Buitenlandse Zaken is een gedroomd doelwit voor buitenlandse spionnen. Al in 2011 en 2014 werd de Federale Overheidsdienst het slachtoffer van geavanceerde en persistente cyberaanvallen. Nu onthult Knack een derde groot cyberincident, dat hoofdzakelijk gericht was tegen computers van twee Belgische diplomatieke vertegenwoordigingen in het buitenland.
...

Buitenlandse Zaken is een gedroomd doelwit voor buitenlandse spionnen. Al in 2011 en 2014 werd de Federale Overheidsdienst het slachtoffer van geavanceerde en persistente cyberaanvallen. Nu onthult Knack een derde groot cyberincident, dat hoofdzakelijk gericht was tegen computers van twee Belgische diplomatieke vertegenwoordigingen in het buitenland. 'In november 2017 werd een computer van Buitenlandse Zaken geïnfecteerd met malware. Bij een controle van de antimalwaredetectie heeft de FOD dat in februari 2018 zelf ontdekt', zegt kolonel Filip Gillet, hoofd van de directie Cyber bij de ADIV. 'Vervolgens klopte Buitenlandse Zaken aan bij de ADIV én bij internetbrandweer CERT om de malware verder te onderzoeken. Wij hebben er met een tiental cyberexperts wekenlang op gewerkt en hielden ook wekelijkse briefings met Buitenlandse Zaken. De malware zat snugger in mekaar, maar de persistentie was niet goed geconfigureerd - in mensentaal: zodra je de pc weer opstartte, was de malware niet meer actief. Er zijn toen dus géén gegevens van Buitenlandse Zaken buitgemaakt. De malware liet wel sporen na.' Aan de hand van de gegevens over de malware voerde Buitenlandse Zaken een nieuwe, gerichte scan uit op haar hele netwerk. Gillet: 'Op die manier kwam in april 2018 nog een andere besmetting aan het licht, op een andere plek bij Buitenlandse Zaken. Die aangetroffen malware had echter nooit gefunctioneerd.' De ADIV bezorgde zijn dossier met bevindingen en aanbevelingen in oktober 2018 aan Buitenlandse Zaken. 'Ook daarna zijn we blijven zoeken naar de technieken en tactieken die de tegenstander had ingezet om de malware te infiltreren', zegt Gillet. 'Op die manier deden we in maart 2019 een derde detectie. Die gaf aanleiding tot een boost in het onderzoek. Ook ditmaal waren er nog geen data buitgemaakt, maar stond er wel een communicatiekanaal open om gegevens mee te kunnen versturen.' Uit voorzorg werd het volledige externe netwerk van Buitenlandse Zaken in mei anderhalve dag afgekoppeld, om de boel op te schonen en bijkomende veiligheidsmaatregelen te installeren.De ADIV twijfelt er niet aan dat de drie detecties aan elkaar gelinkt zijn. Gillet: 'De malware bleek immers op ongeveer hetzelfde moment geïnfiltreerd en ook de gebruikte methode was gelijksoortig. Al kan ik daarover niet in detail treden, om het verdere onderzoek niet te schaden.' De dienst vond bovendien technische elementen die in één bepaalde richting wijzen. 'Dit was state sponsored: alles wijst op de betrokkenheid van een buitenlandse overheid. Het gaat hier om een zogenaamde geavanceerde en persistente dreiging. De tegenstander trachtte malware op zo'n manier te installeren dat hij ongedetecteerd bleef, om die malware pas in een later stadium te activeren. Zoiets vraagt een langetermijnvisie; dit is niet het werk van een hacktivist of een scriptkiddie.' Omdat er géén gegevens zijn buitgemaakt, is het doel van de malware moeilijker vast te pinnen. Gillet: 'Maar we kunnen wel stellen dat spionage het logische doel is.' Knack vernam uit verschillende bronnen dat het federaal parket een onderzoek voert naar de case. De ADIV en CERT zijn daarbij aangesteld als technisch expert. Zelf geeft het federaal parket echter 'géén commentaar'. In 2011 werd de FOD Buitenlandse Zaken al eens het slachtoffer van hackers. Met de hulp van Defensie kon de malware geneutraliseerd worden. Minister van Buitenlandse Zaken Didier Reynders (MR) maakte toen gewag van 'verwijzingen naar Chinese bedrijven', maar ging niet zover om China ervan te beschuldigen achter de cyberaanval te zitten. Het federaal parket onderzocht de hacking, maar seponeerde de zaak later wegens 'onbekende daders'. In 2014, in volle Oekraïnecrisis, stelde Buitenlandse Zaken opnieuw een grote hacking van zijn computernetwerk vast. 'Moskou hackt Belgische staat', berichtte De Tijd toen, aangezien de eerste sporen wezen naar Rusland. Het ging om het beruchte Snake-virus: malware die zichzelf constant vernieuwt en een beveiligingslaag legt rond de gestolen data.Volgens De Standaard was de hacking ontdekt na een tip van de Amerikaanse geheime dienst CIA, en was ze het werk van de Russische militaire eenheid 26165. Dezelfde eenheid probeerde later in Den Haag de Organisatie voor het Verbod op Chemische Wapens te hacken. Buitenlandse Zaken zag zich in 2014 gedwongen drastische maatregelen te nemen: drie maanden lang moesten de computers van meer dan 3100 diplomaten en medewerkers op het hoofdbestuur in Brussel en de ambassades in quarantaine geplaatst worden. Vijf jaar lang voerde het federaal parket een onderzoek. 'De finale evaluatie is nu bezig', zegt woordvoerder Eric Van Duyse. 'Voor eind september zal het federaal parket een beslissing nemen: vervolgen of de zaak seponeren.' Bij de directie Cyber van de ADIV werken momenteel een honderdtal cyberexperts. Ze monitoren en beveiligen permanent de netwerken en wapensystemen van Defensie. Bovenop de individuele pc's van alle militairen gaat het ook om de wapensystemen van bijvoorbeeld gepantserde voertuigen of fregatten. Tegen 2030 wil de directie uitgroeien tot 200 specialisten. Deze week nog is SELOR een rekrutering gestart om 16 nieuwe cyberexperts voor ADIV aan te nemen.