ANGREP FRA KINA: Sikkerhetsselskapet Mandiant hevder å ha sporet  hackerangrep mot Norge til en spesifikk militær enhet i Shanghai i Kina.  Kartet viser antall angrep mot forskjellige land i verden. (Foto: AP /  Mandiant / montasje TV 2)
ANGREP FRA KINA: Sikkerhetsselskapet Mandiant hevder å ha sporet hackerangrep mot Norge til en spesifikk militær enhet i Shanghai i Kina. Kartet viser antall angrep mot forskjellige land i verden. (Foto: AP / Mandiant / montasje TV 2)

Avslørte kinesiske dataspioner i Norge

Et amerikansk sikkerhetsfirma hevder de har avdekket at en statlig, kinesisk militær hackergruppe står bak dataangrep mot mål i Norge.

Av Kristian Ervik, Kjell Persen og Andreas Lunde

I trusselvurderingen som Politiets sikkerhetstjeneste (PST) la frem mandag heter det at utenlandske spioner jakter på hemmelig informasjon i Norge.

«Mye sivil teknologi har i dag militær anvendelse. For eksempel nano- og biovitenskap, medisin, IT og romforskning, arktisk petroleumsteknologi og skips- og verftsteknologi, i tillegg til enkelte nisjeområder innen fysikk og ingeniørfag. Alle disse områdene forventes å være mål for andre lands etterretningstjenester», skriver PST i trusselvurderingen.

Nå viser det seg at norske interesser har blitt rammet av det som kan være statlig styrte dataangrep fra en militær enhet i Kina.

Det amerikanske sikkerhetsselskapet Mandiant mener kinesiske militære står bak angrep mot flere dataanlegg i en rekke vestlige land, og at spesialtrente datasnoker deltar i angrepene.

Sporene fører til Shanghai

I den amerikanske rapporten som ble lagt frem tirsdag heter det at dataangrepene lar seg spore tilbake til det som angivelig er hovedkvarter for hackerenheten, en bygning i storbyen Shanghai i Kina.

Sikkerhetsselskapet kaller enheten for APT 1.

APT står for «Advanced Persistent Threat», eller avansert og vedvarende trussel. Sikkerhetsselskapet mener at det kan være mer enn 20 slike enheter, men at de i rapporten kun fokuserer på den mest aktive enheten som de kaller nummer 1.

– Vi tror at når APT 1 kan drive så langvarig og omfattende spionasje over nettet, må det bety at gruppen får direkte støtte fra den kinesiske staten, fremholdt Mandiant da rapporten kom ut.

I rapporten kommer det frem at den samme gruppen – APT 1 – har gjennomført dataangrep mot Norge og infiltrert norsk infrastruktur.

Dette kartet viser ifølge det amerikanske sikkerhetsselskapet Mandiant at kinesiske militære hackere har gjort datainnbrudd og tappet informasjon fra Norge.

UNIT 61398: Ifølge sikkerhetsselskapet Mandiant kommer mange datainnbrudd fra denne bygningen i Shanghai. En militær enhet kalt «Unit 61398» skal være spesialisert på hacking. (Foto: AP / NTB Scanpix)

Rapporten avslører ikke hvilke selskap som er rammet, bare at det er snakk om selskaper av betydelig størrelse med kontorer på norsk jord.

NSM undersøker opplysningene

Politiets sikkerhetstjeneste (PST), som har som oppgave å forebygge og etterforske potensielle trusler og handlinger mot norske interesser, bekrefter overfor tv2.no at de er kjent med rapporten.

– PST er kjent med rapporten. Vi har foreløpig ikke noen kommentar til den, men kan si at etterretningstrusselen mot Norge er høy, og at den innbefatter både tradisjonelle og moderne metoder, sier Martin Bernsen i PST til tv2.no.

Les hele rapporten på Mandiants nettsider (ekstern lenke)

Ifølge rapporten har den kinesiske APT 1-gruppen i minst to tilfeller tatt kontroll over norske servere, og gjort dem til sine egne «kommando- og kontrollsentraler».

Ved en slik operasjon er en rammet server vanligvis plassert hos en uskyldig tredjepart og misbrukt som mellommann.

Serverne som blir infiltrert, brukes til å kamuflere hvor dataangrepene kommer fra.

Slik mener Mandiant at dataservere misbrukes under et dataangrep.

Av hensyn til sikkerheten for firmaene som ifølge Mandiant er utsatt for angrepene, ønsker de ikke å identifisere hvem det gjelder.

Nasjonal Sikkerhetsmyndighet (NSM) er det statlige organet i Norge som har ansvaret for datasikkerhet og beredskap i forhold til dataangrep rettet mot norske interesser.

Kommunikasjonsrådgiver Fredrik Johnsen i NSM bekrefter at også de er kjent med rapporten og at de tar opplysningene på alvor.

– Denne rapporten er et solid stykke arbeid fra en seriøs aktør og stemmer mye med det bildet som ble tegnet i trusselvurderingen tidligere i uken, sier Johnsen til tv2.no.

NorCERT, som er NSMs operative enhet for å overvåke og hindre dataangrep mot norske installasjoner, oppdaget bare ifjor nærmere 50 alvorlige angrep. Det er en dobling i forhold til tidligere år.

GODT BEVOKTET: Bygningen som angvelig skal huse den militære hackerenheten er bevoktet. Her står en soldat fra Folkets frigjøringshær vakt på innsiden av gjerde som omringer bygningen. (Foto: CARLOS BARRIA/Reuters)

Johnsen forteller at målene for dataangrepene i hovedsak er rettet mot norske selskaper innen olje- og gassvirksomhet, forsvarssektoren og offentlige virksomheter.

I rapporten slår sikkerhetsselskapet fast at angrepene kommer fra en militær kinesisk enhet i en spesifikk bygning i Shanghai.

– Har angrepene som NSM har avdekket kommet fra Kina?

– Vi kommenterer aldri hvor slike angrep kommer fra, sier Johnsen.

Da rapporten kom ut tirsdag, tilbakeviste myndighetene i Kina anklagene om datasnoking.

Statoil angrepet i 2011

Norsk olje- og gassteknologi er verdensledende, og er et svært interessant mål for industrispionasje. I november 2011 kom det frem at Statoil hadde blitt utsatt for hackerangrep.

Datainnbruddet ble den gang omtalt som en del av den mest omfattende dataspionasjen på norsk jord noensinne og omfattet flere norske selskaper fordelt på ti forskjellige cyberangrep.

PST og Nasjonal sikkerhetsmyndighet (NSM) bekreftet i 2011 at norske selskaper blir utsatt for dataspionasje på norsk jord.

Databasene til en rekke selskaper ble systematisk tappet over flere måneder. Målet for dataspionasjen var å hente ut data som hemmelige dokumenter, industritegninger, brukernavn og passord.

LES OGSÅ: Norske nettkrigere skal hindre dataangrep

Samtidig som at de omfattende angrepene var blitt kjent la NSM ut en rapport hvor det ble konkludert med at det trolig var samme aktør som sto bak en rekke av datainnbruddene:

«Likhetstrekk i hvordan bakmennene laster ut data via nettverkstrafikk og måten viruset er programmert på gjør at vi med stor sannsynlighet kan slå fast at det er samme aktør som står bak angrepene.»