El grupo de piratas informáticos APT28, respaldado por Rusia, probablemente tiene varias cuentas de correo electrónico del Parlamento noruego (Stortinget) por la fuerza bruta el 24 de agosto de 2020, según el Servicio de Seguridad de la Policía de Noruega (PST, abreviatura de Politiets Sikkerhetstjeneste).
Los atacantes obtuvieron acceso a un número limitado de cuentas de correo electrónico de Stortinget de representantes y empleados, según reveló la directora de Stortinget, Marianne Andreassen.
Una declaración publicada en el sitio del parlamento el 1 de septiembre dijo que pudieron robar datos de cada una de las cuentas de correo electrónico pirateadas, sin embargo, los investigadores no revelaron qué datos se extrajeron de las bandejas de entrada de correo electrónico parlamentarias comprometidas.
Un mes después, la ministra de Asuntos Exteriores de Noruega, Ine Eriksen Søreide, compartió información adicional sobre el ataque al Parlamento de agosto diciendo que los piratas informáticos rusos fueron responsables de la violación.
Rusia negó oficialmente las acusaciones de Noruega diciendo que no se basan en pruebas, según la agencia de noticias TASS.
“Como de costumbre, las acusaciones se plantean sin ningún esfuerzo por presentar pruebas o proponer discutir el incidente a nivel de expertos”, dijo Konstantin Kosachev, jefe del Comité de Asuntos Exteriores del Consejo de la Federación de Rusia, en un comunicado.
APT28 probablemente detrás del ataque al Parlamento
Sin embargo, el Servicio de Seguridad de la Policía de Noruega ahora dice que descubrió, después de una investigación coordinada con el Centro Conjunto de Coordinación Cibernética, que el grupo de piratería APT28 patrocinado por el estado ruso probablemente estaba detrás del ataque Stortinget de agosto de 2020.
“El análisis muestra que es probable que la operación haya sido llevada a cabo por el actor cibernético al que se hace referencia en fuentes abiertas como APT28 y Fancy Bear”, dijo la fiscal de la policía noruega Anne Karoline Bakken Staff.
“Este actor está vinculado al servicio de inteligencia militar de Rusia GRU, más específicamente a su 85º Centro de Servicios Especiales (GTsSS).
“La investigación muestra que la operación por la que se vio afectado el Storting es parte de una campaña más grande a nivel nacional e internacional, que ha estado ocurriendo al menos desde 2019”.
Los operadores de APT28 piratearon una gran cantidad de cuentas de correo electrónico de Stortinget utilizando la fuerza bruta para obtener credenciales válidas y las utilizaron para iniciar sesión en un número limitado de cuentas.
Los piratas informáticos también intentaron infiltrarse más en los sistemas informáticos de Stortinget pero, según todas las pruebas, fracasaron en sus intentos.
Pudieron obtener acceso al Stortinget y cuentas personales aprovechando contraseñas inseguras y el hecho de que los usuarios no habilitaban la autenticación de dos factores (2FA).
Sancionado por un ataque similar al Parlamento Federal Alemán
APT 28 (también conocido como Sofacy, Fancy Bear, Sednit, STRONTIUM) es un grupo de hackers estatales rusos, miembros de la Unidad 26165 y la Unidad 74455 de la Dirección Principal de Inteligencia de Rusia (GRU), el servicio de inteligencia militar del país.
Son conocidos por coordinar múltiples campañas de ciberespionaje dirigidas a gobiernos de todo el mundo y su participación en un hackeo de 2015 del parlamento federal alemán y ataques al Comité Nacional Demócrata (DNC) y al Comité de Campaña del Congreso Demócrata (DCCC) en 2016.
Los miembros de esta unidad de piratería militar rusa de élite fueron acusados por Estados Unidos de piratear el DNC y el DCCC, así como de atacar y piratear a miembros individuales que forman parte de la Campaña Clinton.
El Consejo de la Unión Europea también anunció sanciones en octubre contra varios miembros de APT28 por su participación en el hackeo de 2015 del Parlamento Federal Alemán (Deutscher Bundestag).
Al igual que en el ataque contra el Stortinget, el ataque del Deutscher Bundestag afectó el funcionamiento del parlamento durante varios días en abril y mayo, y al compromiso de las cuentas de correo electrónico de varios parlamentarios.
