Il data breach contro Knownsec, una delle principali società cyber della Cina, ha portato alla pubblicazione di oltre 12mila documenti sensibili.
Dopo il data breach contro Knownsec, scoperto lo scorso 2 novembre, la Cina è più vulnerabile? Negli ultimi giorni non sono pochi gli analisti che se lo sono chiesto, vista la portata dell’attacco cyber che ha colpito una delle principali società informatiche legate al Governo di Pechino.
Con oltre 12mila documenti classificati – contenenti dettagli sulle operazioni e sugli obiettivi di Difesa informatica – a rischio di pubblicazione, le autorità cinesi hanno avuto il loro da fare.
Inizialmente, i responsabili dell’operazione hacker criminale avevano cominciato a pubblicare tutto il materiale in loro possesso su GitHub. In un secondo momento, tuttavia, si è proceduto alla sua rimozione, ufficialmente “per violazione della privacy“.
Qual è il ruolo di Knownsec?
Fondata nell’agosto 2007, Knownsec è stata pioniera nel monitoraggio e nella difesa della sicurezza basati sul cloud all’interno dell’ecosistema cinese della sicurezza informatica. Nel 2015 l’azienda ha ricevuto un consistente investimento strategico dal gigante tecnologico Tencent ed è cresciuta fino a impiegare oltre 900 dipendenti in diversi uffici cinesi.
Il portafoglio clienti di Knownsec ha negli anni inglobato istituzioni finanziarie, agenzie governative e importanti società digitali. In questo senso rappresenta un attore fondamentale all’interno dell’infrastruttura di sicurezza nazionale cinese.
Il valore strategico dell’impresa ha reso la violazione particolarmente significativa. In effetti, secondo diversi esperti ci sarebbe addirittura stata la compromissione potenziale di anni di operazioni di intelligence. Non solo. Sarebbero infatti molto più conoscibili tante diverse metodologie utilizzate contro obiettivi stranieri.
I documenti trapelati avrebbero dipinto un quadro molto preciso delle attività di spionaggio informatico. Tra questi, per esempio, un foglio di calcolo contenente in dettaglio 80 obiettivi all’estero che sarebbero stati compromessi dagli esponenti di Knownsec.
Un colpo ‘storico’
In tal senso, secondo le prime analisi e in relazione al valore delle informazioni esfiltarte, la violazione ha rappresentato una delle più gravi esposizioni di operazioni cibernetiche statali degli ultimi anni. Non si è trattato infatti di colpire aziende o gruppi privati, quanto di accedere a dei sistemi statai. Operazioni simili, solitamente, rientrano nella categoria dell’hacking di Stato.
Secondo GBHackers on Security gli autori dell’attacco hanno avuto accesso a:
- specifiche tecniche di armi informatiche.
- Codici sorgente di strumenti proprietari di hacking.
- Dettagli operativi su collaborazioni governative.
- Liste estese di bersagli di sorveglianza stranieri.
E ancora, tra i dati trafugati figurano 95 Gigabyte di registri d’immigrazione dall’India, 3 Terabyte di chiamate dal provider sudcoreano LG UPlus. Non ultimo era presente anche mezzo terabyte di dati di pianificazione stradale da Taiwan.
Le accuse dell’occidente
Nonostante non ci siano dei responsabili accertati, le ipotesi si sono moltiplicate velocemente. La Cina è infatti da anni nel mirino dell’occidente che l’accusa sostenere in maniera diretta campagne di hackeraggio delle reti globali.
L’accusa è stata anche l’oggetto di un lungo rapporto, dal titolo “Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System”. Si tratta di un joint Cybersecurity Advisory (CSA), pubblicato alla fine dello scorso agosto dalla National Security Agency (NSA), la Cybersecurity and Infrastructure Security Agency (CISA) e l’FBI.
Hanno poi offerto il loro supporto per la stesura i membri dell’alleanza di intelligence Five Eyes (comprendente Stati Uniti, Regno Unito, Canada, Australia, Nuova Zelanda). Tra le agenzie firmatarie compaiono inoltre le italiane AISE (Agenzia informazioni e sicurezza esterna) e AISI (Agenzia informazioni e sicurezza interna). Tutte e due, sotto il coordinamento del DIS (Dipartimento delle informazioni per la sicurezza).
In attesa di certezze, dunque, non è improbabile che l’attacco contro Knownsec sia stato solo uno dei capitoli del conflitto ‘ibrido’, praticamente quotidiano, che contrappone Pechino al blocco occidentale.
Per approfondire
- Consulta il report “Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System” in PDF.
