Norwegen hat 2018 eine Reihe von Cyberangriffen auf staatliche und private IT-Infrastrukturen mit „bösen Akteuren“ in Verbindung gebracht, die aus China operieren.

Basierend auf technischen und anderen Beweisen, die von ihren zentralen Geheimdiensten gesammelt wurden, machte die norwegische Regierung böse Akteure, die von China aus gesponsert und betrieben wurden, für den schweren Cyberangriff auf staatliche Verwaltungszentren (SACs) im Jahr 2018 verantwortlich.

Die von der norwegischen Sicherheitsbehörde PST (Politiets Sikkerhetsjeneste) geleitete Folgeuntersuchung kam ebenfalls zu dem Schluss, dass dieselben „internationalen Bedrohungsakteure“ sowohl für die Cyber-Hacks gegen die SACs als auch für einen anhaltenden Malware-Angriff auf den Unternehmenssoftwarekonzern Visma the . verantwortlich waren selbes Jahr.

Die nun abgeschlossene Untersuchung des PST gab Anlass zur Besorgnis, dass die Cyber-Hacker, die die wichtigsten IT-Hubs des SAC in Oslo und Viken angriffen, versuchten, geheime Informationen über den norwegischen nationalen Verteidigungs- und Sicherheitsgeheimdienst zu erbeuten.

Ob es den Angreifern gelungen ist, Verschlusssachen zu erbeuten, konnte durch die PST-Analyse nicht abschließend geklärt werden. Aufgrund der von den Hackern hinterlassenen digitalen Spuren hält die Behörde jedoch eine Beschlagnahme von Verschlusssachen für unwahrscheinlich. Das PST war auch nicht in der Lage, eine digitale Beweisspur zu identifizieren, die das Hauptmotiv für den Angriff auf SAC-IT-Netzwerke erklären würde.

Die von den Hackern durchdrungenen SAC-IT-Systeme werden von einer großen Anzahl von staatlichen Abteilungen und Regierungsbehörden in ganz Norwegen verwendet.

Basierend auf der Untersuchung und den technischen Erkenntnissen des PST wird angenommen, dass die aus dem SAC-IT-Netzwerk beschlagnahmten Informationen Benutzernamen und Passwörter von Verwaltungsmitarbeitern enthalten, die in verschiedenen staatlichen Ämtern arbeiten, darunter Abteilungen für Verteidigung, nationale Sicherheit und staatliche Notfallvorsorge.

„Die methodische Ähnlichkeit beim Einsatz von Malware, Tools und digitaler Infrastruktur lässt uns für wahrscheinlich halten, dass derselbe Akteur, der hinter dem Angriff auf die Staatsverwaltung stand, derselbe Akteur ist, der Visma angegriffen hat. “, sagte die PTS in einer Erklärung.

Die Spuren des Angriffs auf das IT-Netzwerk des SAC weisen auf China hin, sagte Hanne Blomberg, Leiterin der Abwehr des PST.

„In diesem konkreten Fall liegen uns Geheimdienstinformationen vor, die eindeutig auf den Bedrohungsakteur APT31 hinweisen, der hinter dem Angriff auf IT-Netzwerke der staatlichen Verwaltung steckt. APT31 ist ein Spieler, den wir mit Chinas Geheimdiensten in Verbindung bringen“, sagte Blomberg.

Die APT31-Gruppe steht im Verdacht, seit 2016 an einer Reihe von Cyberangriffen auf IT-Netzwerke in Europa und den USA beteiligt zu sein.

In den nordischen Ländern wurde APT31 mit den Angriffen in Verbindung gebracht, die 2020 die internen IT-Sicherheitssysteme des finnischen Parlaments (Eduskunta) durchbrachen. Der Angriff, der im Dezember 2020 bekannt wurde, führte dazu, dass Hacker Zugang zu den E-Mail-Konten von Abgeordnete und hohe Beamte.

In Bezug auf die SAC-Verletzung in Norwegen wurden die ersten internen Sicherheitswarnungen ausgelöst, nachdem Hacker in Computersysteme der County Governor Offices (CGOs) in Aust-Agder und Vest-Agder eingedrungen waren. Hacker nutzten die IT-Systeme dann als Gateway, um auf die Computersysteme von CGOs in Hedmark, Oslo und Akershus zuzugreifen. Zu diesem Zeitpunkt konnten die Angreifer auf ein CGO-IT-System zugreifen, das mit staatlichen Verwaltungsbüros im ganzen Land geteilt wird.

