File interni di un’azienda informatica cinese svelano un’attività di hacking globale. Non per “politica”, ma per denaro
Pechino paga degli hacker migliaia di dollari (o sterline, o euro) per raccogliere dati sugli altri Paesi. È emerso grazie a una fuga di notizie da un’azienda cinese di sicurezza informatica. I 500 file dei dipendenti di I-Soon sono stati pubblicati sul sito web degli sviluppatori Github e sono ritenuti autentici. Alcuni degli obiettivi includono la Nato e il ministero degli Esteri del Regno Unito. Uno scorcio senza precedenti delle attività di spionaggio informatico cinese. Il capo dei servizi di sicurezza del Regno Unito l’ha definita una sfida “enorme” per la nazione e ci saranno sanzioni nei confronti del Dragone. Secondo il premier Rishi Sunak la Cina rappresenta «la più grande sfida alla sicurezza nazionale britannica a livello di Stato».
Cos’è successo
I file, che sono un misto di registri di chat, prospetti aziendali e campioni di dati, rivelano la portata delle operazioni di raccolta di informazioni della Cina, evidenziando anche le pressioni sul Dragone in un mercato in difficoltà. Da quanto riporta The Guardian, I-Soon avrebbe collaborato con un altro gruppo di hacker cinese, Chengdu 404, i cui componenti sono stati incriminati dal dipartimento di Giustizia degli Stati Uniti per attacchi informatici contro aziende americane e contro attivisti pro-democrazia a Hong Kong.
Altri obiettivi di I-Soon includono il thinktank britannico Chatham House, gli uffici di sanità pubblica e i ministeri degli affari esteri dei paesi dell’Associazione delle Nazioni del Sud Est Asiatico (Asean). Alcuni di questi dati sembrano essere stati raccolti per privati, mentre in altri casi esistono contratti specifici con un ufficio di pubblica sicurezza cinese.
«Siamo consapevoli che questi dati siano ora pubblici e siamo naturalmente preoccupati – ha dichiarato un portavoce di Chatham House -. Prendiamo estremamente sul serio la sicurezza dei dati e delle informazioni. Nel clima attuale, noi, insieme a molte altre organizzazioni, siamo bersaglio di continui tentativi di attacchi da parte di attori sia statali che non statali. Disponiamo di misure di protezione, comprese misure di salvaguardia basate sulla tecnologia che vengono riviste e aggiornate regolarmente».
E, secondo un funzionario della Nato, «l’alleanza deve affrontare minacce informatiche persistenti e si è preparata investendo in ampie difese informatiche. La Nato esamina ogni segnalazione di minacce informatiche».
I servizi offerti da I-Soon sono molteplici: ad esempio, l’ufficio di pubblica sicurezza di una città dello Shandong ha pagato quasi 55,6 mila dollari per ottenere l’accesso alle caselle di posta elettronica di 10 persone-obiettivo per un anno. L’azienda afferma di essere in grado di hackerare account su X, ottenere informazioni personali da Facebook, ottenere dati da database interni e compromettere vari sistemi operativi, tra cui Mac e Android.
In uno dei file c’è uno screenshot di una cartella intitolata “Note del segretariato per gli affari europei della Macedonia del Nord”. Un altro screenshot mostra file che sembrano riguardare l’UE, incluso uno intitolato “Progetto di posizione dell’UE riguardo alla COP 15 parte 2”. I nomi dei file fanno riferimento a un sistema di crittografia utilizzato dalla UE per proteggere i dati ufficiali.
Non è chiaro quale sia lo scopo della raccolta dei dati. «Lo stato cinese sta sostanzialmente recuperando quanti più dati possibile – ha affermato Alan Woodward, esperto di sicurezza informatica dell’Università del Surrey – Vogliono solo quante più informazioni possibili nel caso in cui si rivelassero utili». Woodward ha osservato che, a differenza degli hacker legati allo stato russo che conducono attacchi ransomware o altre azioni dirompenti, i tentativi cinesi tendono a concentrarsi sulla raccolta di dati di massa: «Una parte di ciò potrebbe essere interpretata come la preparazione del terreno per un’azione dirompente in una fase successiva», ha spiegato. L’anno scorso, il rapporto della commissione parlamentare per l’intelligence e la sicurezza sulla Cina ha affermato: «La competenza informatica della Cina le consente di prendere di mira una vasta gamma di organizzazioni e set di dati sempre più insoliti». Gli esperti ritengono che l’obiettivo della raccolta dei dati potrebbe essere quello di identificare potenziali obiettivi per le operazioni di intelligence umana.
Attacchi ovunque, a chiunque
Non solo istituzioni. In un accordo di cooperazione, la cui data non è rintracciabile, I-Soon ha dichiarato che potrebbe fornire supporto antiterrorismo alla polizia locale nel monitoraggio degli uiguri (un’etnia turcofona di religione islamica che vive nel nord-ovest della Cina). L’azienda ha affermato di avere più di un decennio di esperienza nell’accesso a «varie autorizzazioni di server e autorizzazioni intranet in più Paesi» e di aver ottenuto dati dalle autorità antiterrorismo del Pakistan e dal servizio postale pakistano.
