Noruega ha vinculado una serie de ataques cibernéticos contra la infraestructura de TI estatal y privada en 2018 con “malos actores” que operan desde China.
Según la evidencia técnica y de otro tipo recopilada por sus agencias centrales de inteligencia, el gobierno noruego culpó a los malos actores patrocinados y que operan desde China por el grave ataque cibernético contra los centros de administración estatal (SAC) en 2018.
La investigación de seguimiento dirigida por la agencia de seguridad nacional de Noruega, el PST (Politiets Sikkerhetstjeneste), también concluyó que los mismos “actores de amenazas internacionales” fueron responsables tanto de los ciberataques contra los SAC como de un ataque de malware sostenido contra el grupo de software empresarial Visma the mismo año.
La investigación del PST, ahora cerrada, planteó preocupaciones de que los piratas cibernéticos que atacaron los principales centros de TI de la SAC en Oslo y Viken intentaron capturar información clasificada relacionada con la inteligencia de seguridad y defensa nacional de Noruega.
El análisis de PST no estableció de manera concluyente si los atacantes lograron capturar información clasificada, pero basándose en los rastros digitales dejados por los piratas informáticos, la agencia cree que es poco probable que se incautaron datos clasificados. El PST tampoco pudo identificar un rastro de evidencia digital que pudiera explicar el motivo principal del ataque a las redes de TI de SAC.
Los sistemas de TI de SAC penetrados por los piratas informáticos son utilizados por una gran cantidad de departamentos estatales y agencias gubernamentales en toda Noruega.
Con base en la investigación y los hallazgos técnicos del PST, se cree que la información incautada de la red de TI de SAC incluyó nombres de usuario y contraseñas asociados con empleados administrativos que trabajan en varias oficinas estatales, incluidos los departamentos que se ocupan de la defensa, la seguridad nacional y la preparación para emergencias estatales.
“La similitud en los métodos, cuando se aplica al uso de malware, herramientas e infraestructura digital, significa que consideramos probable que el mismo jugador que estuvo detrás del ataque a las oficinas de la administración estatal sea el mismo que el actor de la amenaza que atacó a Visma, ”, Dijo el PTS en un comunicado.
El rastro de evidencia dejado por el ataque a la red de TI de SAC apunta a China, dijo Hanne Blomberg, jefa de contrainteligencia del PST.
“En este caso específico, tenemos información de inteligencia que apunta en una dirección clara hacia el actor de amenazas APT31 como responsable del ataque contra las redes de TI de la administración estatal. APT31 es un actor que asociamos como vinculado con los servicios de inteligencia de China ”, dijo Blomberg.
Se sospecha que el grupo APT31 está involucrado en una serie de ciberataques contra redes de TI en Europa y EE. UU. Desde 2016.
En los países nórdicos, APT31 se ha relacionado con los ataques que violaron los sistemas de seguridad de TI internos del parlamento nacional de Finlandia (Eduskunta) en 2020. El ataque, que se reveló en diciembre de 2020, provocó que los piratas informáticos obtuvieran acceso a las cuentas de correo electrónico de miembros del parlamento y altos funcionarios.
En lo que respecta a la violación del SAC en Noruega, las primeras alertas de seguridad internas se produjeron después de que piratas informáticos penetraran en los sistemas informáticos operados por las Oficinas del Gobernador del Condado (CGO) en Aust-Agder y Vest-Agder. Luego, los piratas informáticos utilizaron los sistemas de TI como puerta de entrada para acceder a los sistemas informáticos de las CGO en Hedmark, Oslo y Akershus. En ese momento, los atacantes pudieron acceder a un sistema de TI CGO que se comparte con las oficinas de la administración estatal en todo el país.
“Los centros de la administración estatal manejan una amplia gama de información, que va desde registros médicos sensibles a las personas hasta información sobre seguridad nacional, incluida la defensa y la preparación para emergencias”, dijo Blomberg.
APT31 se ha ganado una reputación mundial por utilizar ataques de phishing para engañar a los empleados de organizaciones públicas y privadas para que proporcionen nombres de usuario y contraseñas, dijo Erik Alexander Løkken, jefe de servicios de seguridad administrada de Mnemonic.
“Los piratas informáticos pueden capturar nombres de usuario y contraseñas para permitirles iniciar sesión en sistemas de tipo VPN”, dijo. “Los actores de amenazas digitales estatales más avanzados pasan mucho tiempo mapeando las organizaciones a las que apuntan para el ataque. Se sabe que APT31 utiliza software de puerta trasera que tiene la capacidad de cargar datos en servicios de intercambio de archivos conocidos como Dropbox, Microsoft OneDrive y otras plataformas de servicios de alojamiento de archivos similares “.
La relación cada vez más profunda entre los actores estatales y privados en el dominio de la seguridad cibernética de Noruega hizo que Mnemonic llegara a un acuerdo de cooperación para el intercambio de información con el Centro Nacional de Delitos Cibernéticos (NC3) en junio. El acuerdo está destinado a reforzar las capacidades de prevención y combate del delito cibernético del NC3, que opera bajo el Servicio Nacional de Investigación Criminal de Noruega.
A pesar de sus sospechas de que la APT31, u otros malos actores en China, lanzaron los ataques de 2018, el PST decidió cerrar la investigación debido a la falta de evidencia concreta, dijo Kathrine Tonstad, abogada senior de la agencia.
“Este fue un ataque cibernético avanzado y profesional contra los sistemas informáticos”, dijo. “Fue ejecutado de una manera muy sofisticada. Como suele ocurrir en estas situaciones, puede resultar difícil seguir las huellas cuando atraviesan muchos países. Por tanto, es difícil demostrar con un alto grado de certeza quién se esconde detrás. No tenemos pruebas suficientes que nos permitan continuar con la investigación en virtud de nuestros estatutos de derecho penal “.
Los servicios centrales de inteligencia de Noruega también sospechan que los actores de amenazas en China estaban detrás de un ataque cibernético contra el sistema de TI del Storting (parlamento nacional) el 10 de marzo de 2021. Ine Eriksen Søreide, ministra de Relaciones Exteriores de Noruega, acusó a los actores de amenazas patrocinados por China de lanzar el ataque, que penetró en el sistema de correo electrónico del Storting. China ha negado cualquier participación.
“Responsabilizamos a China por el ataque informático”, dijo Søreide. “Esto se basa en la inteligencia de los países afectados y las huellas digitales que dejó el ataque. Las autoridades chinas tienen el deber de garantizar que este tipo de actividad no se lleve a cabo en su territorio. Nuestra información de inteligencia es que este ataque informático se llevó a cabo desde China “.
Los expertos cibernéticos encargados de investigar la violación de datos encontraron que los piratas informáticos habían explotado las vulnerabilidades en el sistema de correo electrónico del Storting, en particular las debilidades de seguridad relacionadas con el servidor de correo electrónico Microsoft Exchange del parlamento. El ataque cibernético contra el Storting fue parte de un ataque mucho más amplio a los sistemas informáticos de todo el mundo que explotó fallas en el software de correo electrónico Microsoft Exchange Server.
