La Chine accusée de cyberattaques contre les systèmes informatiques norvégiens
6 min readLa Norvège a lié une série de cyberattaques contre des infrastructures informatiques publiques et privées en 2018 à des «mauvais acteurs» opérant depuis la Chine.
Sur la base de preuves techniques et autres recueillies par ses agences centrales de renseignement, le gouvernement norvégien a blâmé les mauvais acteurs parrainés et opérant depuis la Chine pour la grave cyberattaque contre les centres d’administration de l’État (SAC) en 2018.
L’enquête de suivi menée par l’agence de sécurité nationale norvégienne, le PST (Politiets Sikkerhetstjeneste), a également conclu que les mêmes « acteurs internationaux de la menace » étaient responsables à la fois des cyber-piratages contre les SAC et d’une attaque de logiciels malveillants soutenue contre le groupe de logiciels d’entreprise Visma the meme annee.
L’enquête du PST, désormais close, a fait craindre que les pirates informatiques qui ont attaqué les principaux centres informatiques du SAC à Oslo et Viken aient tenté de capturer des informations classifiées relatives à la défense nationale et au renseignement de sécurité de la Norvège.
L’analyse PST n’a pas établi de manière concluante si les attaquants ont réussi à capturer des informations classifiées, mais sur la base des traces numériques laissées par les pirates, l’agence estime qu’il est peu probable que des données classifiées aient été saisies. Le PST n’a pas non plus été en mesure d’identifier une piste de preuves numériques qui expliquerait le principal motif de l’attaque contre les réseaux informatiques du SAC.
Les systèmes informatiques du SAC pénétrés par les pirates sont utilisés par un grand nombre de départements d’État et d’agences gouvernementales à travers la Norvège.
Sur la base de l’enquête et des découvertes techniques du PST, les informations saisies sur le réseau informatique du SAC auraient inclus des noms d’utilisateur et des mots de passe associés à des employés administratifs travaillant dans divers bureaux de l’État, y compris les départements chargés de la défense, de la sécurité nationale et de la préparation aux situations d’urgence.
« La similitude des méthodes, lorsqu’elles sont appliquées à l’utilisation de logiciels malveillants, d’outils et d’infrastructures numériques, signifie que nous considérons qu’il est probable que le même acteur qui était à l’origine de l’attaque contre les bureaux de l’administration de l’État soit le même que l’acteur de la menace qui a attaqué Visma, », a déclaré le PTS dans un communiqué.
La piste de preuves laissée par l’attaque contre le réseau informatique du SAC pointe vers la Chine, a déclaré Hanne Blomberg, responsable du contre-espionnage au PST.
« Dans ce cas précis, nous disposons d’informations de renseignement qui indiquent clairement que l’acteur de la menace APT31 est à l’origine de l’attaque contre les réseaux informatiques de l’administration de l’État. APT31 est un acteur que nous associons comme étant lié aux services de renseignement chinois », a déclaré Blomberg.
Le groupe APT31 est soupçonné d’être impliqué dans une série de cyberattaques contre des réseaux informatiques en Europe et aux États-Unis depuis 2016.
Dans les pays nordiques, APT31 a été lié aux attaques qui ont violé les systèmes de sécurité informatique internes du parlement national finlandais (l’Eduskunta) en 2020. L’attaque, qui a été divulguée en décembre 2020, a permis à des pirates informatiques d’accéder aux comptes de messagerie de parlementaires et hauts fonctionnaires.
En ce qui concerne la violation du SAC en Norvège, les premières alertes de sécurité interne ont été émises après que des pirates ont pénétré les systèmes informatiques gérés par les bureaux du gouverneur de comté (CGO) à Aust-Agder et Vest-Agder. Les pirates ont ensuite utilisé les systèmes informatiques comme passerelle pour accéder aux systèmes informatiques des CGO à Hedmark, Oslo et Akershus. À ce stade, les attaquants ont pu accéder à un système informatique CGO partagé avec les bureaux de l’administration de l’État à travers le pays.
« Les centres d’administration de l’État gèrent un large éventail d’informations, allant des dossiers médicaux personnels aux informations sur la sécurité nationale, y compris sur la défense et la préparation aux situations d’urgence », a déclaré Blomberg.
APT31 a acquis une réputation mondiale pour l’utilisation d’attaques de phishing pour inciter les employés d’organisations privées et publiques à fournir des noms d’utilisateur et des mots de passe, a déclaré Erik Alexander Løkken, responsable des services de sécurité gérés chez Mnemonic.
“Les pirates peuvent capturer des noms d’utilisateur et des mots de passe pour leur permettre de se connecter à des systèmes de type VPN”, a-t-il déclaré. « Les acteurs étatiques les plus avancés des menaces numériques passent beaucoup de temps à cartographier les organisations qu’ils ciblent pour l’attaque. APT31 est connu pour utiliser un logiciel de porte dérobée capable de télécharger des données vers des services de partage de fichiers bien connus tels que Dropbox, Microsoft OneDrive et d’autres plateformes de services d’hébergement de fichiers similaires.
L’approfondissement des relations entre l’État et les acteurs privés dans le domaine de la cybersécurité en Norvège a vu Mnémonique conclu un accord de coopération pour l’échange d’informations avec le National Cyber Crime Center (NC3) en juin. L’accord vise à renforcer les capacités de lutte contre la cybercriminalité et de prévention de la NC3, qui opère sous l’égide du Service national norvégien d’enquêtes criminelles.
Malgré ses soupçons selon lesquels l’APT31, ou d’autres acteurs malveillants en Chine, ont lancé les attentats de 2018, le PST a décidé de clore l’enquête en raison d’un manque de preuves concrètes, a déclaré Kathrine Tonstad, avocate principale de l’agence.
“Il s’agissait d’une cyberattaque avancée et professionnelle contre des systèmes informatiques”, a-t-elle déclaré. « Il a été exécuté de manière très sophistiquée. Comme c’est souvent le cas dans ces situations, il peut être difficile de suivre les pistes lorsqu’elles traversent de nombreux pays. Par conséquent, il est difficile de prouver avec un degré élevé de certitude qui se cache derrière. Nous n’avons pas suffisamment de preuves pour nous permettre de poursuivre l’enquête en vertu de nos lois pénales. »
Les services centraux de renseignement norvégiens soupçonnent également que des acteurs menaçants en Chine sont à l’origine d’un cyberattaque contre le système informatique du Storting (parlement national) le 10 mars 2021. Ine Eriksen Søreide, ministre norvégienne des Affaires étrangères, a accusé des acteurs menaçants parrainés par la Chine d’avoir lancé l’attaque, qui a pénétré le système de messagerie du Storting. La Chine a nié toute implication.
“Nous tenons la Chine pour responsable de l’attaque informatique”, a déclaré Søreide. «Ceci est basé sur les renseignements des pays touchés et les traces numériques laissées par l’attaque. Les autorités chinoises ont le devoir de veiller à ce que ce type d’activité n’ait pas lieu sur leur territoire. Nos informations de renseignement indiquent que cette attaque informatique a été menée depuis la Chine. »
Des cyber-experts chargés d’enquêter sur la violation de données ont découvert que des pirates avaient exploité les vulnérabilités du système de messagerie du Storting, en particulier les failles de sécurité liées au serveur de messagerie Microsoft Exchange du parlement. La cyberattaque contre le Storting faisait partie d’une attaque beaucoup plus large contre les systèmes informatiques du monde entier qui exploitait les failles du logiciel de messagerie Microsoft Exchange Server.