Sommario
La Cybersecurity and Infrastructure Security Agency (CISA) affronta un’interruzione critica del programma CyberSentry a causa della scadenza dei finanziamenti il 20 luglio 2025, mentre un ingegnere di Waymo ammette di aver trafugato segreti commerciali relativi a veicoli autonomi, poi trasferiti a una startup cinese. La combinazione di questi eventi evidenzia la crescente fragilità della sicurezza nazionale statunitense sia sul piano digitale sia su quello industriale. Hacker legati alla Cina sfruttano due vulnerabilità zero-day in Microsoft SharePoint per attaccare la National Nuclear Security Administration (NNSA) e oltre 60 organizzazioni internazionali, mettendo a rischio le infrastrutture critiche di energia, sanità e telecomunicazioni. CyberSentry, sviluppato in collaborazione con il Lawrence Livermore National Laboratory (LLNL), monitorava minacce in tempo reale su infrastrutture critiche come sanità, acqua ed energia. La sospensione ha reso inattivi i sensori di rete, esponendo settori vitali a cyberattacchi non rilevati. Parallelamente, il furto da parte dell’ingegnere di Waymo – del valore di circa 9,2 milioni di euro – mostra la vulnerabilità del comparto tecnologico statunitense nella competizione globale con la Cina, che rimane al centro delle accuse di spionaggio industriale.
Interruzione di CyberSentry: impatto sulla sicurezza nazionale
Il programma CyberSentry nasce per proteggere le infrastrutture critiche americane tramite un sistema di rilevamento proattivo di minacce informatiche, impiegando sensori in collaborazione con operatori di energia, acqua e servizi sanitari. I dati raccolti venivano analizzati dal LLNL tramite supercomputer e algoritmi di intelligenza artificiale, per identificare pattern anomali e segnalare attività malevole. Con la scadenza dei fondi stanziati dal Department of Homeland Security, avvenuta il 20 luglio, l’intero sistema di monitoraggio è stato sospeso. Secondo Nate Gleason, direttore del programma, i sensori restano accesi ma non raccolgono più dati, lasciando scoperti obiettivi sensibili contro campagne APT come Volt Typhoon e Salt Typhoon, ricondotte ad attori statali cinesi. In passato, CyberSentry ha individuato anche telecamere di sorveglianza cinesi nascoste, confermando l’efficacia di strumenti come la rilevazione di beacon di comando e controllo. I tagli ai budget del DOGE hanno comportato la perdita di oltre 1.000 dipendenti CISA, limitando drasticamente la capacità operativa. Le collaborazioni con aziende private proseguono, ma l’analisi in tempo reale si è arrestata. Il mancato rinnovo del finanziamento rappresenta una minaccia concreta alla resilienza digitale del Paese.
Dettaglio tecnico: rilevamento beacon e visibilità
Il cuore tecnologico di CyberSentry risiedeva in un avanzato sistema di beacon detection, progettato per rilevare minacce silenti in real-time. Questo motore analizzava pacchetti di rete alla ricerca di pattern anomali, riducendo i falsi positivi del 90%. La correlazione tra dati da più sensori permetteva di identificare con precisione le backdoor utilizzate da attori statali, in particolare cinesi. Il tool funzionava su supercomputer del LLNL tramite modelli di machine learning addestrati su scenari di attacco reali. Con la sospensione del programma, i sensori restano fisicamente presenti ma incapaci di inviare dati utili. La ripresa del monitoraggio dipenderà esclusivamente da nuovi fondi del DHS, al momento non confermati.
Furto di segreti industriali: il caso Waymo
Il 22 luglio 2025 un ingegnere di Waymo, divisione veicoli autonomi di Alphabet, ha ammesso di aver sottratto dati sensibili relativi a software e algoritmi di guida autonoma. I file trafugati sono stati trasferiti a una startup cinese in cambio di un compenso di circa 10 milioni di dollari, cifra pari a 9,2 milioni di euro. I contenuti includevano moduli su percezione ambientale, controllo veicolare e machine learning, fondamentali per il vantaggio competitivo di Waymo. La violazione è stata rilevata tramite audit interni, e l’intervento tempestivo dell’FBI ha portato a una confessione formale in tribunale. L’imputato rischia fino a 7 anni di carcere per spionaggio economico e violazione degli accordi di riservatezza. Le indagini continuano per identificare eventuali complici. La startup cinese implicata nega coinvolgimenti diretti, ma il caso ha riacceso l’allarme sulle pratiche sistemiche di furto di proprietà intellettuale da parte di entità legate a Pechino. Waymo, nel frattempo, ha rafforzato i propri sistemi di sicurezza interna, includendo Data Loss Prevention, crittografia avanzata e sistemi di monitoraggio attivo del comportamento degli insider.
