú ich exfiltrovať, akoby boli primárnym cieľom útoku.“

Vyšetrovatelia sa často stretávajú aj s postupom takzvaného sprostredkovania – objednávatelia útoku požiadavku zadajú tretej strane. Tá následne hackerov najme a vyplatí.

Skúška pre vládny sektor

Belgicku sa tento rok našťastie nevyhýba. Začiatkom mesiaca národný poskytovateľ internetových služieb Belnet zaznamenal masívny útok typu distribuované odoprenie služby (DDoS). Paralyzované ostali webové stránky nielen súkromných, ale aj verejných entít.

V zozname odstavených stránok sa ocitol parlament, polícia, ministerstvá, výskumné či akademické inštitúcie. Zasiahnutý bol aj vakcinačný program proti ochoreniu COVID19 v Bruseli.

Belnet na základe výsledkov z vyšetrovania dospel k záveru, že záškodníci neprenikli do zasiahnutých sietí.

Spoločnosť Cloudflare pôsobiaca v oblasti bezpečnosti webových stránok a infraštruktúry v čase masívneho výpadku poukázala na dvojnásobný nárast aktivity DDoS útokov v priebehu jedného týždňa.

V kontexte incidentu bývalý šéf kyberbezpečnosti v Rade národnej bezpečnosti Gregory Rattray varoval, že Belgicko má pomerne nezrelý národný tím reakcie na núdzové počítačové situácie. Aj to robí verejné siete v krajine zraniteľnejšími pred rozsiahlymi útokmi.


Klára Kaničárová