{ "id": "02afc721-0615-4e95-bf6a-f4120b9d5557", "created_at": "2026-04-06T00:06:37.484533Z", "updated_at": "2026-04-10T03:37:22.835194Z", "deleted_at": null, "sha1_hash": "ff6cf1e131115cbdee1d421dc24c6837035fad7f", "title": "PST: Har etterretning om at kinesisk gruppe stod bak dataangrep mot statsforvaltere", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 1430776, "plain_text": "PST: Har etterretning om at kinesisk gruppe stod bak dataangrep\r\nmot statsforvaltere\r\nBy Øyvind Bye Skille\r\nPublished: 2021-06-17 · Archived: 2026-04-05 18:46:22 UTC\r\nSamtidig er det klart at dataangrepet mot statsforvalterne blir henlagt, selv om PST mener de har funnet\r\netterretningsspor som peker mot Kina.\r\nLitt over 2,5 år etter at Politiets sikkerhetstjeneste (PST) startet en etterforskning av dataangrep mot flere\r\nstatsforvalterembeter går de nå ut med ny informasjon om hvem som kan stå bak.\r\n– Vi har i denne konkrete saken etterretningsinformasjon som peker i en tydelig retning mot at det er aktøren\r\nAPT31 som står bak operasjonen mot statsforvaltningsembetene, sier sjef for kontraetterretning Hanne Blomberg i\r\nPST til NRK.\r\n– Hva er APT31?\r\n– Akkurat APT31 er en aktør som vi knytter til kinesiske etterretningstjenester, svarer Blomberg.\r\nAPT31 er en hackergruppe som er kjent for å ha gjennomført dataangrep både i Norge, Finland, USA og andre\r\nsteder i verden.\r\nhttps://www.nrk.no/norge/pst_-har-etterretning-om-at-kinesisk-gruppe-stod-bak-dataangrep-mot-statsforvaltere-1.15540601\r\nPage 1 of 8\n\nKontraetterretningssjefen Hanne Blomberg i PST sier at de har opplysninger som peker mot Kina\r\netter angrepet mot statsforvalterne.\r\nFoto: Øyvind Bye Skille / NRK\r\nKontraetterretningssjefen forklarer at PST både samler inn informasjon for å lage trusselvurderinger og forebygge,\r\nmen også driver med etterforskning. Etterretningen som peker på Kina kunne ikke nødvendigvis vært brukt i en\r\nstraffesak.\r\n– Hvor sikre er dere på at det er APT31 og Kina?\r\n– Dette er utfordringen med å være en hemmelig tjeneste. Vi har ofte gradert informasjon som vi kan ha samlet\r\ninn selv og ikke kan avgradere. Vi kan ha kilder vi ønsker å beskytte eller vi kan ha fått informasjon fra\r\nsamarbeidende tjenester som vi ikke kan bruke i en etterforskningssak. I denne konkrete saken har vi informasjon\r\nsom konkret peker i retning av at det er APT31 som står bak, og det er vi ganske sikre på, svarer Blomberg.\r\n– Ubegrunnede anklager\r\nI en e-post sendt til NRK tilbakeviser Kinas ambassade i Norge PSTs opplysninger.\r\n«Kina har aldri deltatt i eller støttet noen i nettangrep, og har alltid resolutt motarbeidet og slått ned på slik\r\noppførsel. Vi er sterkt imot de ubegrunnede anklagene mot Kina».\r\nVidere hevder kineserne i e-posten at Kinas teknologiske utvikling ikke er «avhengig av å stjele eller plyndre, men\r\nresultatet av vårt eget harde arbeid».\r\nDe anklager PST for å opptre «uansvarlige» i tilsvaret som er sendt fra ambassadens presseavdeling.\r\n«PST innrømmet i intervjuet at det er vanskelig å spore kilden til nettangrep, og bevisene er utilstrekkelige. Det er\r\nveldig uansvarlig å spre anklager om «antagelse om skyld» uten å legge frem klare bevis».\r\nAngripere hentet ut data\r\nDet var sommeren 2018 at flere statsforvalterembeter ble utsatt for et omfattende og avansert dataangrep.