Sommario
Tre rapporti recenti rivelano la complessità e la portata delle operazioni di spionaggio informatico condotte da gruppi sponsorizzati dallo stato cinese. Tra questi, spiccano un attacco di quattro mesi contro un’importante organizzazione statunitense, intrusioni globali nelle telecomunicazioni attribuite al gruppo Salt Typhoon e tecniche sofisticate che sfruttano vulnerabilità nei sistemi critici.
Attacco di quattro mesi contro un’organizzazione statunitense
Un’organizzazione statunitense con una significativa presenza in Cina è stata presa di mira per quattro mesi da un gruppo di hacker collegati al governo cinese. Le attività principali, che si sono svolte da aprile ad agosto 2024, includono:
- Compromissione di server Exchange per raccogliere email sensibili.
- Uso di tecniche di living-off-the-land come PowerShell, PsExec e WMI per muoversi lateralmente all’interno della rete.
- Utilizzo di strumenti open source come FileZilla e Impacket per la sottrazione di dati.
Il gruppo ha sfruttato metodi avanzati, come il DLL sideloading, per caricare payload dannosi attraverso applicazioni legittime come iTunesHelper.exe. Gli investigatori ritengono che l’attacco sia legato a precedenti operazioni di Crimson Palace e Daggerfly, gruppi noti per la loro capacità di eludere i sistemi di difesa aziendali.
Salt Typhoon: compromessi sistemi di telecomunicazione in dozzine di paesi
Il gruppo Salt Typhoon, noto anche come FamousSparrow, ha compromesso sistemi di telecomunicazioni in oltre otto aziende statunitensi e dozzine di altre nel mondo. Le attività risalgono ad almeno due anni fa e includono:
- Accesso a piattaforme di intercettazione governative.
- Sottrazione di dati su richieste delle forze dell’ordine e registri di chiamate.
- Reindirizzamento del traffico internet da fornitori di servizi statunitensi.
La Casa Bianca ha sottolineato che, sebbene non siano stati compromessi dati classificati, il gruppo ha ottenuto accesso prolungato a informazioni sensibili. Le agenzie CISA e FBI hanno emesso linee guida per rafforzare la sicurezza delle reti, suggerendo l’uso di app di messaggistica crittografata per mitigare i rischi.
Tecniche avanzate e implicazioni geopolitiche
Gli attacchi descritti mostrano un uso sofisticato di strumenti e tecniche per massimizzare l’efficacia delle campagne di spionaggio e minimizzare il rischio di rilevamento. Tra le tattiche più utilizzate troviamo:
- Sfruttamento delle vulnerabilità: i gruppi come Salt Typhoon approfittano di dispositivi non aggiornati e servizi vulnerabili esposti su reti critiche. Questo approccio permette di accedere a infrastrutture sensibili, come quelle delle telecomunicazioni.
- Living-off-the-land (LotL): utilizzando strumenti integrati nei sistemi, come PowerShell e WMI, gli attori minacciano evitano di lasciare tracce evidenti. Questo rende più difficile per i team di sicurezza distinguere tra attività legittima e malevola.
- Reindirizzamento del traffico internet: le intrusioni nei provider di servizi internet consentono di monitorare, manipolare e deviare dati sensibili verso server controllati dagli attaccanti.
Le operazioni hanno implicazioni geopolitiche significative:
- Erosione della fiducia nelle infrastrutture critiche: attacchi mirati a telecomunicazioni e piattaforme governative mettono a rischio la sicurezza nazionale e il controllo delle comunicazioni.
- Tensione tra potenze globali: le accuse di spionaggio cibernetico aumentano il divario tra Cina e Stati Uniti, già tesi per motivi economici e strategici.
- Collaborazione internazionale: i casi evidenziano la necessità di un’azione congiunta tra agenzie globali per identificare, mitigare e prevenire minacce avanzate.
Questi attacchi dimostrano il livello di sofisticazione raggiunto dai gruppi sponsorizzati dallo stato cinese. La capacità di compromettere reti critiche e sottrarre dati sensibili su scala globale rappresenta una sfida complessa per governi e aziende. Il rafforzamento delle difese cibernetiche e la condivisione di informazioni tra nazioni sono fondamentali per contrastare queste minacce.
