Kinesiske cyberoperasjoner – alle samfunnets ressurser i bruk

Kina har i lang tid vært en potent nasjon når det gjelder teknologi- og industrispionasje. Omfanget av verdier som Beijing har tilegnet seg ved cyberspionasje ble i 2012 omtalt som «the greates transfer of wealth in history» av general Keith Alexander, sjefen for den amerikanske signaletterretningstjenesten National Security Agency (NSA).[1]

Til forskjell fra cyber-spionasje som foregår mellom stater til enhver tid, hvor kinesiske cyberaktører har vært svært aktive i lang tid – er cyber-sabotasje et virkemiddel som primært benyttes av stater i forbindelse med et økt trusselbilde, krig og konflikt. Når det gjelder cyber-sabotasje har ikke kinesiske aktører frem til nå, vært spesielt aktive.

På dette området skiller de kinesiske cyberaktørene derfor vesentlig seg fra de russiske, hvor sistnevnte har utført sabotasje mot et betydelig antall IT-systemer både i og utenfor Ukraina. Først mot Ukrainas strømnett i 2015 og 2016, og deretter mot IT-infrastruktur i store deler av Ukraina i 2017 ved bruk av skadevaren NotPetya. En var wiper-skadevare maskert som et løsepengevirus. Tilsvarende sabotasje med bruk av wiper-skadevare for å slette data har de russiske aktørene fortsatt med etter invasjonen av Ukraina i 2022.[2]

Selv om kinesiske cyberaktører så langt ikke har benyttet sabotasje som virkemiddel er det likevel verdt å legge merke til at amerikanske sikkerhetsmyndigheter i starten av 2024 advarte om at kinesiske cyberaktører hadde kommet seg på innsiden av kritisk infrastruktur i USA. Ifølge FBI forsøkte aktøren omtalt som Volt Typhoon å komme seg på innsiden av vannkraftverk, transportsystemer og telekommunikasjonsinfrastruktur. Hensikten kan ha vært å utføre sabotasje mot USA, på et strategisk viktig tidspunkt.[3] Et relevant scenario dersom Beijing forsøker å okkupere Taiwan og USA kommer Taiwan til unnsetning. Cyber-sabotasje mot kritisk infrastruktur kan legge press på amerikanerne.

Under en høring i den amerikanske kongressen om Volt Typhoons operasjon uttalte FBI-direktør, Christopher Wray, at kineserne har tilgang på 50 ganger så mange cyber- personell som FBI.[4] Dette er interessant fordi det sier noe om omfanget av ressurser som kinesiske myndigheter har tilgjengelig. FBI er polititjenesten som har oppgave å etterforske alvorlig datakriminalitet mot USA, i likhet med hva KRIPOS og PST har i Norge. Denne oppgaven blir mer krevende når trusselbildet forverres, antallet operasjoner øker, aktørene blir mer risikovillige og ser på sabotasje som fordelaktig.

Selv om Volt Typhoon i 2024 har vist tegn til å forberede sabotasje, har kinesiske aktører imidlertid i all hovedsak utført cyber-spionasje, for å tilegne seg sensitiv informasjon.

Kinesiske hackere stjal C-18, F-22 og F35-kampfly dokumenter

Et alvorlig eksempel på kinesisk spionasje mot USA, fant sted mellom 2008 og 2014. Su Bin, en kinesisk borger bosatt i Canada, bistod hackere fra Kinas peoples liberation army (PLA) med å hente ut over 630,000 filer relatert til transportflyet C-17. I tillegg ble et ukjent antall dokumenter knyttet til kampflyene F-22 og F-35 hentet ut fra kampfly produsenten Lockheed Martin av de kinesiske hackerne. Fem år senere hadde kinesiske Shenyang Aircraft Corporation produsert sin første utgave av femte-generasjons kampflyet J-31. Et fly med flere slående likheter til Lockheed Martins F-35.[5]

Su Bin som muliggjorde spionasjen, var en businessmann og eier av et relativt lite selskap under navnet Lode-Tech. Selskapet spesialiserte seg på produkter til luft- og romfart. Dette gav Bin innpass i den amerikanske forsvarsindustrien, noe som senere ble utnyttet av PLA’s kinesiske hackere.[6] I 2016 erkjente Bin seg skyldig i hackingen etter at han to år tidligere ble pågrepet av FBI og ble senere dømt til nesten fire år i fengsel.[7]