\r\nStatsforvalterne het den gang fylkesmenn, og angriperne kom seg først inn i datasystemene hos Fylkesmannen i\r\nAust- og Vest-Agder. Derfra klarte de så å ta seg videre til systemer hos fylkesmannsembetene i Hedmark og Oslo\r\nog Akershus. Der kom de seg inn i datasystemer som rammet statsforvalter-embeter over hele landet.\r\nMed bakgrunn i omfanget ble saken tatt veldig alvorlig. PST startet etterforskning for å finne ut om det var snakk\r\nom spionasje for å stjele statshemmeligheter.\r\n– Statsforvalterne håndterer en rekke ulike opplysninger – både av personsensitiv karakter og også opplysninger\r\nom rikets sikkerhet. Det er opplysninger knyttet til forsvar og beredskap for eksempel. Det er noe av grunnen til at\r\nman har vært bekymret, og grunnen til at PST har etterforsket denne saken, sier politiadvokat Kathrine Tonstad i\r\nPST.\r\nhttps://www.nrk.no/norge/pst_-har-etterretning-om-at-kinesisk-gruppe-stod-bak-dataangrep-mot-statsforvaltere-1.15540601\r\nPage 2 of 8\n\nStatsforvalterne behandler blant annet nordmenns helseopplysninger fordi fylkeslegens kontor er en del av\r\nembetet. Også sensitive opplysninger fra barnevernssaker behandles der, og statsforvalterne har et koordinerende\r\nberedskapsansvar.\r\nEtterforskningen har ifølge PST vist at det ble hentet ut data, men de kan ikke slå fast om det var informasjon som\r\nberører rikets sikkerhet.\r\n– Vi ser at aktøren har tatt seg inn i ulike statsforvalterembeter, skaffet seg tilgang til data og stjålet ut noe data. Vi\r\ntror det de har stjålet ut er brukernavn og passord til ansatte hos statsforvalterne, sier politiadvokat Tonstad.\r\nIfølge en gjennomgang av dataangrepet ble det hentet ut 1,2 gigabyte med data, viser en rapport laget av\r\nForsvarets forskningsinstitutt (FFI), på oppdrag fra Justisdepartementet.\r\nHenlegges\r\nNå er etterforskningen avsluttet og saken henlegges på bevisets stilling.\r\nBegrunnelsen er at PST ikke har nok åpne opplysninger om hvilken aktør som står bak til at de kunne tatt saken til\r\nretten.\r\nPolitiadvokat Kathrine Tonstad i PST forteller at de ikke har bevis som gjør at de strafferettslig kan\r\nta saken videre.\r\nFoto: Øyvind Bye Skille / NRK\r\nhttps://www.nrk.no/norge/pst_-har-etterretning-om-at-kinesisk-gruppe-stod-bak-dataangrep-mot-statsforvaltere-1.15540601\r\nPage 3 of 8\n\n– Beviskravene i strafferetten er strenge, og for at vi skal kunne peke på en aktør i en straffesak må vi ha sikre\r\nholdepunkter. Det har vi ikke i denne saken, sier PSTs politiadvokat Kathrine Tonstad.\r\n– Hvorfor er det så vanskelig å bevise?\r\n– Det vi ser er at det er tale om et avansert og profesjonelt dataangrep. Det er det ofte i disse tilfellene, og det er\r\nofte vanskelig å følge spor som går gjennom mange land og det er sofistikert utført. Derfor er det vanskelig å\r\nkunne bevise hvem som står bak, svarer Tonstad.\r\nKom seg inn via hjemmekontor-løsning\r\nPST opplyser til NRK at man antar at angriperne kom seg inn i datasystemene til statsforvalterne via et system for\r\nfjernpålogging. Dette nevnes også i FFI-rapporten om angrepet.\r\nSlike systemer kan for eksempel være VPN-løsninger, som det siste året har blitt brukt av stadig flere på grunn av\r\nmer hjemmekontor under pandemien.