С мая 2025 года по весну 2026 года бельгийская разведка стала жертвой кибератаки, в результате которой были скомпрометированы данные сотрудников спецслужбы — спустя два года после аналогичного инцидента, сообщило RTBF. Злоумышленники получили доступ к программному обеспечению сторонней компании, отвечающей за безопасность мобильных телефонов сотрудников разведки Бельгии.
В распоряжении хакеров оказались такие данные, как имена, фамилии и номера телефонов сотрудников. RTBF указывает, что наиболее конфиденциальная информация, имеющая значение для национальной безопасности, не была скомпрометирована, поскольку секретные данные не передаются по обычной телефонной сети.
Служба государственной безопасности Бельгии применяет софт Ivanti Endpoint Manager Mobile для защиты мобильных устройств своих агентов и управления правами доступа к системе. Проверка IT-инфраструктуры компании показала, что киберпреступники использовали уязвимости ПО для доступа к системам, связанным с телефонией и электронной почтой рабочих устройств.
Бельгийский центр кибербезопасности (CCB) предупредил, что злоумышленники используют эти уязвимости для сбора и кражи данных. Ivanti перечисляет данные, потенциально доступные киберпреступникам: фамилии, имена, номера телефонов, адреса электронной почты, идентификаторы телефонов, местоположения устройств и другие.
Анализ этих данных может позволить иностранной разведке или враждебной группировке получить более точное представление о CCB, его сотрудниках и организации. Хакеры так и не взломали внутреннюю сеть разведывательной службы, где происходит обмен конфиденциальными и строго засекреченными данными, пишет RTBF.
Источники издания отметили, что CCB принял меры после этих инцидентов. Ivanti рекомендовала установить обновления на все устройства бельгийской разведки и сменить пароли.
Агентство по кибербезопасности и защите инфраструктуры США обнаружило случаи эксплуатации определённых уязвимостей системы Ivanti. Киберпреступники атаковали критически важные сектора, такие как коммунальные службы, телекоммуникации, аэрокосмическая отрасль, финансы и безопасность, особенно в Европе.
СМИ и ИБ-компании связывают использование уязвимостей Ivanti с UNC5221 — предполагаемой китайской шпионской группой.
С февраля 2021 года по май 2023 года группа китайских хакеров перехватила около 10% входящих и исходящих электронных писем, которые шли через внешний сервер CCB. Хакеры использовали уязвимость в ПО безопасности, принадлежащем компании Barracuda. Специалисты по кибербезопасности до сих пор не установили связь между атакой 2021-2023 годов и инцидентом 2025-2026 годов.
ссылка на оригинал статьи https://habr.com/ru/articles/1052002/