La polizia norvegese ha individuato come responsabile il gruppo russo (APT) Fancy Bear per l’attacco informatico estivo contro il parlamento monocamerale norvegese, lo Storting.
In quello che è stato descritto come “un attacco significativo” dal direttore del parlamento, Marianne Andreassen, persone non autorizzate sono riuscite ad accedere agli account di posta elettronica di diversi membri eletti del parlamento e ad alcuni account appartenenti a dipendenti intorno al 24 agosto.
Il 1 settembre, lo Storting ha confermato che un numero limitato di account era stato compromesso e che quantità variabili di dati erano state scaricate dagli aggressori. Alcuni degli account compromessi appartenevano a membri del principale partito di opposizione norvegese, il partito laburista.
Due settimane dopo, il ministro degli Esteri norvegese, Ine Eriksen Soereide, ha attribuito la colpa dell’attacco direttamente alla porta della Russia.
Intervenendo il 13 ottobre, Soereide ha dichiarato: “Questo è un evento grave che ha colpito la nostra più importante istituzione democratica. Sulla base delle informazioni a disposizione del governo, è nostra valutazione che la Russia abbia sostenuto questa attività“.
L’attacco è stato segnalato al servizio di sicurezza della polizia norvegese (PST) dallo Storting il 1 settembre, che successivamente ha avviato un’indagine.
L’8 dicembre, il PST ha annunciato che era stato eseguito un attacco di forza bruta per violare gli account degli utenti del sistema di posta elettronica di Storting e che “del contenuto sensibile è stato estratto da alcuni degli account di posta elettronica interessati“.
Gli investigatori hanno scoperto che l’attore ha cercato di “spostarsi ulteriormente nei sistemi informatici dello Storting” ma senza successo.
La polizia ha concluso che il colpo sullo Storting faceva parte di una campagna più ampia a livello nazionale e internazionale che va avanti almeno dal 2019.
“Le analisi mostrano che è probabile che l’operazione sia stata eseguita dall’hacker informatico indicato nelle fonti aperte come APT28 e Fancy Bear“, ha affermato il PST.
“Questo hacker è collegato al servizio di intelligence militare russo GRU, più precisamente al loro 85° Centro Servizi Speciali (GTsSS)“.
Il PST ha affermato che l’attacco ha confermato che le password non sicure utilizzate per account di posta elettronica privati e aziendali espongono sia gli individui che lo Storting come istituzione parlamentare e che l’autenticazione e le impostazioni a due fattori potrebbero impedire il verificarsi di attacchi simili.