Come l’hacking cinese è entrato in una nuova fase spericolata

Per anni, la Cina sembrava funzionare all’estremità più tranquilla dello spettro di hacking sponsorizzato dallo stato. Mentre la Russia e la Corea del Nord effettuavano operazioni di hack and leak, lanciavano attacchi informatici massicci e dirompenti e offuscavano il confine tra criminali informatici e agenzie di intelligence, la Cina si concentrava silenziosamente sullo spionaggio più tradizionale, anche se prolifico, e sul furto di proprietà intellettuale. Ma un messaggio collettivo di oggi da dozzine di paesi richiama un cambiamento nel comportamento online della Cina e come la scia di caos della sua principale agenzia di cyber-intelligence rivaleggia sempre più con quella del regime di Kim o del Cremlino.

Lunedì, la Casa Bianca si è unita al governo del Regno Unito, all’UE, alla NATO e ai governi dal Giappone alla Norvegia negli annunci che hanno messo in luce una serie di operazioni di hacking cinesi, e il Dipartimento di Giustizia degli Stati Uniti ha incriminato separatamente quattro hacker cinesi, tre dei quali si ritiene essere ufficiali del Ministero della Sicurezza di Stato cinese o MSS. La dichiarazione della Casa Bianca incolpa specificamente l’MSS cinese per una campagna di hacking di massa che ha utilizzato una vulnerabilità nel software Exchange Server di Microsoft per compromettere migliaia di organizzazioni in tutto il mondo. Rimprovera inoltre l’MSS cinese per aver collaborato con organizzazioni a contratto che si dedicavano al crimine informatico a scopo di lucro, chiudendo un occhio o addirittura condonando attività extrascolastiche come infettare le vittime con ransomware, utilizzare macchine vittime per l’estrazione di criptovalute e furti finanziari. “La riluttanza della RPC ad affrontare le attività criminali degli hacker a contratto danneggia governi, aziende e operatori di infrastrutture critiche attraverso miliardi di dollari in proprietà intellettuale persa, informazioni proprietarie, pagamenti di riscatti e sforzi di mitigazione”, si legge nella dichiarazione.

Quella lunga lista di peccati digitali rappresenta un cambiamento significativo nel modus operandi degli hacker cinesi, molti dei quali, secondo gli osservatori della Cina, possono essere fatti risalire alla riorganizzazione del 2015 delle sue operazioni informatiche del paese. Fu allora che trasferì gran parte del controllo dall’Esercito di Liberazione del Popolo al MSS, un servizio di sicurezza statale che nel tempo è diventato più aggressivo sia nelle sue ambizioni di hacking che nella sua volontà di esternalizzare ai criminali.

“Vanno più grandi. Il numero di hack è diminuito, ma la scala è aumentata”, afferma Adam Segal, direttore del programma Digital and Cyberspace Policy presso il Council on Foreign Relations, che si è concentrato a lungo sulle attività di hacking della Cina. Ciò è dovuto in gran parte al fatto che gli hacker non governativi con cui lavora MSS non obbediscono necessariamente alle norme dell’hacking sponsorizzato dallo stato. “Sembra esserci una sorta di maggiore tolleranza all’irresponsabilità”, dice Segal.

Il MSS ha sempre preferito utilizzare intermediari, società di facciata e appaltatori per le proprie operazioni pratiche, afferma Priscilla Moriuchi, una Fellow non residente presso il Belfer Center for Science and International Affairs di Harvard. “Questo modello sia nelle operazioni HUMINT che in quelle informatiche consente all’MSS di mantenere una negabilità plausibile e di creare reti di individui e organizzazioni reclutati che possono sopportare l’urto della colpa quando vengono catturati”, afferma Moriuchi, usando il termine HUMINT per indicare l’essere umano, non lato cibernetico delle operazioni di spionaggio. “Queste organizzazioni possono essere rapidamente bruciate e se necessario crearne di nuove”.

Sebbene questi appaltatori offrano al governo cinese un livello di negabilità ed efficienza, tuttavia, portano anche a un minor controllo degli operatori e a una minore garanzia che gli hacker non useranno i loro privilegi per arricchirsi dalla parte, o gli ufficiali MSS che si avvalgono fuori i contratti. “Alla luce di questo modello, non mi sorprende affatto che anche i gruppi di operazioni cibernetiche attribuiti a MSS stiano conducendo crimini informatici”, aggiunge Moriuchi.

La dichiarazione della Casa Bianca nel suo insieme indica una raccolta ampia, disordinata e in alcuni casi non correlata di attività di hacking cinese. UN un atto d’accusa separato nomina quattro hacker affiliati a MSS, tre dei quali erano ufficiali della MSS, tutti accusati di una vasta gamma di intrusioni nei settori di tutto il mondo, dall’assistenza sanitaria all’aviazione.

Ma più insolito del furto di dati delineato in quell’atto d’accusa è stato l’hacking di massa annunciato nell’annuncio di lunedì, in cui un gruppo noto come Afnio – ora collegato dalla Casa Bianca al MSS cinese – ha fatto irruzione in non meno di 30.000 Exchange Server intorno al mondo. Gli hacker hanno anche lasciato dietro di sé le cosiddette “shell web”, consentendo loro di riottenere l’accesso a quei server a piacimento, ma introducendo anche il rischio che altri hacker possano scoprire quelle backdoor e sfruttarle per i propri scopi. Quell’elemento della campagna di hacking era “non mirato, spericolato ed estremamente pericoloso”, ha scritto l’ex CTO di CrowdStrike e fondatore di Silverado Policy Accelerator Dmitri Alperovitch, insieme al ricercatore Ian Ward, in un post sul blog di marzo. Almeno un gruppo di ransomware è sembrato provare a sfruttare la campagna di Hafnium subito dopo che è stata smascherata.

Non ci sono prove chiare che gli stessi hacker Hafnium di MSS abbiano implementato ransomware o software di mining di criptovaluta su nessuna di quelle decine di migliaia di reti, secondo Ben Read, il direttore dell’analisi del cyber-spionaggio presso la società di risposta agli incidenti e di intelligence sulle minacce Mandiant. Invece, le critiche della Casa Bianca al governo cinese per aver offuscato il crimine informatico e lo spionaggio informatico sembrano essere collegate ad altre campagne di hacking durate anni che hanno più chiaramente attraversato quella linea. Nel settembre dello scorso anno, ad esempio, il Dipartimento di Giustizia ha incriminato cinque uomini cinesi che lavoravano per un appaltatore di MSS noto come Chengdu 404 Network Technology, noto nel settore della sicurezza informatica con il nome di Barium prima di essere identificato, tutti accusati di aver hackerato dozzine di aziende in tutto il mondo in una serie di operazioni che sembravano mescolare liberamente lo spionaggio con il crimine informatico a scopo di lucro.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.