China acusada de ataques cibernéticos a sistemas de TI noruegueses

China acusada de ataques cibernéticos a sistemas de TI noruegueses

A Noruega relacionou uma série de ataques cibernéticos contra infraestruturas de TI estatais e privadas em 2018 a “agentes mal-intencionados” operando na China.

Com base em evidências técnicas e outras coletadas por suas agências centrais de inteligência, o governo norueguês culpou malfeitores patrocinados e operando na China pelo grave ataque cibernético contra centros de administração estadual (SACs) em 2018.

A investigação de acompanhamento conduzida pela agência de segurança nacional da Noruega, a PST (Politiets Sikkerhetstjeneste), também concluiu que os mesmos “atores internacionais de ameaças” foram responsáveis ​​tanto pelos hacks cibernéticos contra os SACs quanto por um ataque de malware sustentado contra o grupo de software empresarial Visma the mesmo ano.

A investigação do PST, agora encerrada, levantou preocupações de que os hackers cibernéticos que atacaram os principais centros de TI do SAC em Oslo e Viken tentaram capturar informações confidenciais relacionadas à defesa nacional da Noruega e inteligência de segurança.

A análise do PST não estabeleceu de forma conclusiva se os invasores conseguiram capturar informações classificadas, mas com base nos rastros digitais deixados pelos hackers, a agência acredita que é improvável que dados classificados tenham sido apreendidos. O PST também não foi capaz de identificar uma trilha de evidência digital que explicasse o motivo principal do ataque às redes de TI do SAC.

Os sistemas de TI do SAC invadidos pelos hackers são usados ​​por um grande número de departamentos estaduais e agências governamentais em toda a Noruega.

Com base na investigação e nas constatações técnicas do PST, acredita-se que as informações apreendidas da rede de TI do SAC incluíram nomes de usuário e senhas associados a funcionários administrativos que trabalham em vários escritórios estaduais, incluindo departamentos que lidam com defesa, segurança nacional e preparação para emergências estaduais.

“A semelhança de métodos, quando aplicada ao uso de malware, ferramentas e infraestrutura digital, significa que consideramos provável que o mesmo jogador que estava por trás do ataque aos escritórios da administração estadual seja o mesmo ator da ameaça que atacou o Visma, ”, Disse o PTS em um comunicado.

A trilha de evidências deixada pelo ataque à rede de TI do SAC aponta para a China, disse Hanne Blomberg, chefe de contra-inteligência do PST.

“Neste caso específico, temos informações de inteligência que apontam em uma direção clara em direção ao ator de ameaça APT31 como sendo o responsável pelo ataque às redes de TI da administração estadual. O APT31 é um ator que associamos aos serviços de inteligência da China ”, disse Blomberg.

O grupo APT31 é suspeito de envolvimento em uma série de ataques cibernéticos contra redes de TI na Europa e nos EUA desde 2016.

Nos países nórdicos, o APT31 foi associado aos ataques que violaram os sistemas internos de segurança de TI do parlamento nacional da Finlândia (o Eduskunta) em 2020. O ataque, que foi divulgado em dezembro de 2020, resultou no acesso de hackers às contas de e-mail de membros do parlamento e altos funcionários públicos.

No que diz respeito à violação do SAC na Noruega, os primeiros alertas de segurança interna foram emitidos depois que hackers invadiram sistemas de computador operados pelos Escritórios do Governador do Condado (CGOs) em Aust-Agder e Vest-Agder. Os hackers então usaram os sistemas de TI como um gateway para acessar os sistemas de computador dos CGOs em Hedmark, Oslo e Akershus. Nesse ponto, os invasores conseguiram acessar um sistema de TI CGO que é compartilhado com escritórios da administração estadual em todo o país.

“Os centros de administração estadual lidam com uma ampla gama de informações, que vão desde registros médicos confidenciais a informações sobre segurança nacional, incluindo defesa e preparação para emergências”, disse Blomberg.

APT31 ganhou uma reputação global por usar ataques de phishing para enganar funcionários de organizações públicas e privadas para fornecer nomes de usuário e senhas, disse Erik Alexander Løkken, chefe de serviços gerenciados de segurança da Mnemonic.

“Os hackers podem capturar nomes de usuário e senhas para permitir que façam logon em sistemas do tipo VPN”, disse ele. “Os agentes de ameaças digitais de estado mais avançados gastam muito tempo mapeando as organizações que almejam para o ataque. APT31 é conhecido por usar software backdoor que tem a capacidade de enviar dados para serviços de compartilhamento de arquivos bem conhecidos, como Dropbox, Microsoft OneDrive e outras plataformas de serviço de hospedagem de arquivos semelhantes. ”

O aprofundamento da relação entre os atores estatais e privados no domínio da segurança cibernética da Noruega viu Mnemonic chega a um acordo de cooperação para troca de informações com o National Cyber ​​Crime Center (NC3) em junho. O acordo tem como objetivo fortalecer o combate ao crime cibernético e as capacidades de prevenção do NC3, que opera sob o Serviço Nacional de Investigação Criminal da Noruega.

Apesar de suas suspeitas de que o APT31, ou outros atores mal-intencionados na China, tenham lançado os ataques de 2018, o PST decidiu encerrar a investigação por falta de evidências concretas, disse Kathrine Tonstad, uma advogada sênior da agência.

“Este foi um ataque cibernético avançado e profissional contra sistemas de computador”, disse ela. “Foi executado de forma altamente sofisticada. Como costuma acontecer nessas situações, pode ser difícil seguir os rastros quando eles atravessam muitos países. Portanto, é difícil provar com um alto grau de certeza quem está por trás disso. Não temos provas suficientes para nos permitir prosseguir com a investigação ao abrigo dos nossos estatutos de direito penal. ”

Os serviços centrais de inteligência da Noruega também suspeitam que os atores da ameaça na China estão por trás de um ataque cibernético contra o sistema de TI de Storting (parlamento nacional) em 10 de março de 2021. Ine Eriksen Søreide, a ministra das Relações Exteriores da Noruega, acusou agentes de ameaça patrocinados pela China por lançar o ataque, que penetrou no sistema de e-mail do Storting. A China negou qualquer envolvimento.

“Consideramos a China responsável pelo ataque ao computador”, disse Søreide. “Isso se baseia na inteligência dos países afetados e nos rastros digitais deixados pelo ataque. As autoridades chinesas têm o dever de assegurar que este tipo de atividade não ocorra no seu território. Nossa informação de inteligência é que este ataque ao computador foi realizado na China. ”

Os especialistas cibernéticos encarregados de investigar a violação de dados descobriram que os hackers exploraram vulnerabilidades no sistema de e-mail do Storting, em particular pontos fracos de segurança relacionados ao servidor de e-mail Microsoft Exchange do parlamento. O ataque cibernético contra o Storting foi parte de um ataque muito mais amplo aos sistemas de computador em todo o mundo que explorava falhas no software de e-mail do Microsoft Exchange Server.

Leave a Reply

Your email address will not be published. Required fields are marked *