\r\n– Denne aktøren, APT31, er kjent for å bruke luremeldinger på e-post, omtalt som «phishing», for å få ansatte til å\r\noppgi brukernavn og passord. Så kan de igjen bruke de opplysningene for å logge på VPN-løsninger, forklarer\r\nleder for sikkerhetstjenester Erik Alexander Løkken i det norske sikkerhetsselskapet Mnemonic til NRK.\r\nLøkken forklarer at slike avanserte statlige digitale trusselaktører, ofte omtalt som APT (advanced persistent\r\nthreat), bruker tid på å kartlegge de som skal angripes. De undersøker hvem som jobber der, hvilke type\r\ndatasystemer som brukes og om det er noen systemer som har sikkerhetshull som ikke er fikset ennå.\r\nPå samme måte som angriperne kartlegger ofrene sine fører Mnemonic oversikt over kjennetegn\r\nved kjente hackergrupper. Her sees noen spor fra APT31 fra andre dataangrep.\r\nFoto: Tore Linvollen / NRK\r\nhttps://www.nrk.no/norge/pst_-har-etterretning-om-at-kinesisk-gruppe-stod-bak-dataangrep-mot-statsforvaltere-1.15540601\r\nPage 4 of 8\n\nMnemonic driver både med forebyggende sikkerhet for en rekke ulike bedrifter, men bistår også selskaper etter at\r\nde har vært utsatt for et dataangrep. Derfor følger de nøye med på hva fienden har av metoder og kjennetegn for å\r\nfinne måter å beskytte seg på.\r\n– Det er kjent at APT31 bruker en bakdør-programvare som har mulighet til å laste opp data til kjente\r\nfildelingstjenester som Dropbox, Microsoft OneDrive og tilsvarende, sier Løkken til NRK.\r\nDette stemmer også med de få opplysningen som er kjent om angrepet mot statsforvalterne.\r\nI FFI-rapporten om dataangrepet kommer det fram at angriperne stjal data og kopierte dem ut til Dropbox.\r\nDataangrep mot fylkesmennene\r\nI 2018 ble fylkesmennene rammet av et alvorlig dataangrep. Her kan du se tidslinjen over angrepet.\r\nGruppe med koblinger til Kinas statsapparat\r\nGruppen som PST nå peker på omtales som APT31, men har også fått andre navn som Zirconium, Bronze\r\nVinewood og Judgement Panda.\r\nDet siste navnet har gruppen fått av sikkerhetsselskapet Crowdstrike, som har ulike panda-navn på grupper de\r\nknytter til Kina. I sikkerhetsmiljøet internasjonalt har APT31 av noen blitt omtalt som styrt av det kinesiske\r\ndepartementet for statssikkerhet (Ministry of State Security MSS).\r\n– Denne trusselaktøren kobles av en del til det nasjonale departementet for statssikkerhet i Kina. Da vil de gjerne\r\ngjøre angrep på oppdrag fra dem, og gå mot spesifikke mål, sier Erik Alexander Løkken hos Mnemonic.\r\nErik Alexander Løkken er leder for sikkerhetstjenester i det norske sikkerhetsselskapet Mnemonic.\r\nFoto: Øyvind Bye Skille / NRK\r\nhttps://www.nrk.no/norge/pst_-har-etterretning-om-at-kinesisk-gruppe-stod-bak-dataangrep-mot-statsforvaltere-1.15540601\r\nPage 5 of 8\n\n– Hvordan har man klart å gjøre en slik kobling?\r\n– Flere sikkerhetsselskaper har koblet APT31 til kinesiske myndigheter i undersøkelsene av ulike dataangrep og\r\nhendelser der gruppen har vært involvert. Denne koblingen er ofte gjort ved at man ser at gruppen bruker de\r\nsamme verktøyene som kinesiske myndigheter er kjent for å bruke, svarer eksperten fra Mnemonic.\r\nLøkken forklarer at det er godt kjent at slike kinesiske hackergrupper har vært aktive de siste tiårene. De har\r\nsystematisk stjålet informasjon som ledd i industrispionasje rundt våpenteknologi, medisiner og også angrep rettet\r\nmot enkeltpersoner.