ベルギー連邦検察庁は、同国国家安全保障局(VSSE)の情報漏えいの背後に中国のハッカーが関与していたかどうかを調査している。
中国の国家を後ろ盾とする攻撃者は、2021年から2023年5月にかけてVSSEの外部メールサーバーにアクセスし、職員が送受信する全メールの約10%を吸い上げたと報告されている。
侵害されたサーバーは、検察、政府省庁、法執行機関、その他ベルギーの公的行政機関とのメール交換にのみ使用されていたと、ベルギーのニュースメディアLe Soirが水曜日に報じた。
ブリュッセル・タイムズ』紙によると、ハッキングされたサーバーは、ベルギーの諜報機関関係者間の内部的な人事交流もルーティングしており、VSSEの現職員や過去の志願者の半数近くが所有する身分証明書や履歴書などの機密個人データが流出する可能性が懸念されるという。
ベルギーの地元メディアが最初にVSSEへの攻撃を報じたのは2023年で、バラクーダの脆弱性公開と同時期だった。その後、ベルギーの諜報機関はサイバーセキュリティ・プロバイダとしてのバラクーダの使用を停止し、影響を受けた職員にはID詐欺のリスクを軽減するために身分証明書を更新するよう助言した。
しかし、盗まれたデータがダークウェブに出回ったり、身代金が要求されたりした形跡は今のところなく、匿名の情報筋によると、VSSEのセキュリティチームはダークウェブのハッキングフォーラムやマーケットプレイスで流出した情報を監視しているという。
「攻撃のタイミングは特に不運で、前政権が従業員をほぼ倍増させることを決定したため、我々は大規模な採用活動を行っている最中だった」と匿名の情報筋はLe Soirに語った。「防弾チョッキを買ったつもりが、穴が開いていた。
ブリュッセル・タイムズ紙の報道によれば、VSSEはこの問題について沈黙を守っており、正式な苦情が提出されたとだけ述べている。同時に、連邦検察庁は2023年11月に司法捜査が開始されたことを確認したが、結論を出すには時期尚早だと強調した。
中国の国家ハッカーがベルギーを標的にしたのは今回が初めてではない。2022年7月、同国の外務大臣は、APT27、APT30、APT31、Gallium(別名SoftcellとUNSC 2814)という中国国家を後ろ盾とする脅威グループがベルギーの防衛省と内務省を攻撃したと発表した。
在ベルギー中国大使館は非難を否定し、ベルギー政府の主張を裏付ける証拠がないと指摘した。
中国大使館のスポークスマンは、「ベルギー側が証拠もなしに中国のハッカーによるいわゆる “悪質なサイバー攻撃 “について声明を発表することは、極めて不真面目で無責任なことだ」と述べた。
バラクーダESGのゼロデイに関連した侵害
VSSEのサーバは、バラクーダのEメールセキュリティゲートウェイ(ESG)アプライアンスのゼロデイ脆弱性を利用して侵入された可能性が高い。
2023年5月、バラクーダは、少なくとも2022年10月以降、攻撃者がデータ盗難攻撃にカスタムメイドのSaltwater、SeaSpy、Sandbar、およびSeaSideマルウェアを使用していると警告し、侵害されたアプライアンスを直ちに交換するよう顧客に促した。
その後、CISAは、米国連邦政府機関のネットワークでバラクーダESGアプライアンスのバックドアに使用される新しいSubmarine(別名DepthCharge)とWhirlpoolマルウェアを発見したことを明らかにした。
同時に、サイバーセキュリティ企業のMandiantは、この攻撃と中華人民共和国を支援するサイバースパイ攻撃で知られるハッキンググループUNC4841とを関連付けました。
また、Mandiantは、これらの攻撃において、中国のハッカーと疑われる人物が、世界中の政府および政府関連の組織を不当に標的とし、侵入していることを発見しました。
2023年12月、バラクーダは、UNC4841の中国ハッカーによる攻撃の第2波で悪用された別のESGゼロデイ脆弱性について警告しました。
2月27日15:08 ESTに更新:バラクーダの広報担当者は、以下の声明を発表しました:
「Email Security Gatewayアプライアンスの5%未満に影響を与える脆弱性の悪用は、2021年ではなく、2023年に発生しました。当社の調査データでは、2021年に脆弱性が悪用されていないことが確認されています。
バラクーダは、この問題をBNSF-36456パッチの一部として修正し、すべてのカスタマアプライアンスに適用しました。アップデートの詳細なタイムラインは、こちらをご覧ください。
Comments