Connect with us

Technologie

La Chine accusée de cyberattaques contre les systèmes informatiques norvégiens

Published

on


La Norvège a lié une série de cyberattaques contre l’infrastructure informatique publique et privée en 2018 à de « mauvais acteurs » opérant depuis la Chine.

Sur la base de preuves techniques et autres recueillies par ses agences centrales de renseignement, le gouvernement norvégien a blâmé les mauvais acteurs parrainés et opérant depuis la Chine pour la grave cyberattaque contre les centres d’administration de l’État (SAC) en 2018.

L’enquête de suivi menée par l’agence de sécurité nationale norvégienne, le PST (Politiets Sikkerhetstjeneste), a également conclu que les mêmes « acteurs de la menace internationale » étaient responsables à la fois des cyber-piratages contre les SAC et d’une attaque de logiciels malveillants soutenue contre le groupe de logiciels d’entreprise Visma la même année.

L’enquête du PST, maintenant close, a soulevé des préoccupations selon lesquelles les cyberpirates qui ont attaqué les principaux centres informatiques du SAC à Oslo et à Viken ont tenté de capturer des informations classifiées relatives aux renseignements de défense et de sécurité nationaux de la Norvège.

L’analyse PST n’a pas établi de manière concluante si les attaquants ont réussi à capturer des informations classifiées, mais sur la base des traces numériques laissées par les pirates, l’agence estime qu’il est peu probable que des données classifiées aient été saisies. Le PST n’a pas non plus été en mesure d’identifier une piste de preuve numérique qui expliquerait le motif principal de l’attaque contre les réseaux de TI d’OAC.

Les systèmes informatiques SAC pénétrés par les pirates informatiques sont utilisés par un grand nombre de départements d’État et d’agences gouvernementales à travers la Norvège.

D’après l’enquête et les conclusions techniques de la DSP, les renseignements saisis dans le réseau de TI d’OAC auraient inclus des noms d’utilisateur et des mots de passe associés à des employés administratifs travaillant dans divers bureaux d’État, y compris les ministères chargés de la défense, de la sécurité nationale et de la préparation aux situations d’urgence de l’État.

« La similitude des méthodes, lorsqu’elles sont appliquées à l’utilisation de logiciels malveillants, d’outils et d’infrastructures numériques, signifie que nous considérons qu’il est probable que le même acteur qui était derrière l’attaque contre les bureaux de l’administration de l’État soit le même que l’acteur de la menace qui a attaqué Visma », a déclaré le PTS dans un communiqué.

Les preuves laissées par l’attaque contre le réseau informatique de SAC pointent vers la Chine, a déclaré Hanne Blomberg, responsable du contre-espionnage au PST.

« Dans ce cas précis, nous disposons d’informations de renseignement qui pointent dans une direction claire vers l’acteur de la menace APT31 comme étant derrière l’attaque contre les réseaux informatiques de l’administration de l’État. APT31 est un acteur que nous associons comme étant lié aux services de renseignement chinois », a déclaré Blomberg.

Le groupe APT31 est soupçonné d’être impliqué dans une série de cyberattaques contre des réseaux informatiques en Europe et aux États-Unis depuis 2016.

Dans les pays nordiques, APT31 a été lié aux attaques qui ont violé les systèmes internes de sécurité informatique du parlement national finlandais (l’Eduskunta) en 2020. L’attaque, qui a été révélée en décembre 2020, a permis à des pirates informatiques d’accéder aux comptes de messagerie de députés et de hauts fonctionnaires.

En ce qui concerne la violation du SAC en Norvège, les premières alertes de sécurité interne ont été déclenchées après que des pirates informatiques ont pénétré dans des systèmes informatiques exploités par les bureaux du gouverneur de comté (OC) à Aust-Agder et Vest-Agder. Les pirates ont ensuite utilisé les systèmes informatiques comme passerelle pour accéder aux systèmes informatiques des GLYCÉMIE à Hedmark, Oslo et Akershus. À ce stade, les attaquants ont pu accéder à un système informatique CGO partagé avec les bureaux de l’administration de l’État à travers le pays.