\r\nAPT31 har de senere årene blitt koblet til flere dataangrep i ulike land:\r\nFinland pekte i mars i år på APT31 etter dataangrep mot den finske nasjonalforsamlingen.\r\nBåde Google og Microsoft har uttalt at gruppen målrettet seg mot ansatte i Joe Bidens valgkamp-apparat\r\nunder valget i USA i 2020.\r\nDet norske programvareselskapet Visma ble utsatt for et angrep i 2018/2019, som sikkerhetseksperter\r\nmener APT31 kan stå bak.\r\nAPT31 er likevel ikke kjent for å bruke de mest kompliserte metodene.\r\n– APT31 er ikke kjent for å være av de mest avanserte trusselaktørene, men en som kanskje jobber i tidligere faser\r\nmed å innhente masse informasjon. Det kan hende denne informasjonen så brukes av andre grupper som er knyttet\r\ntil det kinesiske statsapparatet i nye og mer avanserte angrep, sier Løkken.\r\nNRK har bedt om en kommentar fra Kinas ambassade i Norge, men har enn så lenge ikke mottatt noe svar.\r\nFinske myndigheter pekte også mot Kina og aktørene i APT31 etter at den finske riksdagen ble\r\nutsatt for et dataangrep.\r\nFoto: Emmi Korhonen / AP/NTB\r\nhttps://www.nrk.no/norge/pst_-har-etterretning-om-at-kinesisk-gruppe-stod-bak-dataangrep-mot-statsforvaltere-1.15540601\r\nPage 6 of 8\n\nNupi-forsker: – Voksende bekymring med angrep fra statlige aktører\r\nSeniorforsker Karsten Friis ved Norsk utenrikspolitisk institutt (Nupi) forsker og følger med på dataangrep,\r\ncyberoperasjoner og forholdet mellom land i verden på feltet.\r\nNupi-forskeren forklarer at flere av verdens stormakter som Kina, Russland og andre land over tid har brukt\r\ndataangrep og hacking som digitale våpen mot hverandre og for å spionere.\r\n– Hvorfor gjør Kina dette angrepet mot statsforvalterne da?\r\n– Jeg vil anta at de kan være interessert i sentrale personer som jobber der. For det kan være sentrale personer i\r\nnorsk politikk og samfunnsliv.\r\nKarsten Friis forsker blant annet på cyberangrep i sitt arbeid ved Nupi.\r\nFoto: Øyvind Bye Skille / NRK\r\n– Vil slike angrep være godkjent fra høyere hold i landet?\r\n– Vi må anta det, men vi vet det ikke sikkert. Siden dette er sikkerhetsorganisasjoner og sensitive spørsmål må vi\r\nanta at de ikke opererer helt fritt.\r\nHan sier at bruken av hacking har blitt mer utbredt mellom stater.\r\n– Det har vært en voksende bekymring rundt dataangrep over flere år. Tidligere var det mer kriminelle aktører,\r\nmen nå er statlige aktører blitt en større sikkerhetsutfordring. De går på sikkerhetsinstitusjoner og demokratiske\r\nhttps://www.nrk.no/norge/pst_-har-etterretning-om-at-kinesisk-gruppe-stod-bak-dataangrep-mot-statsforvaltere-1.15540601\r\nPage 7 of 8\n\ninstitusjoner. Det er en trend vi har sett de siste årene, sier Friis til NRK.\r\nKina har tidligere vært kjent for å stjele informasjon som kan hjelpe egne selskaper og egen teknologiutvikling.\r\nFriis forklarer at de gjerne har utnyttet mulighetene fordi spionasje gjennom datamaskiner er enklere enn på de\r\nmer gammeldagse metodene. Så i nyere tid har de også angrepet statsapparatet og parlamenter.\r\nNupi-forskeren mener det er riktig av Norge å peke tydelig på Kina om man har god nok info om at det kan være\r\nde som står bak.\r\nOg han synes det er interessant at man for første gang peker så tydelig i en konkret sak.