PST (Politiets sikkerhetstjeneste, norweska Policyjna Służba Wywiadowcza) oficjalnie oświadczyła, że wyśledziła poważny atak hakerski na norweskich urzędników w 2018 roku w Chinach. Fakt ten został jednak upubliczniony po tym, jak musiano wycofać sprawę z sądu ze względu na trudności w ściganiu sprawców.
„W tym konkretnym przypadku mamy informacje, które wyraźnie wskazują, że za operacją stoi grupa APT31” – powiedziała w czwartek w rozmowie z Norwegian Broadcasting (NRK) Hanne Blomberg, szefowa kontrwywiadu w PST.
Blomberg zidentyfikowała APT31 jako „podmiot, który ma powiązania z chińską agencją wywiadowczą”. Ta grupa hakerów jest szerzej znana z cyberataków w Finlandii czy w Stanach Zjednoczonych. Do tej pory ich celem była często kradzież informacji, które mogą pomóc chińskim firmom w rozwoju technologicznym Chin lub w uzyskaniu informacji na temat obronności i przygotowania innych krajów.
Atak latem 2018 roku był wymierzony w biura gubernatorów (obecnie zwane statsforvaltere), które są zwykle kierowane przez czołowych polityków, mianowanych na przedstawicieli monarchy w Norwegii (fylker). Takie biura istnieją w Oslo i Viken, to one w tym przypadku stały się celem.
PST (Politiets sikkerhetstjeneste) gromadzi informacje w celu oceny zagrożeń wobec Norwegii, by im przeciwdziałać. Prowadzi również badania i dochodzenie, ale informacje wywiadowcze łączące ataki z Chinami prawdopodobnie nie mogłyby zostać wykorzystane w sprawie karnej, nie tylko dlatego, że są tajne.
„Często posiadamy tajne informacje, które zgromadziliśmy i których nie możemy odtajnić. Mamy źródła, które chcemy chronić lub otrzymujemy informacje od agencji wywiadowczych z którymi współpracujemy, których nie możemy wykorzystać w sprawie sądowej” – skomentowała dochodzenie Hanne Blomberg, szefowa kontrwywiadu w PST. Zapewniła też, że agencja posiada informacje z których wynika, że za atakiem stoi APT31 i „jest tego całkiem pewna”.
Skradziono część danych
Hakerzy w ramach ataku przeprowadzonego w 2018 roku po raz pierwszy uzyskali dostęp do systemów danych ówczesnego Fylkesmannen w Aust- i Vest-Agder w południowej Norwegii. Stamtąd udało im się przeniknąć do systemów urzędów administracyjnych w dawnym hrabstwie Hedmark (obecnie część hrabstwa Innland) oraz w Oslo i Akershus. Stamtąd zaatakowali systemy w całym kraju i zdołali wydobyć informacje, których charakteru nie ujawniono.
PST wszczęła dochodzenie by ustalić, czy celem ataku było szpiegostwo, którego zadaniem była kradzież tajemnic państwowych. Chodzi m.in. nie tylko o informacje wrażliwe, dotyczące danych osobowych, ale też medycznych czy związanych z bezpieczeństwem narodowym.
„Widać, że atakujący uzyskał dostęp do danych i ukradł ich część. Uważamy, że ukradli nazwy użytkowników i hasła pracownikom regionalnych urzędów administracyjnych” – czytamy na łamach NewsInEnglish.no.
Członkowie grupy APT31 są znani z korzystania z poczty e-mail do nakłaniania ofiar do nieświadomego udostępniania swoich nazw użytkowników i haseł, a następnie używania ich do logowania się do systemów zdalnych, by wykraść wrażliwe dane. Według PST mogą być oni narzędziem w rękach chińskiego Ministerstwa Bezpieczeństwa Państwa.