Rettsdokumentene fra etterforskningen mot Su Bin, illustrerer den utspekulerte fremgangsmåten til de kinesiske aktørene. Bin sendte nemlig rettledning til de to kinesiske hackerne om hvilke personer, selskaper og teknologier de skulle forsøke å skaffe urettmessig tilgang til. Etter at hackerne hadde skaffet seg tilgang til IT-systemene, sendte de igjen lister tilbake til Bin med oversikt over fil- og mappestrukturen på de aktuelle datamaskinene. Bin som hadde bedre oversikt over hvilke dokumenter som kunne være av verdi, sendte ordrer igjen tilbake til hackerne om hvilke filer og mapper som skulle hentes ut. Hackerne var dyktige nok i sitt fag til å ta i bruk teknikker for å unngå å bli oppdaget. Når dokumentene var hentet ut, ble de sendt tilbake igjen til Bin som oversatte dem fra engelsk til kinesisk – og så ble de sendt tilbake igjen til Kina. [8] Ferdig oversatte dokumenter om teknologi som Kina på det tidspunktet ikke hadde selv.

I et forebyggende sikkerhetsperspektiv er det interessant å merke seg hvordan de kinesiske aktørene klarte å plassere Su Bin på «innsiden» av den amerikanske forsvarsindustrien for å få innpass hos amerikanske selskaper og systemer. For deretter å benytte hackere på «utsiden» til å gjennomføre den mer tekniske delen av operasjonen. Dette illustrerer godt hvordan ulike temaer i sikkerhetsfaget som personellsikkerhet, fysisk sikring, informasjonssikkerhet og IT-sikkerhet, må fungere i et samspill for å oppnå en helhetlig tilnærming til sikkerhet, gjennom «sikring i dybden». For å oppnå det som man etter den norske sikkerhetsloven omtaler som et forsvarlig nivå av sikkerhet. Uten Su Bin på «innsiden», ville det vært vanskelig å gjennomføre operasjonen for hackerne på «utsiden». Og uten hackerne på «utsiden», ville det vært tilnærmet umulig for Su Bin å få tilgang på informasjonen uten å ha kompetanse til å bryte seg inn i Lockheed Martin og den amerikanske forsvarsindustriens IT-systemer.

I etterkant av operasjonen har Lockheed Martin utviklet «Cyber Kill Chain», et rammeverk som illustrerer hvilke sju steg en trusselaktør må gjennom for å utføre cyberoperasjoner. Fra rekognosering og etterretning mot målet innledningsvis, til å levere «effekter» på målet gjennom for eksempel å hente ut data, slette, kryptere eller sabotere systemer. Rammeverk ble utviklet i etterkant av erfaringene med Su Bin og de kinesiske hackerne og har i ettertid blitt tatt i bruk av militære, sivile og private cybersikkerhetsselskaper.

Kina betrakter sårbarheter som en strategisk nasjonal ressurs

Etter at Xi Jinping kom til makten i 2013, har det kinesiske regimet blitt betydelig mer offensivt på flere områder, inkludert i cyberdomenet. Kinesiske cyberaktører har i lang tid vært dyktige på å gjennomføre spionasje, illustrert med eksempelet over. I tillegg til den nevnte finner vi operasjoner som «the OPM-hack» i 2015. I operasjonen fikk hackere tilknyttet den kinesiske sikkerhetstjenesten Ministry of State Security (MSS), tilgang til Office of Personell Management (OPM) sine IT-systemer og databaser. I databasene var det lagret informasjon om over 20 millioner sikkerhetsklarerte amerikanere.[9]

Siden den gang, og i særdeleshet siden 2017, har Beijing tilrettelagt for strukturer som tar i bruk alle samfunnets ressurser en såkalt «whole of society»-tilnærming, for å oppnå statens mål. Denne tilnærmingen fikk ytterligere fart etter at Zhou Hongyi, CEO i Kinas største cybersikkerhetsselskap, Qihoo 360, holdt en tale der han foreslo at staten skulle betrakte sårbarheter i IT-produkter og nettverk, som en strategisk ressurs. I etterkant av Hongyi’s tale har det kommet på plass flere lovendringer som kan benyttes for å pålegg kinesiske borgere og virksomheter å samarbeide med statens etterretningsapparat.[10]

