De complexiteit van de hacking maakt het moeilijk om te bepalen wat de indringers precies te zien kregen, maar het staat vast dat ze toegang hadden tot praktisch alle communicatie en interne data van Binnenlandse Zaken. De bedoeling van de inbraak was om te spioneren bij de overheidsdienst, die een centrale schakel is in de besturing en beveiliging van België. Alle politiediensten en hun databanken vallen eronder, net als de organisatie van verkiezingen, crisisbeheer, vreemdelingenzaken, de uitreiking van identiteitskaarten enzovoort. Een hack op die plek is dus per definitie een ernstig incident. Deze inbraak is volgens onze informatie voor het eerst behandeld als een ‘nationale crisis’ in het cybernoodplan, wat betekent dat ook andere overheidsdiensten extra maatregelen moesten nemen om zich te beschermen. Binnenlandse Zaken heeft hierover een klacht ingediend bij het parket, en er werd een onderzoeksrechter aangesteld. Het lek is intussen ook gedicht en de geïnfecteerde computersystemen zijn opgeschoond. Het federaal parket bevestigt aan De Standaard dat er een onderzoek loopt.

De hack kwam aan het licht door de Hafnium-affaire, waarbij Chinese hackers binnendringen in computers via een kwetsbaarheid in Exchange, het mailsysteem dat Microsoft op poten heeft gezet. Toen die affaire begin maart bekendraakte, veroorzaakte ze een schok in de IT-wereld (DS 9 maart). Tal van organisaties, bedrijven en overheden gebruiken Microsoft Exchange. Wie een sleutel heeft om binnen te geraken in zo’n systeem, heeft de hele wereld als zijn speelterrein.

Ook Binnenlandse Zaken gebruikt Exchange, en voerde begin maart de updates door om zijn systemen te dichten. Toen nadien het Centrum voor Cybersecurity het netwerk in de gaten hield om te zien of er geen problemen waren, werd de hacking ontdekt. De eerste sporen gaan terug tot het voorjaar van 2019.

• Reageren na hackings door andere landen? Nu kan het

Gegevens stelen

Volgens onder andere Microsoft is Hafnium een goed getrainde en gesofisticeerde groep hackers die werkt vanuit China. Hun oorspronkelijke doelwitten waren, nog volgens Microsoft, vooral bedrijven in de Verenigde Staten. Met de kwetsbaarheid die ze in Microsoft Exchange hebben gevonden, kunnen ze bij hun doelwit erg diep binnendringen. ‘Om te beginnen krijgen ze toegang tot een Exchange Server met gestolen wachtwoorden of via kwetsbaarheden die nog niet bekend waren’, communiceerde Microsoft. ‘Zo doen ze zich voor als iemand die toegang kan hebben tot die server. Daarna creëren ze een zogenaamde webshell om de gecompromitteerde server van op afstand te besturen. En daarna gebruiken ze die externe toegang om gegevens te stelen van het netwerk van een organisatie.’

Men blijft voorzichtig met een officiële toewijzing aan China als uitvoerder. Door het type aanval en de aard van het doelwit staat wel vast dat het om een ernstig geval van ‘state-sponsored hacking’ gaat, zelfs het zwaarste waar ons land al mee te maken had. Er zijn parallellen te trekken met de hacking van Proximus (het vroegere Belgacom) door de Britse geheime dienst GCHQ, die in 2013 bekendraakte. Daarbij was het doelwit niet zozeer het telecombedrijf of de Belgische staat zelf, wel de communicatie die wereldwijd via een dochteronderneming van Proximus liep. Deze aanval op Binnenlandse Zaken was gericht tegen de dienst zelf. Dat maakt de dreiging voor België als land groter.

Correctie: deze inbraak werd opgespoord toen het Centrum voor Cybersecurity het netwerk van Binnenlandse Zaken monitorde naar aanleiding van een kwetsbaarheid die een Chinese groep gebruikte. Het is niet zeker of de aanvallers ook langs die weg zijn binnen geraakt. Het artikel is aangepast om dat correct weer te geven.