Alcune delle promesse fatte ai clienti potrebbero essere state delle spacconate commerciali, ma in una discussione, un dipendente ha chiesto: «I clienti ci stanno ingannando o siamo noi a ingannare i clienti? Ingannare i clienti sulle capacità dell’azienda è normale, ma non è bene che l’azienda inganni i propri dipendenti». Mei Danowski, esperto di sicurezza informatica cinese e autore della newsletter Natto Thoughts , ha dichiarato: «Pensiamo agli hacker cinesi come “Oh, lo stato dà loro soldi per fare cose”. In realtà, se questi documenti trapelati sono veri, non è così. Devono andare a cercare affari. Devono costruirsi una reputazione».
Non è, chiaramente, la prima volta che gli hacker cinesi agiscono, Nel maggio 2013, ABC News ha affermato che il governo cinese ha rubato i progetti del quartier generale dell’Australian Security Intelligence Organization (Asio). Nel maggio 2023, l’Australia ha identificato il governo cinese dietro la minaccia del “Volt Typhoon“, un malware che attacca le infrastrutture critiche.
Funzionari del governo canadese hanno affermato che gli hacker cinesi hanno compromesso diversi dipartimenti del governo federale all’inizio del 2011, sebbene il governo cinese abbia negato il coinvolgimento. Un altro episodio è avvenuto tre anni più tardi.
Anche i funzionari del governo indiano ritengono che gli attacchi alle reti governative siano colpa del governo cinese. Nell’aprile 2021 il Giappone ha affermato che l’esercito cinese ha ordinato attacchi informatici contro circa 200 aziende e istituti di ricerca giapponesi, tra cui Jaxa. Nel maggio 2023, la Nuova Zelanda ha indicato il governo cinese come responsabile di “Volt Typhoon“.
Poche settimane fa il servizio di intelligence e sicurezza militare olandese ha dichiarato che hacker statali cinesi erano penetrati in una rete militare.
Il 6 agosto 2020, Wired ha pubblicato un rapporto in cui affermava che «Taiwan ha affrontato un conflitto esistenziale con la Cina per tutta la sua esistenza ed è stata presa di mira per anni dagli hacker sponsorizzati dallo stato cinese. Ma un’indagine condotta da una società di sicurezza taiwanese ha rivelato quanto profondamente un singolo gruppo di hacker cinesi è riuscito a penetrare in un settore al centro dell’economia taiwanese, saccheggiando praticamente l’intera industria dei semiconduttori».
Nell’aprile 2022, il Times ha riferito che giorni prima dell’inizio dell’invasione russa dell’Ucraina del 2022 , un’unità di guerra informatica dell’Esercito popolare di liberazione ha lanciato attacchi informatici contro centinaia di siti governativi ucraini, secondo funzionari del servizio di sicurezza dell’Ucraina .
Infine, nel luglio 2020 è stato riferito che hacker sponsorizzati dallo stato cinese che operano sotto il nome RedDelta hanno violato la rete informatica del Vaticano prima dei negoziati tra Cina e Vaticano.
In America
Un capitolo a parte riguarda gli Stati Uniti, che hanno accusato la Cina di attacchi di guerra informatica, prendendo di mira le reti di importanti organizzazioni militari, commerciali, di ricerca e industriali americane. Un gruppo consultivo del Congresso ha dichiarato che la Cina è «il rischio più grande per la sicurezza delle tecnologie americane» e «c’è stato un notevole aumento delle intrusioni informatiche originarie della Cina e che hanno preso di mira i sistemi informatici del governo e della difesa degli Stati Uniti».
Nel gennaio 2010, Google ha segnalato attacchi mirati alla sua infrastruttura aziendale provenienti dalla Cina “che hanno provocato il furto della proprietà intellettuale di Google“. Gli account Gmail di due attivisti per i diritti umani sono stati compromessi in un attacco al sistema di password di Google. Gli hacker cinesi hanno anche ottenuto l’accesso a un database contenente informazioni riservate su presunte spie, agenti e terroristi sotto sorveglianza da parte del governo degli Stati Uniti. Gli esperti di sicurezza americani hanno collegato l’attacco di Google a vari altri sforzi di spionaggio politico e aziendale provenienti dalla Cina, che includevano lo spionaggio contro società militari, commerciali, di ricerca e industriali. I funzionari dell’amministrazione Obama hanno definito gli attacchi informatici «una minaccia informatica sempre più grave per le industrie critiche degli Stati Uniti».
Oltre a Google sono state attaccate almeno altre 34 aziende. I casi segnalati includono Northrop Grumman, Symantec, Yahoo, Dow Chemical e Adobe Systems. Lo spionaggio informatico è stato mirato sia a interessi commerciali che militari. I dispacci diplomatici evidenziano le preoccupazioni degli Stati Uniti che la Cina stia sfruttando il suo accesso al codice sorgente di Microsoft per aumentare le sue capacità offensive e difensive.
