Binnenlandse Zaken twee jaar lang ongemerkt gehackt

Al in maart is achter de schermen ontdekt dat de federale overheidsdienst Binnenlandse Zaken het doelwit was van een ingrijpende computerhacking. Door de omvang en het professionalisme was meteen duidelijk dat een andere staat moest schuilgaan achter de operatie. Het vergde heel veel expertise om de servers van Binnenlandse Zaken volledig uit te kuisen en opnieuw in orde te brengen. De Franstalige openbare omroep Rtbf was dat al eerder te weten gekomen, maar wachtte tot de hele schoonmaakoperatie klaar was om het nieuws dinsdagavond bekend te maken.

De hacking is niet het gevolg van een reeks kwetsbaarheden die Microsoft begin maart ontdekte in zijn bekende mailserver Microsoft Exchange. Daarover deden dinsdagavond enkele misverstanden de ronde. De topman van het Centrum voor Cybersecurity België (CCB), Miguel De Bruycker, vertelt aan De Tijd wat er zich afspeelde.

Op 2 maart bracht Microsoft een beveiligingsupdate uit voor zijn Exchange Server. Het CCB waarschuwde toen alle bedrijven die gebruikmaakten van Microsoft Exchange Servers om zo snel mogelijk de vereiste ‘patches’ - pleisters voor lekken - te installeren.

Ook de federale overheidsdienst Binnenlandse Zaken moest toen de nodige patches installeren. Op dat moment besloot het CCB een meer doorgedreven analyse uit te voeren van de systemen van Binnenlandse Zaken. Zo ontdekte het CCB sporen van verdachte handelingen op het netwerk van Binnenlandse Zaken. Die bleken terug te gaan tot april 2019. De hacking is dus ontdekt naar aanleiding van de Microsoft-updates, maar het gaat om een aparte en veel krachtigere hacking, die daarvan losstaat en al langer bezig was.

Doelbewust en verborgen

De buitenwereld mocht niet weten dat de hacking was ontdekt, omdat de daders dan een 'achterdeur' zouden kunnen installeren om alle sporen te wissen. In alle discretie werd info over de vastgestelde malware doorgestuurd naar andere overheidsdiensten om te zien of ook zij het slachtoffer waren, maar dat bleek niet het geval.

Het was duidelijk de bedoeling van de daders binnen te dringen in het systeem van Binnenlandse Zaken en daar lange tijd te kunnen blijven - doelbewust en verborgen, dus mogelijk om cyberspionage te plegen. De hackers kregen toegang tot alle interne gegevens van de overheidsdienst Binnenlandse Zaken. Maar er zouden geen 'geclassificeerde' gegevens zijn gelekt, zoals politiegegevens of de informatie uit het Rijksregister, die op andere, nog beter beveiligde systemen draaien. Dat is gebleken uit een impactanalyse die is uitgevoerd. Het CCB heeft achter de schermen ook een monitoring gehouden, 24 op 7, om te zien welke gegevens door de hacking werden geviseerd.

Er vallen natuurlijk wel gevoelige departementen onder Binnenlandse Zaken zoals het Crisiscentrum. Ook bij het Crisiscentrum circuleert gevoelige en vertrouwelijke info, ook al is die niet altijd 'geclassificeerd' en dus beter beveiligd. Het gerechtelijk onderzoek moet uitmaken welke gevoelige info dat wel in handen van de hackers zou zijn gekomen, al is het lang niet zeker of we dat ooit echt zullen achterhalen.

China

Door de verwarring met het veiligheidslek bij Microsoft Exchange Server werd dinsdagavond door sommige media al snel gewezen naar China als vermoedelijke dader. Omdat ook Microsoft begin maart meteen waarschuwde dat de door de Chinese staat gestuurde hackersgroep Hafnium de veiligheidslekken al meteen misbruikte. Maar de hacking van Binnenlandse Zaken staat daar dus los van en ook bij het gerecht is te horen dat het nog helemaal niet duidelijk is welk land achter de hacking zou schuilgaan. Dat zal een onderzoeksrechter nu uitzoeken, maar mogelijk zal ook dat nooit echt duidelijk worden. Er worden in dit soort operaties vaak gegevens achterlaten om het spoor naar de daders te vertroebelen en in een andere richting te wijzen.