Dettagli della breccia alla NNSA
La National Nuclear Security Administration, agenzia incaricata dello sviluppo e manutenzione dell’arsenale nucleare statunitense, è stata tra le prime vittime di un attacco informatico sofisticato che ha colpito server SharePoint on-premise, escludendo quindi ambienti cloud. Gli hacker hanno utilizzato la vulnerabilità CVE-2025-53770, presentata inizialmente al Pwn2Own Berlin di maggio 2025, per ottenere l’esecuzione remota di codice, navigare nel file system e installare backdoor persistenti. Microsoft ha rilevato l’attacco e notificato la violazione alla NNSA e ad altri enti federali, inclusi il Dipartimento dell’Educazione e il Dipartimento dell’Energia, quest’ultimo salvaguardato da sistemi cloud che hanno mitigato l’impatto. Gli attacchi si estendono anche ad agenzie statali e università, come il Rhode Island General Assembly. Secondo CrowdStrike, le attività malevole hanno avuto inizio il 7 luglio e si sono rapidamente propagate tra Nord America, Europa e Medio Oriente. In totale, oltre 100 server risultano compromessi in 60 organizzazioni, inclusi settori strategici come telecomunicazioni, energia e ricerca universitaria.
Analisi tecnica delle vulnerabilità SharePoint
Le falle CVE-2025-53770 e 53771 derivano da un errore di deserializzazione non sicura in SharePoint, che consente l’invio di payload malevoli sotto forma di oggetti serializzati. Una volta ricevuti, i server eseguono i comandi senza adeguata validazione, aprendo la strada all’esecuzione remota di codice, all’inserimento di web shell come spinstall0.aspx e al mantenimento dell’accesso tramite tunnel crittografati, tra cui ngrok. Microsoft ha identificato gli indirizzi IP 134.199.202.205 e 104.238.159.149 come indicatori di compromissione, con comunicazioni C2 instradate su 131.226.2.6. Le patch rilasciate coprono le versioni Subscription Edition, 2019 e 2016 di SharePoint, mentre la CISA ha inserito le vulnerabilità nel catalogo Known Exploited Vulnerabilities, imponendo l’applicazione dei fix entro 24 ore per tutte le agenzie federali. I sistemi non aggiornati restano esposti, e le backdoor installate prima delle patch possono comunque continuare ad agire sotto traccia.
I gruppi cinesi dietro gli attacchi
L’indagine di Microsoft attribuisce la campagna a tre gruppi distinti ma coordinati: Linen Typhoon, attivo dal 2012 e specializzato nel furto di proprietà intellettuale da enti governativi e ONG; Violet Typhoon, operativo dal 2015 e mirato a think tank, sanità e diplomatici; e Storm-2603, un attore più recente che funge da facilitatore tecnico. Tutti agiscono secondo logiche di spionaggio statale, utilizzando tecniche di doppia estorsione, ovvero la crittografia dei dati seguita dalla minaccia di pubblicazione per forzare il pagamento. Le tattiche impiegate includono movimenti laterali nelle reti compromesse, backdoor persistenti, e l’uso di tool avanzati come NodeSnake per l’accesso remoto. Gli attacchi non ricorrono al phishing, ma preferiscono l’iniezione tramite drive-by download da siti compromessi. Le autorità internazionali monitorano i forum del dark web per intercettare esfiltrazioni e segnalare indicatori di compromissione (IOC).
Impatto settoriale e globale
La campagna ha colpito trasversalmente settori critici: energia, sanità, istruzione e telecomunicazioni. In Europa, una agenzia governativa spagnola e un’università brasiliana hanno subito violazioni. Negli Stati Uniti, oltre al Dipartimento dell’Educazione, anche il Florida Department of Revenue e altre agenzie locali hanno riportato danni. In Asia, una grande azienda di telecomunicazioni ha perso dati sensibili dei clienti. Le conseguenze includono interruzioni operative, ritardi nelle procedure ospedaliere, perdita di proprietà intellettuale accademica e rischio di blackout per le utility energetiche. Il costo medio di una violazione si attesta sui 4,5 milioni di euro, senza contare danni reputazionali e multe per non conformità, in particolare sotto il regime GDPR. Le aziende hanno attivato piani di risposta, con ripristini da backup offsite e scansioni delle supply chain. L’attacco si è propagato a partner terzi, amplificando l’impatto. Le contromisure si basano su collaborazione tra pubblico e privato, con Five Eyes che condivide intelligence tecnica tra le nazioni alleate.
