Un gruppo di hacker sostenuto dallo Stato cinese ha violato il server di posta elettronica del servizio d’intelligence belga tra il 2021 e il 2023, intercettando il 10% delle e-mail. La procura federale belga indaga
Tra il 2021 e il 2023 un’email su dieci dello Staatsveiligheid, il servizio d’intelligence belga (Vsse), è stato a disposizione di un gruppo hacker sostenuto dalla Cina. La procura federale belga ha avviato un’indagine nel novembre 2023, dopo aver appreso della presunta violazione. Lo ha rivelato questa settimana il giornale belga Le Soir.
Un gruppo di hacker sponsorizzato dallo Stato cinese avrebbe ottenuto accesso al server esterno di posta elettronica dell’agenzia tra il 2021 e il 2023, intercettando circa il 10% delle e-mail in entrata e in uscita. L’operazione di cyber-spionaggio avrebbe sfruttato una vulnerabilità critica nel sistema Email Security Gateway (ESG) di Barracuda Networks, un dispositivo progettato per filtrare contenuti potenzialmente dannosi nelle e-mail. La falla, classificata come grave, è stata rivelata pubblicamente dall’azienda statunitense nel maggio 2023.
Secondo gli esperti di sicurezza di Mandiant, la vulnerabilità era stata già sfruttata come zero-day da un gruppo di cyber-spionaggio legato a Pechino per attaccare organizzazioni governative e private in tutto il mondo. Circa un terzo delle vittime di questi attacchi erano agenzie governative.
Durante l’attacco al Vsse, gli hacker hanno inviato e-mail con allegati malevoli progettati per sfruttare la vulnerabilità di Barracuda. Secondo un rapporto della società, sono stati utilizzati tre varianti di malware — Saltwater, SeaSpy e Seaside — che consentivano di ottenere accesso persistente ai sistemi compromessi, permettendo attività illecite nelle reti delle vittime.
Stando a Le Soir, l’attacco avrebbe colpito esclusivamente un server esterno di posta elettronica utilizzato per le comunicazioni con ministeri, forze dell’ordine e procure, mentre le comunicazioni interne classificate sarebbero rimaste al sicuro. Tuttavia, il server compromesso gestiva anche corrispondenza relativa alle risorse umane, il che ha portato alla possibile esposizione dei dati personali di quasi la metà del personale del Vsse e di ex candidati all’assunzione. Tra le informazioni sensibili compromesse figurano documenti d’identità, curriculum vitae e comunicazioni interne.
Dopo la scoperta della vulnerabilità, Barracuda ha rilasciato una patch, ma nel giugno 2023 ha raccomandato a tutti i clienti colpiti di sostituire i dispositivi ESG interessati e di modificare le credenziali associate, controllando segni di compromissione risalenti ad almeno ottobre 2022.
Il Vsse avrebbe interrotto l’utilizzo dei prodotti Barracuda dopo l’attacco, che è stato segnalato dai media locali per la prima volta nel luglio 2023. L’agenzia avrebbe inoltre consigliato ai dipendenti coinvolti di rinnovare i propri documenti di identificazione per ridurre il rischio di frodi.
Al momento, non ci sono prove che i dati rubati siano stati diffusi nel dark web o che siano state avanzate richieste di riscatto. Fonti anonime citate dai media locali riferiscono che la divisione di sicurezza interna del Vsse sta monitorando i marketplace online per individuare eventuali fughe di informazioni.