„Die Landesverwaltungszentren verarbeiten ein breites Informationsspektrum, das von personenbezogenen Krankenakten bis hin zu Informationen zur nationalen Sicherheit, einschließlich der Verteidigung und der Notfallvorsorge, reicht“, sagte Blomberg.

APT31 hat sich einen weltweiten Ruf erworben, indem es Phishing-Angriffe einsetzt, um Mitarbeiter privater und öffentlicher Organisationen dazu zu bringen, Benutzernamen und Passwörter bereitzustellen, sagte Erik Alexander Løkken, Leiter Managed Security Services bei Mnemonic.

„Hacker können Benutzernamen und Passwörter erfassen, damit sie sich bei Systemen vom Typ VPN anmelden können“, sagte er. „Die fortgeschritteneren staatlichen digitalen Bedrohungsakteure verbringen viel Zeit damit, Organisationen zu kartieren, auf die sie Angriffe abzielen. APT31 ist dafür bekannt, Backdoor-Software zu verwenden, die Daten auf bekannte File-Sharing-Dienste wie Dropbox, Microsoft OneDrive und andere ähnliche File-Hosting-Service-Plattformen hochladen kann.“

Die Vertiefung der Beziehung zwischen staatlichen und privaten Akteuren in Norwegens Cybersicherheitsdomäne sah Mnemonic schließt Kooperationsvertrag zum Informationsaustausch mit dem National Cyber ​​Crime Center (NC3) im Juni. Die Vereinbarung soll die Fähigkeiten der NC3 zur Bekämpfung und Prävention von Cyberkriminalität stärken, die dem norwegischen nationalen Kriminaldienst unterstellt ist.

Trotz des Verdachts, dass die APT31 oder andere schlechte Akteure in China die Angriffe von 2018 gestartet haben, habe die PST beschlossen, die Untersuchung aus Mangel an konkreten Beweisen einzustellen, sagte Kathrine Tonstad, eine leitende Anwältin der Agentur.

„Dies war ein fortgeschrittener und professioneller Cyberangriff gegen Computersysteme“, sagte sie. „Es wurde sehr anspruchsvoll ausgeführt. Wie so oft in diesen Situationen kann es schwierig sein, den Spuren zu folgen, wenn sie viele Länder durchqueren. Daher ist es schwierig, mit hoher Sicherheit nachzuweisen, wer dahinter steckt. Wir haben nicht genügend Beweise, um die Ermittlungen im Rahmen unserer strafrechtlichen Bestimmungen weiterzuführen.“

Auch die norwegischen Geheimdienste vermuten, dass Bedrohungsakteure in China hinter einem Cyberangriff gegen das IT-System des Storting (nationales Parlament) am 10. März 2021. Ine Eriksen Søreide, Norwegens Außenministerin, beschuldigte von China gesponserte Bedrohungsakteure, den Angriff gestartet zu haben, der in das E-Mail-System des Storting eingedrungen sei. China hat jede Beteiligung bestritten.

„Wir machen China für den Computerangriff verantwortlich“, sagte Søreide. „Dies basiert auf Erkenntnissen der betroffenen Länder und den digitalen Spuren, die der Angriff hinterlassen hat. Die chinesischen Behörden sind verpflichtet sicherzustellen, dass diese Art von Aktivitäten nicht in ihrem Hoheitsgebiet stattfindet. Unseren Geheimdienstinformationen zufolge wurde dieser Computerangriff von China aus durchgeführt.“

Cyber-Experten, die mit der Untersuchung der Datenschutzverletzung beauftragt waren, stellten fest, dass Hacker Sicherheitslücken im E-Mail-System des Stortings ausgenutzt hatten, insbesondere Sicherheitslücken im Zusammenhang mit dem Microsoft Exchange-E-Mail-Server des Parlaments. Der Cyberangriff gegen das Storting war Teil eines viel umfassenderen Angriffs auf Computersysteme weltweit, bei dem Fehler in der E-Mail-Software von Microsoft Exchange Server ausgenutzt wurden.

Leave a Reply

Your email address will not be published. Required fields are marked *