Sommario
Nel cuore di un’estate segnata da tensioni geopolitiche e controllo sui colossi digitali, due eventi separati ma emblematici mostrano come la sicurezza informatica e la regolamentazione del mercato tech si siano trasformate in strumenti di potere strategico. Da un lato, la Cina accusa l’intelligence statunitense di attacchi cyber sofisticati ai danni di infrastrutture militari, puntando il dito contro l’uso di vulnerabilità zero-day in Microsoft Exchange. Dall’altro, il Regno Unito chiude un’indagine pluriennale sul mercato cloud, proponendo misure restrittive contro AWS e Microsoft per limitare abusi di posizione dominante. Entrambe le vicende delineano un nuovo fronte della diplomazia tecnologica, in cui cybersecurity, sovranità digitale e concorrenza si intrecciano con dinamiche globali complesse.
Accuse cinesi contro intelligence USA
La Cina, attraverso il CNCERT/CC, ha denunciato una serie di attacchi informatici attribuiti agli Stati Uniti, che avrebbero compromesso oltre 50 dispositivi in un’impresa militare tra il luglio 2022 e il luglio 2023. Gli attaccanti avrebbero sfruttato una vulnerabilità zero-day in Microsoft Exchange per ottenere l’accesso iniziale, espandendosi poi ai controller di dominio e stabilendo tunnel cifrati tramite SSH e WebSocket. L’obiettivo: esfiltrare piani di progettazione militari, e-mail riservate e dati sistemici legati alla difesa nazionale. Un secondo attacco, registrato nel 2024, ha colpito una compagnia di comunicazioni satellitari, con oltre 300 dispositivi violati tramite SQL injection. CNCERT/CC ha reso pubblici dettagli tecnici parziali, attribuendo la responsabilità agli Stati Uniti e citando l’NSA come possibile mandante, pur senza fornire nomi specifici delle imprese colpite.
Dettagli tecnici degli attacchi cyber
I tecnici cinesi hanno documentato un sofisticato utilizzo di tunnel crittografati SSH e protocolli WebSocket per mantenere la persistenza nei sistemi compromessi. Le iniezioni SQL sono state usate per accedere a file system e compromettere intere infrastrutture. CNCERT/CC ha identificato oltre 40 indirizzi IP utilizzati come proxy, distribuiti tra Germania, Finlandia, Corea del Sud e Singapore, a dimostrazione della complessità del routing e dell’intenzione di nascondere le origini reali degli attacchi. La persistenza del malware è stata attribuita a meccanismi avanzati di offuscamento del codice e all’uso di shellcode iniettati nei buffer dei server Exchange. Le capacità di evasione dai sistemi antivirus tradizionali sono state confermate da analisi di reverse engineering, che hanno mostrato similitudini con tool sviluppati da agenzie governative statunitensi.
Contesto geopolitico
L’accusa della Cina si inserisce in un quadro di escalation reciproca. Gli Stati Uniti avevano recentemente attribuito a Pechino attacchi simili sfruttando vulnerabilità in Microsoft SharePoint, con riferimento a gruppi APT come Silk Typhoon. Sul fronte economico, la guerra dei chip continua, con Washington che limita le esportazioni verso la Cina, in particolare per GPU AI di fascia alta come le Nvidia H20, e Pechino che risponde imponendo audit e restrizioni ai fornitori americani. Le tensioni si estendono anche ai fronti della standardizzazione tecnologica, dove la Cina promuove ecosistemi digitali chiusi e nazionali, mentre gli Stati Uniti difendono modelli aperti con i propri alleati. Entrambe le potenze cercano di rafforzare il controllo su infrastrutture digitali, produzione hardware e accesso ai dati strategici.
Indagine CMA su mercato cloud
Parallelamente, nel Regno Unito, la Competition and Markets Authority (CMA) ha concluso un’indagine durata 21 mesi sul mercato IaaS. La CMA propone di designare AWS e Microsoft come fornitori con “status di mercato strategico” (SMS), in virtù di quote stimate tra il 30 e il 40% ciascuna nel 2024. Questa mossa mira a ridurre barriere tecniche e contrattuali che limitano il passaggio a fornitori alternativi e penalizzano l’adozione di architetture multicloud. Tra le criticità evidenziate vi sono le pratiche di licenza di Microsoft, che rendono l’uso dei propri software (come Windows Server o SQL Server) più costoso su piattaforme concorrenti. La CMA stima che queste pratiche causino sovrapprezzi del 5% su base annua, con un potenziale risparmio per le imprese britanniche di 550 milioni di euro.
Pratiche anticoncorrenziali di AWS e Microsoft
Nel mirino della CMA sono finite strategie deliberatamente restrittive: Microsoft integra strettamente Office e Azure, limitando l’interoperabilità, mentre AWS propone contratti esclusivi e condizioni contrattuali che scoraggiano il multicloud. Il risultato è un elevato lock-in tecnologico, che rende difficile e costoso cambiare provider, soprattutto per le PMI. La CMA propone misure correttive entro il 2026, tra cui l’imposizione di standard tecnici aperti, obblighi di interoperabilità e trasparenza nei prezzi. Tali regolazioni si allineano con le indagini in corso della FTC statunitense e dell’Antitrust europeo, contribuendo a un movimento internazionale contro la concentrazione di potere dei fornitori cloud.
Implicazioni regolatorie globali
Le implicazioni delle proposte della CMA vanno oltre i confini britannici. Il modello SMS si allinea con il Digital Markets Act (DMA) europeo e rafforza la spinta globale verso una regolazione proattiva delle big tech. I regolatori puntano a garantire una maggiore competizione, ridurre i costi per le imprese e rafforzare la sovranità digitale degli Stati nazionali. La proposta prevede anche misure per tutelare la protezione dei dati personali nei trasferimenti cloud, integrando principi del GDPR. Viene inoltre sottolineata la necessità di audit annuali per garantire la conformità delle grandi piattaforme a standard di apertura e non discriminazione. Nel caso cinese, la vulnerabilità zero-day in Microsoft Exchange è basata su un buffer overflow durante il parsing di e-mail, che consente esecuzione di codice remoto. Il codice malevolo viene eseguito tramite shellcode cifrato, mentre tunnel SSH con crittografia AES-256 offuscano il traffico. In parallelo, le iniezioni SQL impiegate nel secondo attacco sfruttano query appositamente costruite per bypassare controlli e accedere a dati satellitari sensibili. La sofisticazione delle tecniche evidenzia un’evoluzione del cyberspionaggio di Stato. Sul fronte britannico, le misure proposte dalla CMA puntano a scardinare meccanismi opachi e restrittivi, promuovendo interoperabilità, trasparenza e competizione reale nel settore cloud. La battaglia si gioca su due piani paralleli, ma complementari: quello della cybersecurity sovrana e quello della regolazione economica dei monopoli digitali.