For eksempel finner vi cybersikkerhetslovgivningen fra 2021, Regulation on the Management of Security Vulnerabilities in Network Products, som ett av flere konkrete virkemidler. Lovgivningen pålegger kinesiske borgere å rapportere avdekkede sårbarheter til kinesiske Ministry of Industry and Information Technology (MIIT) innen kun to dager etter at en sårbarhet blir avdekket. I tillegg er det nedfelt et forbud mot å rapportere funnene til «fremmede entiteter». Dette for å forhindre at sårbarheter skal bli rapportert til andre organisasjoner som kan utnytte dem til sine egne offensive cyberoperasjoner.[11] Flere av sårbarhetene som rapporteres til MIIT blir igjen tilgjengeliggjort for de kinesiske sikkerhets- og etterretningstjenestene som utvikler utnyttelseskode og angrepsteknikker for å ta sårbarhetene i bruk. Dette med bistand fra private cybersikkerhetsselskaper i Kina. Ett eksempel på et slikt selskap, er i-S00N.

I en større lekkasje av dokumenter fra selskapet i-S00N, våren 2024, var det flere spor som knyttet selskapet til samarbeid med kinesiske sikkerhets-, etterretning- og polititjenester og såkalte APT-grupperinger (avanserte og vedvarende trusselaktører i cyberdomenet).[12] Lekkasjen inneholdt dokumentasjon på selskapets hacker-verktøy som deres kunder, herunder også kinesiske myndigheter – kunne benytte seg av. Det var blant annet trojanere for å skaffe seg urettmessig fjerntilgang (RAT’s) til Windows, Mac, iOS, Android og Linux-operativsystemer. Automatiserte penetrasjonstestings verktøy, moduler for hacking av WiFi-nettverk, et botnet for tjenestenektangrep med kapasitet på 100Gbps, spesialutviklede phishing verktøy for levering av skadevare med skreddersydd malverk, samt ulike produkter for å spionere på – og monitorere – aktiviteten til kinesiske sosiale medier og Twitter-brukere.[13] Lekkasjen hadde flere likheter med en tilsvarende lekkasje fra det russiske selskapet NTC Vulkan som fant sted ett år tidligere. I sistnevnte var det også knytninger mellom det private selskapet og russisk etterretningstjenester.[14]

Lekkasjene fra både I-S00N og NTC Vulkan er spesielt interessante fordi de illustrerer at sikkerhets- og etterretningstjenestene i både Russland og Kina benytter seg av private selskaper for å utvikle verktøy som kan hjelpe landets myndighetsaktører til å utføre offensive cyberoperasjoner. I tillegg illustrerer lekkasjene at det er etablert økosystemer som tilgjengeliggjør private og sivile ressurser til bruk for myndighetenes operasjoner.

Dette bidrar både til å senke statenes innstegskostnad og det øker effektiviteten deres gjennomføring av offensive cyberoperasjoner. Innstegskostnaden senkes ved at staten selv ikke trenger å bruke store ressurser for å utvikle programvare, noe de private selskapene tar seg av. Og effektiviteten økes ved at mindre erfarne medarbeidere enkelt kan ta i bruk offensive verktøy som er både brukervennlige og skreddersydde. Dette er to av de største barrierene for stater som forsøker å utføre offensive cyberoperasjoner.[15]

Kinesiske hackere hjelper staten å samle nulldagssårbarheter

I tillegg til å bruke private selskaper som i-S00N for å understøtte kinesisk myndigheters offensive cyberoperasjoner, er det etablert flere incentiver for å styrke forutsetningene til å ta i bruk alle samfunnets ressurser. Etter at Kina fra 2017 begynte å se på sårbarheter som en nasjonal, strategisk ressurs – er det verdt å legge merke til hvordan Beijing har etablert strukturer for å samle inn sårbarheter i vestlige IT-produkter fra produsenter som Apple, Google, VMware, Oracle og Microsoft. Før 2018 reiste kinesiske «hackere» til internasjonale hacker-konkurranser slik som Pwn2Own i Canada. De kinesiske lagene var blant de dyktigste i verden, og de ble dyktigere for hvert år som gikk. I 2014 tok kinesiske lag med seg 14% av premiene tilbake til Kina. Dette økte gradvis hvert år frem til 2017, hvor hackerne tok hele 79 % av premiene.[16] Det samme året kom det på plass et forbud for kinesiske hackere om å delta i hacking-konkurranser utenfor Kina.

