De complexiteit van de hacking maakt het moeilijk om te bepalen wat de indringers precies te zien kregen, maar het staat vast dat ze toegang hadden tot praktisch alle communicatie en interne data van Binnenlandse Zaken. De bedoeling van de inbraak was om te spioneren bij de overheidsdienst, die een centrale schakel is in de besturing en beveiliging van België. Alle politiediensten en hun databanken vallen eronder, net als de organisatie van verkiezingen, crisisbeheer, vreemdelingenzaken, de uitreiking van identiteitskaarten, enzovoort. Een hack op die plek is dus per definitie een ernstig incident. Deze inbraak is volgens onze informatie voor het eerst behandeld als een ‘nationale crisis’ in het cybernoodplan, wat betekent dat ook andere overheidsdiensten extra maatregelen moesten nemen om zich te beschermen. Binnenlandse Zaken heeft hierover een klacht ingediend bij het parket, en er werd een onderzoeksrechter aangesteld. Het lek is intussen ook gedicht en de geïnfecteerde computersystemen zijn opgeschoond. Het federaal parket bevestigt aan De Standaard dat er een onderzoek loopt.

De hack kwam aan het licht door de Hafnium-affaire, waarbij Chinese hackers binnendringen in computers via een kwetsbaarheid in Exchange, het mailsysteem dat Microsoft op poten heeft gezet. Toen die affaire begin maart bekendraakte, veroorzaakte ze een schok in de IT-wereld. Tal van organisaties, bedrijven en overheden gebruiken Microsoft Exchange. Wie een sleutel heeft om binnen te geraken in zo’n systeem, heeft de hele wereld als zijn speelterrein.

Toen er bij Binnenlandse Zaken werd nagegaan of de dienst ten prooi was gevallen aan zo’n hacking via Exchange, werd de grootschalige inbraak ontdekt. De eerste sporen gaan terug tot het voorjaar van 2019.

Gegevens stelen

Volgens onder andere Microsoft is Hafnium een goed getrainde en gesofisticeerde groep hackers die werkt vanuit China. Hun oorspronkelijke doelwitten waren, nog volgens Microsoft, vooral bedrijven in de Verenigde Staten. Met de kwetsbaarheid die ze in Microsoft Exchange hebben gevonden, kunnen ze bij hun doelwit erg diep binnendringen. ‘Om te beginnen krijgen ze toegang tot een Exchange Server met gestolen wachtwoorden of via kwetsbaarheden die nog niet bekend waren’, communiceerde Microsoft. ‘Zo doen ze zich voor als iemand die toegang kan hebben tot die server. Daarna creëren ze een zogenaamde webshell om de gecompromitteerde server van op afstand te besturen. En daarna gebruiken ze die externe toegang om gegevens te stelen van het netwerk van een organisatie.’

Alles wijst erop dat ook deze techniek is toegepast tegen Binnenlandse Zaken, al blijft men voorzichtig met een officiële toewijzing aan China als uitvoerder. Het is niet uitgesloten dat een groep hackers die is verbonden aan een ander land de Hafnium-technieken heeft gebruikt om binnen te raken. Door het type aanval en de aard van het doelwit staat wel vast dat het om een ernstig geval van ‘state-sponsored hacking’ gaat, zelfs het zwaarste waar ons land al mee te maken had. Er zijn parallellen te trekken met de hacking van Proximus (het vroegere Belgacom) door de Britse geheime dienst GCHQ, die in 2013 bekendraakte. Daarbij was het doelwit niet zozeer het telecombedrijf of de Belgische staat zelf, wel de communicatie die wereldwijd via een dochteronderneming van Proximus liep. Deze aanval op Binnenlandse Zaken was gericht tegen de dienst zelf. Dat maakt de dreiging voor België als land groter.