Infrastrutture critiche: rischi crescenti
L’interruzione del programma CyberSentry lascia scoperte le reti strategiche di energia, trasporti, sanità e telecomunicazioni, aumentando i rischi di disruption operativa e blackout digitali. In assenza di un monitoraggio centralizzato, le minacce persistenti avanzate restano potenzialmente invisibili. I costi medi per una violazione di sicurezza su queste reti sono stimati in 4,5 milioni di euro, senza considerare danni indiretti a pazienti, utenti e forniture. Per compensare, molte aziende private stanno investendo in sistemi SIEM, segmentazione delle reti, backup offsite, e approcci zero-trust per verificare ogni accesso. Tuttavia, la mancanza di analisi condivisa con CISA complica la gestione degli Indicatori di Compromissione (IOC). L’impatto è già visibile in ospedali che ritardano procedure critiche e reti energetiche che aumentano l’esposizione a blackout. La minaccia non è teorica: gruppi APT come Volt Typhoon utilizzano intelligenza artificiale per generare attacchi sempre più difficili da rilevare, agendo anche sulla supply chain con effetti a cascata sui partner.
Competizione globale e proprietà intellettuale
Il furto di dati da parte dell’ingegnere di Waymo si inserisce in un conflitto tecnologico più ampio tra Stati Uniti e Cina. Le autorità americane accusano da anni Pechino di implementare un sistema coordinato di spionaggio economico, mirato all’acquisizione di know-how occidentale. Le contromisure includono limitazioni all’export di chip, monitoraggio dei flussi finanziari tramite Interpol, e controllo più rigido dei visti per ingegneri stranieri. Le aziende statunitensi rispondono implementando blockchain per la tracciabilità, sistemi di crittografia avanzata e contratti di non divulgazione (NDA) sempre più vincolanti. Il caso Waymo potrebbe influenzare la politica industriale americana, spingendo verso una revisione delle normative sulla sicurezza dei dati e sugli investimenti esteri in settori sensibili. Il furto non solo danneggia la posizione competitiva di Waymo, ma accelera lo sviluppo dei concorrenti cinesi nel settore dei veicoli autonomi, compromettendo il vantaggio tecnologico USA in uno dei mercati chiave per il prossimo decennio. Gli attacchi a SharePoint si inseriscono in un contesto di tensione crescente tra USA e Cina, con Washington che accusa Pechino di spionaggio economico sistemico. Le brecce seguono schemi già visti in campagne come Volt Typhoon e Salt Typhoon, rafforzando la convinzione di un coinvolgimento statale cinese, nonostante le smentite ufficiali. Gli Stati Uniti rispondono con sanzioni tecnologiche, limitazioni all’export di chip e rafforzamento delle normative su investimenti stranieri in settori critici. Pechino, dal canto suo, punta sull’autosufficienza tecnologica, sviluppando hardware e software locali. La cosiddetta guerra fredda digitale si manifesta in campagne mirate alle infrastrutture nazionali, mentre entrambi i blocchi investono massicciamente in intelligenza artificiale per la difesa. Il coordinamento internazionale, specie tra alleati come Five Eyes, diventa centrale per una strategia di resilienza globale.
Cyber vs spionaggio fisico: una convergenza pericolosa
I due eventi – la sospensione di CyberSentry e il furto di dati Waymo – mostrano due volti della stessa fragilità sistemica. Il primo rivela come la mancanza di fondi pubblici possa disattivare interi apparati di difesa digitale. Il secondo dimostra che le minacce fisiche e umane, spesso sottovalutate, continuano a essere vettori di attacchi strategici. Entrambi hanno in comune l’impiego o la prevenzione dell’intelligenza artificiale, impiegata sia per il threat hunting da parte di CISA, sia per la protezione degli algoritmi proprietari di Waymo. Nel mezzo si colloca la collaborazione pubblico-privata, sempre più fragile. La resilienza digitale richiede investimenti costanti, standard condivisi, e condivisione di intelligence tra agenzie e aziende. La Cina adotta un modello di spionaggio ibrido, che combina attacchi cyber, furti industriali e acquisizioni opache, costringendo le democrazie occidentali a una risposta altrettanto stratificata.
