O serviço secreto da Noruega disse na semana passada que o APT31, grupo de espionagem cibernética que opera em nome do governo chinês, foi responsável pela violação à rede de TI do governo em 2018.
De acordo com o Serviço de Segurança Policial da Noruega (PST), “a investigação revelou que o autor do ataque conseguiu adquirir direitos de administrador que lhe deram acesso a sistemas de computador centralizados usados por todos os escritórios da administração estadual no país”.
“O autor [do ataque] também conseguiu transferir alguns dados dos sistemas dos escritórios. Nenhuma descoberta técnica confiável foi feita sobre quais informações foram transferidas, mas a investigação mostra que provavelmente havia nomes de usuário e senhas associados a funcionários em vários escritórios da administração estadual”, acrescentou a agência de inteligência norueguesa.
O PST disse que, embora o grupo tenha obtido acesso à rede do governo, os investigadores não encontraram nenhuma evidência de que os hackers chineses exfiltraram segredos de estado ou informações pessoais de cidadãos noruegueses.
Embora em um comunicado oficial à imprensa, o PST não vincule o ataque ao APT31, Hanne Blomberg, chefe da contraespionagem do PST, deu uma entrevista à rede de televisão estatal NRK apontando formalmente o dedo para o grupo de hackers chinês.
O PST disse que o mesmo grupo também invadiu o provedor de serviços em nuvem norueguês Visma AG no verão de 2018. Em um relatório de fevereiro de 2019, as empresas de segurança cibernética Rapid7 e Recorded Future atribuíram o hack do Visma ao grupo de hackers chinês APT10.
Veja isso
Hackers da Rússia, China e Irã tentam interferir nas eleições dos EUA
Grupo APT roubou ferramentas que podem ser de uso da NSA
Na sexta-feira, 18, analistas do Insikt Group da Recorded Future disseram ao site The Record que evidências subsequentes encontraram sobreposições entre APT10 e RedBravo, o nome interno da Recorded Future para APT31. APT31 também é o mesmo grupo que as autoridades finlandesas acusaram de hackear os sistemas internos de TI de seu Parlamento no outono do ano passado.
Esta é a segunda vez em um ano que as autoridades de Oslo acusam um governo estrangeiro de hackear sua rede governamental. Em dezembro de 2020, o PST disse que o grupo de hackers APT28 da Rússia — vinculado ao serviço de inteligência militar da Rússia — havia hackeado a rede interna de TI do Parlamento norueguês meses antes, em setembro.
Em março deste ano, o Parlamento norueguês disse que sua rede foi hackeada novamente depois que invasores usaram uma vulnerabilidade não corrigida para obter acesso a sistemas governamentais por meio de um servidor de e-mail Microsoft Exchange. O hack não foi atribuído a nenhum grupo em particular.