Året etter glimret de kinesiske lagene med sitt fravær i Pwn2Own. Parallelt med forbudet om å delta i internasjonale hacker-konkurranser, har store kinesiske samfunnsaktører og teknologiselskaper som gigantene Tencent, Alibaba og Baidu gått sammen om å opprette tilsvarende kinesiske konkurranser under titler som TianfuCup og MatrixCup. Det er her kinesiske hackere nå samles for å teste sine ferdigheter på å bryte seg inn vestlige i IT-produkter. Universiteter, private selskaper og myndighetsapparatet er alle tilstede og gradvis har konkurransene tiltrukket seg deltakere fra det kinesiske militæret og etterretningsorganisasjonene. Der også og unge hacker-talenter kan bli lagt merke til.

En av hensiktene bak å ta kontroll over konkurransene, er at kinesiske myndigheter skal kunne få bedre kontroll over og tilegne seg informasjon om sårbarheter. Noe som igjen kan benyttes til å utføre offensive cyberoperasjoner. Ved å ha kontroll over konkurransen og regelverket, skaffer myndighetene seg kontinuerlig nye nulldagssårbarheter i utbredte vestlige produkter og ferdigskrevet utnyttelseskode som gjør sårbarhetene klare til bruk.

TianfuCup og MatrixCup er eksempler på hvordan kinesiske myndigheter gradvis og over tid har jobbet målrettet for å kraftsamle ressurser fra sivil, privat, offentlig og militær sektor. Dette til forskjell fra Pwn2Own og liknende “white-hat-hacker”-konkurranser hvor de avdekkede sårbarhetene utelukkende blir rapportert til produsentene og patchet.

På dette området skiller derfor Kina seg betydelig fra hvordan vi i Vesten tradisjonelt har inntatt en «whole of society»-tilnærming. Det norske Totalforsvaret har til hensikt å ta i bruk samfunnets samlede ressurser i krise og krig, for defensive formål. Fokuset i Norge er utelukkende på å beskytte- og forsvare samfunnet mot skadelig aktivitet. Beijing ser imidlertid ut til å benytte tilsvarende fremgangsmåter også for å oppnå større effekt av sine offensive cyberoperasjoner. Ser vi nærmere på det kinesiske lovverket og hvilke incentiver som kinesiske myndigheter har iverksatt de senere årene, ser vi konturene av en stat som oppfordrer til, og tilrettelegger for, et offensivt sivil-militært samarbeid.

Norge under angrep – Stortinget og departementene blir hacket

Heller ikke her i Norge har vi vært skånet fra aktiviteten til de kinesiske cyberaktørene. I februar og mars 2021 utførte to ulike kinesiske cybergrupperinger operasjoner mot Stortingets e-post servere. Ved begge operasjonene ble nulldagssårbarheter i Microsofts e-post servere utnyttet. Den første operasjonen var målrettet mot Stortinget av Hafnium den 17. februar 2021. I operasjonen hentet de kinesiske trusselaktørene ut over 4000 e-poster tilhørende nestleder i Stortingets forsvars- og utenrikskomité, Michael Tetzchner fra partiet Høyre. To uker senere, den 5. mars 2021, ble Stortinget igjen kompromittert.[17]

Denne gangen var det en annen kinesisk gruppering under benevnelsen APT31 tilknyttet den kinesiske sikkerhetstjenesten MSS (Ministry of State Security), som ifølge PST stod bak operasjonen. Til tross for at Stortinget hadde oppdatert sine e-post servere med sikkerhetsoppdateringen som Microsoft slapp den 2. Mars 2021, ble Stortinget «hacket» to ganger. Den andre gangen etter at e-post serverne var blitt oppdatert. Stortinget hadde med andre ord ikke «kastet» trusselaktøren fullstendig ut fra egne systemer selv om de hadde «lukket» de tekniske sårbarhetene med en oppdatering. Operasjonen er et godt eksempel på hvordan de kinesiske aktørene utnytter sårbarheter i vestlige IT-produkter, slik som Microsoft sine Exchange e-post servere. Slike Microsoft servere fantes det over 400,000 av eksponert ut mot internett, på det aktuelle tidspunktet.[18]

Under operasjonen hvor nulldagssårbarhetene i Microsoft Exchange e-post servere ble utnyttet, var det imidlertid ikke bare Stortinget som fikk sine e-post servere hacket. Fremgangsmåtene til de kinesiske aktørene var så aggressiv at selv den amerikanske signaletterretningstjenesten NSA ble overrasket over fremgangsmåten. Over 10,000 e-post servere, verden over, ble forsøkt kompromittert samtidig som Microsoft lanserte sin sikkerhetsoppdatering den 2. mars 2021. Utnyttelsen av nulldagssårbarhetene hadde da pågått i over to måneder. Først målrettet mot spionasjemål av høy interesse, slik som Stortinget. Senere mindre målrettet, men mer aggressivt mot flere mål.[19] Det er nettopp slike nulldagssårbarheter kinesiske borgere og virksomheter blir pålagt å rapportere til myndighetene. Og konkurranser som TianfuCup og MatrixCup bidrar til å samle og lage utnyttelseskode for. Det er derfor grunn til å anta at utnyttelse av nulldagssårbarheter fra kinesiske aktører vil påvirke Norge og norske virksomheters IT-systemer i årene fremover.

