Secondo una vasta coalizione di nazioni occidentali, la Cina starebbe sponsorizzando in maniera diretta campagne di hackeraggio delle reti globali.
Cina sotto accusa
Secondo una vasta coalizione di nazioni occidentali, la Cina starebbe sponsorizzando sul fronte cyber in maniera diretta campagne di hackeraggio delle reti globali. Tra queste: reti di telecomunicazioni, governative, di trasporto, alberghiere e infrastrutture militari.
L’accusa, che non arriva di certo come un fulmine a ciel sereno, è quanto emerge dal report congiunto dal titolo “Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System” (Contrasto agli attori sponsorizzati dallo Stato cinese che compromettono le reti mondiali per alimentare il sistema di spionaggio globale).
Si tratta di un cosiddetto joint Cybersecurity Advisory (CSA), un documento pubblicato alla fine di agosto dalla National Security Agency (NSA), la Cybersecurity and Infrastructure Security Agency (CISA) e l’FBI con il supporto dei membri dell’alleanza di intelligence Five Eyes (comprendente Stati Uniti, Regno Unito, Canada, Australia, Nuova Zelanda).
Tra le agenzie firmatarie compaiono inoltre le italiane AISE (Agenzia informazioni e sicurezza esterna) e AISI (Agenzia informazioni e sicurezza interna), entrambe coordinate dal DIS (Dipartimento delle informazioni per la sicurezza).
Tattiche, tecniche e procedure
Il report descrive nel dettaglio tattiche, tecniche e procedure (TTPs) prevalentemente utilizzate dagli Advanced Persistent Threat (APT) cinesi. Attori come Volt Typhoon, APT41 e Salt Typhoon.
Molte di queste attività hanno avuto luogo a partire dal 2021. Tra loro, diverse hanno trovato più o meno direttamente associazione con società cinesi operanti nella fornitura di prodotti e servizi informatici ai servizi di intelligence cinesi.
Non solo. All’interno del CSA si fa chiaro riferimento all’Esercito Popolare di Liberazione e il Ministero per la sicurezza dello Stato tra gli acquirenti di questi prodotti. Negli ultimi anni diverse sono state le segnalazioni di infiltrazioni da parte di hacker con alle spalle il Governo di Pechino.
Secondo gli analisti, questi attori avrebbero come obiettivo quello di infiltrare su larga scala infrastrutture critiche (energia, telecomunicazioni e trasporti). E insieme a loro, tech company ed enti governativi. Il tutto, con lo scopo di sottrarre proprietà intellettuale e dati sensibili.
C’è un precedente?
Tra il marzo e il dicembre 2024, il gruppo Salt Typhoon venne accusato di aver compromesso le reti informatiche statunitensi, compresa quella della Guardia Nazionale, con annesso furto di dati critici. Sempre nel 2024, gli USA accusarono la Cina di essere diretta responsabile delle azioni che muoveva il gruppo hacker Volt Typhoon. Quest’ultimo avrebbe infiltrato diverse reti americane, sia continentali che oltre oceano, incluse quelle di un fondamentale hub militare nel Pacifico come l’isola di Guam.
Il fatto evidenziò ulteriormente l’importanza strategica di aumentare gli sforzi per la sicurezza di target vitali da un punto di vista geopolitico e militare. Non solo gli USA sarebbero sotto il mirino di questi attori visto che un altro Paese appartenente a Five Eyes, il Regno Unito, aveva successivamente annunciato una serie di azioni rivolte contro il Paese asiatico. Il motivo, secondo Londra, era quello di aver promosso attività di spionaggio contro esponenti del parlamento inglese.
Perché queste campagne sono così insidiose?
Ciò che rende queste campagne particolarmente insidiose è l’uso di tecniche LOTL (Living Off the Land) sui dispositivi di rete. Questi attacchi sfruttano le fragilità intrinseche nei sistemi operativi per ottenerne l’accesso.
Una volta insediati all’interno del perimetro, gli aggressori sono in grado di espandere il proprio controllo rendendone estremamente difficile l’individuazione. Secondo gli analisti del report, intrusioni di questo tipo sarebbero progettate per favorire sabotaggi mirati sia alla società civile che al comparto militare statunitense, ponendo Pechino come la principale minaccia per la cybersicurezza americana. C’è stato infatti il ritrovamento di malware cinesi non solo nelle telecomunicazioni, ma anche in energia, acqua e trasporti.
Ciò che allarma le agenzie occidentali non è quindi la semplice compromissione di informazioni. Bensì, il “pre-posizionare” capacità per bloccare ospedali, ritardare mobilitazioni militari o causare blackout su larga scala. Non più solo cyber-spionaggio, ma il rischio potenziale di aperta cyber-warfare.
La denuncia del CSA
La denuncia del CSA arriva quindi mentre la dottrina militare cinese sta modificando radicalmente il proprio assetto per incorporare il cyber non solo come strumento di spionaggio, ma come elemento di deterrenza all’interno di una dottrina “joint e multi-dominio”. In questo, il dominio informatico è funzionale alla preparazione per scenari di guerra, ad esempio in una crisi sul fronte di Taiwan.
Già nel 2024, l’istituzione della Information Support Force (ISF) sotto il comando diretto della Commissione Militare Centrale segnava non solo un cambiamento organizzativo. Segnava infatti anche il chiaro segnale di una visione che pone il dominio informativo e cibernetico come leva strategica preventiva.
Questa scelta rientra pienamente nel concetto di deterrenza integrata. Una deterrenza, che unisce capacità nucleari, convenzionali, spaziali e informatiche per esercitare pressione sull’avversario.
Quale valore hanno le accuse collettive?
In sintesi, l’aspetto più significativo del documento, ancor prima del contenuto, è sicuramente l’elenco delle nazioni firmatarie. Fino ad oggi, la risposta occidentale agli atti ostili ascrivibili al governo cinese era apparsa frammentata.
La pubblicazione del CSA marca quindi un punto di svolta. Per la prima volta la Cina ha subìto un’accusa collettivae pubblica come diretta responsabile dietro le principali campagne di hackeraggio ai danni di infrastrutture, società ed enti governativi occidentali.
In precedenza, il Governo cinese aveva a più riprese criticato gli US. E lo aveva fatto definendo le accuse a Pechino come “pretestuose” e anzi attribuendo a Washington le responsabilità di un’escalation mediatica volta a minare la posizione cinese nel Mar Cinese Meridionale e Taiwan. Attacchi e risposte a parte, il CSA rappresenta una prima chiamata all’appello da parte delle principali agenzie per la cybersicurezza occidentali.
Nel breve e medio periodo, l’alleanza Five Eyes e le altre nazioni partner dovranno concentrare gli sforzi per trasformare la propria difesa digitale in una forma di deterrenza credibile. La posta in gioco consiste nell’evitare che l’attuale vantaggio cinese sposti irrimediabilmente gli equilibri nel cyberspazio. E, di conseguenza, nel confronto geopolitico globale.