Numerose società private di sicurezza informatica hanno dichiarato di disporre di prove sempre più numerose di tentativi di spionaggio informatico provenienti dalla Cina, tra cui il Comment Group. La Cina ha negato le accuse di guerra informatica, e ha accusato gli Stati Uniti di aver intrapreso una guerra informatica contro di essa , accuse che gli Stati Uniti negano. Nel marzo 2013 sono proseguite le discussioni ad alto livello.
Nel settembre 2014, un’indagine del Comitato per le forze armate del Senato ha rivelato che hacker associati al governo cinese avevano commesso varie intrusioni nei sistemi informatici appartenenti a compagnie aeree statunitensi, società tecnologiche e altri appaltatori coinvolti nel movimento di truppe e attrezzature militari statunitensi, e in ottobre Nel 2014, l’FBI ha aggiunto che gli hacker, che credono siano sostenuti dal governo cinese, hanno recentemente lanciato attacchi contro aziende statunitensi.
Nel 2015, l’Office of Personnel Management degli Stati Uniti ha annunciato di essere stato il bersaglio di una violazione dei dati che ha preso di mira i dati di ben 21,5 milioni di persone. Il Washington Post ha riferito che l’attacco proveniva dalla Cina, citando funzionari governativi anonimi. Il direttore dell’Fbi James Comey ha spiegato che «è un grosso problema dal punto di vista della sicurezza nazionale e dal punto di vista del controspionaggio. È un tesoro di informazioni su tutti coloro che hanno lavorato, cercato di lavorare o lavorano per il governo degli Stati Uniti».
Nel 2019, uno studio ha mostrato continui attacchi alla Marina americana e ai suoi partner industriali. Nel febbraio 2020, un gran giurì federale degli Stati Uniti ha accusato quattro membri dell’Esercito popolare di liberazione cinese dell’attacco informatico Equifax del 2017. L’account ufficiale dell’Fbi ha dichiarato su Twitter che ha avuto un ruolo in «uno dei più grandi furti di informazioni di identificazione personale mai registrati da parte di hacker sponsorizzati dallo stato», che ha coinvolto “145 milioni di americani“.
The Voice of America ha riferito nell’aprile 2020 che “le agenzie di intelligence statunitensi hanno concluso che gli hacker cinesi si sono intromessi sia nelle elezioni del 2016 che in quelle del 2018” e hanno affermato che “ci sono già stati segnali che gli hacker alleati della Cina si sono impegnati nel cosiddetto” spear-phishing ” attacchi contro obiettivi politici americani” in vista delle elezioni americane del 2020.
Nel marzo 2021, la comunità dell’intelligence degli Stati Uniti ha pubblicato un’analisi scoprendo che la Cina aveva preso in considerazione l’ipotesi di interferire con le elezioni, ma ha deciso di non farlo per paura che fallissero o si ritorcessero contro.
Nell’aprile 2021, FireEye ha affermato che sospetti hacker cinesi hanno utilizzato un attacco zero-day contro i dispositivi Pulse Connect Secure, un dispositivo VPN, per spiare dozzine di obiettivi governativi, dell’industria della difesa e finanziari negli Stati Uniti e in Europa.
Nel maggio 2023, Microsoft e le agenzie di intelligence occidentali hanno riferito che un gruppo di hacking sponsorizzato dallo stato cinese aveva preso di mira infrastrutture critiche e installazioni militari a Guam, Hawaii, Texas e altrove. Nel gennaio 2024, le autorità statunitensi hanno dichiarato di aver interrotto un’operazione di Volt Typhoon che aveva accesso alle infrastrutture critiche negli Stati Uniti per almeno cinque anni.
Nel febbraio 2024, OpenAI ha annunciato di aver chiuso gli account utilizzati dai gruppi di hacker Charcoal Typhoon e Salmon Typhoon. I gruppi avevano utilizzato i loro servizi per ricercare società, agenzie di intelligence, strumenti di sicurezza informatica e tecniche di evasione, tradurre documenti tecnici, scrivere e rifattorizzare codici e creare contenuti per campagne di phishing.
“Data is the new oil”
Se è vero che “i dati sono il nuovo petrolio“, è in corso una vera e propria guerra. La Cina ha introdotto nuove linee guida che porteranno alla graduale eliminazione dei microchip americani di Intel e Amd da computer e server governativi, frutto di una campagna su vasta scala per sostituire la tecnologia straniera con soluzioni nazionali. Le linee guida più rigorose sugli appalti pubblici cercano poi di mettere da parte Windows di Microsoft e i software di database esteri a favore di opzioni nazionali, di pari passo con lo scopo di localizzazione nelle imprese statali.
Le ultime regole fanno eco alle mosse degli Usa: il disaccoppiamento è nei fatti, considerando che Washington ha imposto sanzioni a un numero crescente di aziende cinesi per motivi legati alla sicurezza nazionale, legiferando per incoraggiare la produzione di più tecnologia negli Stati Uniti e per bloccare l’export di chip avanzati e strumentazione verso la Cina.
di Giulia Guidi
foto SHUTTERSTOCK