« Les centres d’administration de l’État traitent un large éventail d’informations, allant des dossiers médicaux sensibles aux informations sur la sécurité nationale, y compris sur la défense et la préparation aux situations d’urgence », a déclaré Blomberg.

APT31 a acquis une réputation mondiale pour l’utilisation d’attaques de phishing pour tromper les employés d’organisations privées et publiques afin qu’ils fournissent des noms d’utilisateur et des mots de passe, a déclaré Erik Alexander Løkken, responsable des services de sécurité gérés chez Mnemonic.

« Les pirates peuvent capturer des noms d’utilisateur et des mots de passe pour leur permettre de se connecter à des systèmes de type VPN », a-t-il déclaré. « Les acteurs de la menace numérique étatique les plus avancés passent beaucoup de temps à cartographier les organisations qu’ils ciblent pour les attaques. APT31 est connu pour utiliser un logiciel de porte dérobée qui a la capacité de télécharger des données vers des services de partage de fichiers bien connus tels que Dropbox, Microsoft OneDrive et d’autres plates-formes de services d’hébergement de fichiers similaires.

L’approfondissement des relations entre l’État et le secteur privé dans le domaine de la cybersécurité en Norvège a permis à Mnemonic de conclure un accord de coopération en matière d’échange d’informations avec le Centre national de lutte contre la cybercriminalité (NC3) en juin. L’accord vise à renforcer les capacités de lutte et de prévention de la cybercriminalité du NC3, qui opère dans le cadre de l’enquête criminelle nationale norvégienne.n Service.

Malgré ses soupçons selon lesquels l’APT31, ou d’autres mauvais acteurs en Chine, ont lancé les attaques de 2018, le PST a décidé de clore l’enquête en raison d’un manque de preuves concrètes, a déclaré Kathrine Tonstad, avocate principale de l’agence.

« Il s’agissait d’une cyberattaque avancée et professionnelle contre des systèmes informatiques », a-t-elle déclaré. « Il a été exécuté d’une manière très sophistiquée. Comme c’est souvent le cas dans ces situations, il peut être difficile de suivre les traces lorsqu’ils traversent de nombreux pays. Par conséquent, il est difficile de prouver avec un haut degré de certitude qui se cache derrière. Nous n’avons pas assez de preuves pour nous permettre de poursuivre l’enquête en vertu de nos lois sur le droit criminel. »

Les services centraux de renseignement norvégiens soupçonnent également que des acteurs de la menace en Chine étaient à l’origine d’une cyberattaque contre le système informatique du Storting (parlement national) le 10 mars 2021. Ine Eriksen Søreide, ministre norvégienne des Affaires étrangères, a accusé les acteurs de la menace parrainés par la Chine d’avoir lancé l’attaque, qui a pénétré le système de messagerie de Storting. La Chine a nié toute implication.

« Nous tenons la Chine responsable de l’attaque informatique », a déclaré Søreide. « Ceci est basé sur les renseignements des pays touchés et les traces numériques laissées par l’attaque. Les autorités chinoises ont le devoir de veiller à ce que ce type d’activité n’ait pas lieu sur leur territoire. Nos informations de renseignement sont que cette attaque informatique a été menée depuis la Chine. »

Les cyber-experts chargés d’enquêter sur la violation de données ont constaté que des pirates avaient exploité des vulnérabilités dans le système de messagerie de Storting, en particulier des failles de sécurité liées au serveur de messagerie Microsoft Exchange du parlement. La cyberattaque contre storting faisait partie d’une attaque beaucoup plus large contre les systèmes informatiques du monde entier qui exploitait les failles du logiciel de messagerie Microsoft Exchange Server.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance