Een kwetsbaarheid dat maandenlang werd misbruikt door hackers, treft ook Staatsveiligheid in België en de Belgian Pipeline Organisation (BPO).
Begin juni raakte bekend dat een kwetsbaarheid binnen de e-mailsoftware van Barracuda Networks sinds oktober vorig jaar door hackers werd misbruikt om gevoelige data te stelen. De zero-day bevond zich in Barracuda Email Security Gateway (ESG), versies 5.1.3.001 tot 9.2.0.006, en is ondertussen gepatcht.
Nu blijkt volgens Knack dat de zero-day impact heeft op twee overheidsdiensten: de Staatsveiligheid en de BPO. Die laatste is een militaire eenheid die pijpleidingen onderhoudt. Het Cyber Command van Defensie voert een forensisch onderzoek uit.
Interne bronnen binnen Staatsveiligheid en BPO benadrukken dat Staatsveiligheid zelf niet gehackt is. Zij gebruiken namelijk twee gescheiden datanetwerken. Het externe netwerk voor e-mailverkeer is getroffen omdat die beveiligd werd met Barracuda-hardware. Het interne netwerk met geclassificeerde informatie is geraakt.
Staatsveiligheid heeft de hack gemeld aan zijn toezichthouder, het Comité I en het Centrum voor Cybersecurity Belgium (CCB).
Onderzoek loopt nog
Göran Boudry, hoofd van de BPO, bevestigt aan Knack dat Barracuda hen op de hoogte heeft gebracht. “Onze eerste inschatting is dat de hackers niet voorbij het Barracuda-systeem zijn geraakt, maar dat moet nog verder bevestigd worden.”
Het forensisch onderzoek van het Cyber Command van Defensie is nog bezig. Die bevestigt ook de situatie en heeft meermaals een team bij het BPO ter plaatse gestuurd. “Een verder actieplan wordt de komende weken uitgerold”, aldus generaal Michel Van Strythem, hoofd van het Cyber Command.
Barracuda heeft sinds de ontdekking van de zero-day laten weten dat ongeveer vijf procent van de actieve ESG-hardware mogelijk gecompromitteerd zijn. Getroffen klanten konden kosteloos een vervangend product krijgen. Op 31 mei 2023 heeft Barracuda alle klanten geïnformeerd.