La Cina accusata di attacchi informatici ai sistemi informatici norvegesi

La Norvegia ha collegato una serie di attacchi informatici contro infrastrutture IT statali e private nel 2018 a “cattivi attori” operanti dalla Cina.

Sulla base di prove tecniche e di altro tipo raccolte dalle sue agenzie di intelligence centrali, il governo norvegese ha incolpato i cattivi attori sponsorizzati e operanti dalla Cina per il grave attacco informatico contro i centri dell’amministrazione statale (SAC) nel 2018.

L’indagine di follow-up condotta dall’agenzia di sicurezza nazionale norvegese, il PST (Politiets Sikkerhetstjeneste), ha anche concluso che gli stessi “attori di minacce internazionali” erano responsabili sia degli attacchi informatici contro le SAC sia di un attacco di malware prolungato contro il gruppo di software aziendale Visma the stesso anno.

L’indagine del PST, ora chiusa, ha sollevato preoccupazioni sul fatto che i cyber hacker che hanno attaccato i principali hub IT del SAC a Oslo e Viken abbiano tentato di acquisire informazioni classificate relative alla difesa nazionale e all’intelligence sulla sicurezza della Norvegia.

L’analisi PST non ha stabilito in modo definitivo se gli aggressori sono riusciti a catturare informazioni classificate, ma sulla base delle tracce digitali lasciate dagli hacker, l’agenzia ritiene improbabile che i dati riservati siano stati sequestrati. Il PST non è stato inoltre in grado di identificare una traccia di prove digitali che spiegherebbe il motivo principale dell’attacco alle reti IT del SAC.

I sistemi informatici SAC penetrati dagli hacker sono utilizzati da un gran numero di dipartimenti statali e agenzie governative in tutta la Norvegia.

Sulla base dell’indagine del PST e dei risultati tecnici, si ritiene che le informazioni sequestrate dalla rete SAC IT includano nomi utente e password associati ai dipendenti amministrativi che lavorano in vari uffici statali, compresi i dipartimenti che si occupano di difesa, sicurezza nazionale e preparazione alle emergenze statali.

“La somiglianza nei metodi, quando applicati all’uso di malware, strumenti e infrastrutture digitali, significa che riteniamo probabile che lo stesso giocatore che c’era dietro l’attacco agli uffici dell’amministrazione statale sia lo stesso dell’attore della minaccia che ha attaccato Visma, “, ha detto il PTS in una nota.

Le prove lasciate dall’attacco alla rete informatica del SAC puntano alla Cina, ha affermato Hanne Blomberg, capo del controspionaggio del PST.

“In questo caso specifico, abbiamo informazioni di intelligence che puntano in una chiara direzione verso l’attore di minacce APT31 come dietro l’attacco contro le reti informatiche dell’amministrazione statale. APT31 è un attore che associamo ai servizi di intelligence cinesi”, ha affermato Blomberg.

Il gruppo APT31 è sospettato di essere coinvolto in una serie di attacchi informatici contro le reti informatiche in Europa e negli Stati Uniti dal 2016.

Nei paesi nordici, APT31 è stato collegato agli attacchi che hanno violato i sistemi di sicurezza IT interni del parlamento nazionale finlandese (l’Eduskunta) nel 2020. L’attacco, che è stato divulgato nel dicembre 2020, ha portato gli hacker ad accedere agli account di posta elettronica di parlamentari e alti funzionari.

Per quanto riguarda la violazione del SAC in Norvegia, i primi avvisi di sicurezza interna sono stati lanciati dopo che gli hacker sono penetrati nei sistemi informatici gestiti dai County Governor Offices (CGO) in Aust-Agder e Vest-Agder. Gli hacker hanno quindi utilizzato i sistemi IT come gateway per accedere ai sistemi informatici dei CGO di Hedmark, Oslo e Akershus. A quel punto, gli aggressori sono riusciti ad accedere a un sistema informatico CGO condiviso con gli uffici dell’amministrazione statale in tutto il paese.

“I centri dell’amministrazione statale gestiscono un’ampia gamma di informazioni, che vanno dalle cartelle cliniche personali alle informazioni sulla sicurezza nazionale, compresa la difesa e la preparazione alle emergenze”, ha affermato Blomberg.

APT31 ha guadagnato una reputazione globale per l’utilizzo di attacchi di phishing per indurre i dipendenti di organizzazioni pubbliche e private a fornire nomi utente e password, ha affermato Erik Alexander Løkken, capo dei servizi di sicurezza gestiti presso Mnemonic.

“Gli hacker possono acquisire nomi utente e password per consentire loro di accedere a sistemi di tipo VPN”, ha affermato. “Gli attori statali più avanzati delle minacce digitali trascorrono molto tempo a mappare le organizzazioni che prendono di mira per gli attacchi. È noto che APT31 utilizza software backdoor che ha la capacità di caricare dati su noti servizi di condivisione file come Dropbox, Microsoft OneDrive e altre piattaforme di servizi di file hosting simili.

L’approfondimento della relazione tra gli attori statali e privati ​​nel dominio della sicurezza informatica norvegese ha visto Mnemonic raggiunge un accordo di cooperazione per lo scambio di informazioni con il National Cyber ​​Crime Center (NC3) a giugno. L’accordo ha lo scopo di rafforzare le capacità di lotta alla criminalità informatica e di prevenzione dell’NC3, che opera nell’ambito del Servizio investigativo criminale nazionale norvegese.

Nonostante i suoi sospetti che l’APT31, o altri cattivi attori in Cina, abbiano lanciato gli attacchi del 2018, il PST ha deciso di chiudere le indagini a causa della mancanza di prove concrete, ha affermato Kathrine Tonstad, un avvocato senior dell’agenzia.

“Si trattava di un attacco informatico avanzato e professionale contro i sistemi informatici”, ha affermato. “È stato eseguito in modo altamente sofisticato. Come spesso accade in queste situazioni, può essere difficile seguire le tracce quando attraversano molti paesi. Pertanto, è difficile dimostrare con un alto grado di certezza chi c’è dietro. Non abbiamo prove sufficienti per consentirci di proseguire le indagini secondo i nostri statuti di diritto penale”.

I servizi di intelligence centrali norvegesi sospettano anche che gli attori delle minacce in Cina siano dietro a attacco informatico contro il sistema informatico dello Storting (parlamento nazionale) il 10 marzo 2021. Ine Eriksen Søreide, ministro degli esteri norvegese, ha accusato gli attori di minacce sponsorizzati dalla Cina per aver lanciato l’attacco, che è penetrato nel sistema di posta elettronica di Storting. La Cina ha negato qualsiasi coinvolgimento.

“Riteniamo la Cina responsabile dell’attacco informatico”, ha affermato Søreide. “Questo si basa sull’intelligence dei paesi colpiti e sulle tracce digitali lasciate dall’attacco. Le autorità cinesi hanno il dovere di garantire che questo tipo di attività non si svolga sul loro territorio. Le nostre informazioni di intelligence sono che questo attacco informatico è stato effettuato dalla Cina”.

Gli esperti informatici incaricati di indagare sulla violazione dei dati hanno scoperto che gli hacker avevano sfruttato le vulnerabilità nel sistema di posta elettronica di Storting, in particolare i punti deboli della sicurezza relativi al server di posta elettronica Microsoft Exchange del parlamento. L’attacco informatico contro gli Storting faceva parte di un attacco molto più ampio ai sistemi informatici di tutto il mondo che sfruttava i difetti del software di posta elettronica di Microsoft Exchange Server.