\r\n– I Norge er det første gang Kina nevnes av myndighetene. Vi har hørt om Russland tidligere etter dataangrepet\r\nmot Stortinget, men ikke Kina. Det har bare vært spekulert tidligere om Kina kunne stå bak angrep, blant annet\r\netter angrepet mot Helse sør-øst. Dette er derfor første gang Kina nevnes eksplisitt av norske myndigheter, sier\r\nFriis.\r\nPublisert 17. juni 2021 kl. 09:5117. juni 2021 kl. 09:51 Oppdatert 15. sep. 2021 kl. 11:2915. sep. 2021 kl. 11:29\r\nSource: https://www.nrk.no/norge/pst_-har-etterretning-om-at-kinesisk-gruppe-stod-bak-dataangrep-mot-statsforvaltere-1.15540601\r\nhttps://www.nrk.no/norge/pst_-har-etterretning-om-at-kinesisk-gruppe-stod-bak-dataangrep-mot-statsforvaltere-1.15540601\r\nPage 8 of 8", "extraction_quality": 1, "language": "DA", "sources": [ "MISPGALAXY", "Malpedia" ], "references": [ "https://www.nrk.no/norge/pst_-har-etterretning-om-at-kinesisk-gruppe-stod-bak-dataangrep-mot-statsforvaltere-1.15540601" ], "report_names": [ "pst_-har-etterretning-om-at-kinesisk-gruppe-stod-bak-dataangrep-mot-statsforvaltere-1.15540601" ], "threat_actors": [ { "id": "aacd5cbc-604b-4b6e-9e58-ef96c5d1a784", "created_at": "2023-01-06T13:46:38.953463Z", "updated_at": "2026-04-10T02:00:03.159523Z", "deleted_at": null, "main_name": "APT31", "aliases": [ "JUDGMENT PANDA", "BRONZE VINEWOOD", "Red keres", "Violet Typhoon", "TA412" ], "source_name": "MISPGALAXY:APT31", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "9e6186dd-9334-4aac-9957-98f022cd3871", "created_at": "2022-10-25T15:50:23.357398Z", "updated_at": "2026-04-10T02:00:05.368552Z", "deleted_at": null, "main_name": "ZIRCONIUM", "aliases": [ "APT31", "Violet Typhoon" ], "source_name": "MITRE:ZIRCONIUM", "tools": null, "source_id": "MITRE", "reports": null }, { "id": "74d9dada-0106-414a-8bb9-b0d527db7756", "created_at": "2025-08-07T02:03:24.69718Z", "updated_at": "2026-04-10T02:00:03.733346Z", "deleted_at": null, "main_name": "BRONZE VINEWOOD", "aliases": [ "APT31 ", "BRONZE EXPRESS ", "Judgment Panda ", "Red Keres", "TA412", "VINEWOOD ", "Violet Typhoon ", "ZIRCONIUM " ], "source_name": "Secureworks:BRONZE VINEWOOD", "tools": [ "DropboxAES RAT", "HanaLoader", "Metasploit", "Mimikatz", "Reverse ICMP shell", "Trochilus" ], "source_id": "Secureworks", "reports": null }, { "id": "dc7ee503-9494-4fb6-a678-440c68fd31d8", "created_at": "2022-10-25T16:07:23.349177Z", "updated_at": "2026-04-10T02:00:04.552639Z", "deleted_at": null, "main_name": "APT 31", "aliases": [ "APT 31", "Bronze Vinewood", "G0128", "Judgment Panda", "Red Keres", "RedBravo", "TA412", "Violet Typhoon", "Zirconium" ], "source_name": "ETDA:APT 31", "tools": [ "9002 RAT", "Agent.dhwf", "AngryRebel", "CHINACHOPPER", "China Chopper", "Destroy RAT", "DestroyRAT", "Farfli", "Gh0st RAT", "Ghost RAT", "GrewApacha", "HOMEUNIX", "HiKit", "HidraQ", "Homux", "Hydraq", "Kaba", "Korplug", "McRAT", "MdmBot", "Moudour", "Mydoor", "PCRat", "PlugX", "RedDelta", "Roarur", "Sakula", "Sakula RAT", "Sakurel", "SinoChopper", "Sogu", "TIGERPLUG", "TVT", "Thoper", "Trochilus RAT", "Xamtrav" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775433997, "ts_updated_at": 1775792242, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/ff6cf1e131115cbdee1d421dc24c6837035fad7f.pdf", "text": "https://archive.orkl.eu/ff6cf1e131115cbdee1d421dc24c6837035fad7f.txt", "img": "https://archive.orkl.eu/ff6cf1e131115cbdee1d421dc24c6837035fad7f.jpg" } }