For ett år siden, sommeren 2023 – altså to år etter at Stortinget sist ble hacket – ble også IT-plattformen som 12 departementer her i Norge benyttet seg av, utsatt for en cyberoperasjon. Også denne gangen ble nulldagssårbarheter utnyttet. To produkter fra produsenten Ivanti ble kompromittert. Ironisk nok var ett av Ivanti produktene en såkalt MDM-løsning (mobile device management) som egentlig skal sørge for bedre sikkerhet gjennom at departementene får bedre kontroll på de mobile enhetene som kan koble seg til IT-systemene og nettverkene. Nulldagssårbarhetene i Ivantis MDM-løsning gjorde det imidlertid mulig å forbigå autentiserings- og beskyttelsesmekanismene, slik at trusselaktøren fikk tilgang til departementenes IT-systemer.

Heldigvis for departementene var det norske sikkerhetsselskapet Mnemonic sine overvåknings-, deteksjonsløsninger og sikkerhetsanalytikere skarpe nok til å fange opp trusselaktørens aktivitet.[20] Dette førte til at virksomheter verden over bekreftet at de hadde blitt kompromittert av det som den amerikanske sikkerhetstjenesten CISA, omtalte som en avansert og vedvarende trusselaktør (APT).[21]

Det har ikke blitt offentlig attribuert hvilken stat aktørene som stod bak operasjonen mot departementene var fra. Likevel er det verdt å merke seg at kinesiske aktører har utnyttet nulldagssårbarheter i flere Ivanti produkter etter at departementene ble hacket. Blant annet har Ivantis VPN-løsning blitt forsøkt utnyttet av flere kinesiske trusselaktører.[22]

Avslutning: De kinesiske trusselaktørene vil komme tilbake

De kinesiske aktørene har nemlig blitt så dyktige på å plukke fra hverandre produktene til vestlige IT-selskaper for å finne nye angrepsvektorer, at de har bedre kontroll over enn det flere av produsentene selv har over sine egne produkter. For å sitere Rob Joyce, tidligere direktør for cybersikkerhet hos den amerikanske etterretningstjenesten NSA’s omtale av en operasjon mot et annet mye vestlig brukt IT-produkt: ”We saw the chinese build a custom backdoor for Citrix Netscaler. They (the PRC) built expertise on Netscaler infrastructure and architecture, so they are coming back for this stuff.”

Eksemplene i denne artikkelen illustrerer en stat med stor kompetanse til å utføre spionasje og etterretningsoperasjoner. Myndighetene i Beijing har etablert strukturer og incentiver i det kinesiske samfunnet for at hele samfunnet skal kunne tas i bruk for å understøtte myndighetenes offensive cyberoperasjoner. Teknologiselskaper, privatpersoner og myndighetsaktører inngår alle i det samme økosystemet som setter de kinesiske cyberaktørene bedre i stand til å lykkes i sine offensive oppdrag.

Sannsynligheten for at vi gradvis og over tid vil se mer kapable og offensive kinesiske cyberaktører verden over, er derfor stor. Dersom Norge faller innunder de kinesiske cyberaktørenes interesser og informasjonsbehov, har de utvilsomt ressurser og kapabiliteter til å utføre operasjoner mot norske virksomheter – noe vi allerede har fått demonstrert gjentatte ganger. Om vi i fremtiden vil se kinesiske aktører utføre sabotasje, noe aktøren Volt Typhoon ifølge amerikanske sikkerhetsmyndigheter har posisjonert seg for å utføre, avgjøres av den geo- og sikkerhetspolitiske situasjonen og utviklingstrekk.

Dersom konflikten mellom Taiwan og USA på den ene siden – og Kina på den andre siden tiltar i styrke, er det ikke et usannsynlig scenario. I så tilfelle vil Kina nyttiggjøre seg av alle samfunnets ressurser, for å understøtte myndighetenes offensive cyberoperasjoner.

Foto: Fra insiden av den kinesiske tekgiganten Tencent/Wikimedia commons