Oltre 20 agenzie di sicurezza e corpi di forze dell’ordine di tutto il mondo hanno emesso un “avviso di sicurezza informatica” congiunto, che mette in guardia contro la minaccia rappresentata dal famigerato gruppo di hacker Salt Typhoon. Il collettivo è noto per aver violato diverse importanti reti di telecomunicazioni statunitensi, ma, a quanto pare, continuerebbe ad agire indisturbato in diversi Paesi, e avrebbe già preso di mira anche aziende di altri verticali.
Indice degli argomenti
Le violazioni delle società di telecomunicazioni statunitensi
Quando lo scorso autunno si è scoperto che Salt Typhoon – da tempo sospettato di essere sponsorizzato dalla Repubblica Popolare Cinese – aveva penetrato in profondità i sistemi di importanti compagnie di telecomunicazioni statunitensi, violando non meno di nove operatori telefonici e accedendo in tempo reale a messaggi e chiamate degli americani, quella campagna di hacking è stata trattata come un allarme di livello quattro dal governo degli Stati Uniti. Eppure, anche dopo la loro esposizione ad alto profilo, questi hacker hanno continuato a infiltrarsi nelle reti di telecomunicazioni in tutto il mondo senza trovare adeguata resistenza.
A febbraio, per esempio, Wired ha spiegato che i ricercatori dell’azienda di sicurezza informatica Recorded Future hanno osservato Salt Typhoon violare cinque provider di telecomunicazioni e Internet in tutto il mondo, oltre a più di una dozzina di università, dallo Utah al Vietnam. Tra le società di telecomunicazioni figurano un provider di servizi Internet e un’azienda di telecomunicazioni statunitense e un’altra filiale statunitense di un’azienda di telecomunicazioni britannica, secondo gli analisti dell’azienda, che tuttavia si sono rifiutati di rivelare i nomi delle vittime a Wired.
In seguito a questo incidente, ricorda TelecomTv, il Centro Canadese per la Sicurezza Informatica ha pubblicato un bollettino informatico che “mira a sensibilizzare l’opinione pubblica sulla minaccia rappresentata dalle attività di cybersecurity della Repubblica Popolare Cinese, in particolare per le organizzazioni di telecomunicazioni canadesi, alla luce dei nuovi attacchi informatici subiti da entità in Canada correlati al gruppo. Il Centro per la Sicurezza Informatica è a conoscenza delle attività informatiche dannose che attualmente prendono di mira le aziende di telecomunicazioni canadesi. I responsabili sono quasi certamente attori sponsorizzati dalla Cina, in particolare Salt Typhoon“.
Il documento congiunto internazionale: nel mirino non ci sono solo le telco
Ora per l’appunto si è deciso di imprimere una stretta, dando vita a un documento congiunto dettagliato, pubblicato e distribuito da oltre 20 agenzie di sicurezza, tra cui: la National Security Agency (Nsa), la Cybersecurity and Infrastructure Security Agency (Cisa) e il Federal Bureau of Investigation (Fbi) degli Stati Uniti; il Canadian Centre for Cyber Security e il Canadian Security Intelligence Service (Csis); il National Cyber Security Centre (Ncsc) del Regno Unito; il Bundesnachrichtendienst (Bnb) (servizio di intelligence federale tedesco), nonché altre istituzioni di sicurezza tedesche e agenzie in Australia, Nuova Zelanda, Repubblica Ceca, Finlandia, Italia, Giappone, Spagna, Polonia e Paesi Bassi.
“Gli autori di minacce informatiche sponsorizzate dallo Stato della Repubblica Popolare Cinese stanno prendendo di mira reti a livello globale, tra cui, a titolo esemplificativo ma non esaustivo, reti di telecomunicazioni, reti governative, reti di trasporto, reti alberghiere e reti infrastrutturali militari”, si legge nel documento. “Sebbene questi autori si concentrino sui grandi router backbone dei principali fornitori di telecomunicazioni, nonché sui router provider edge e customer edge, sfruttano anche dispositivi compromessi e connessioni affidabili per accedere ad altre reti. Questi autori spesso modificano i router per mantenere un accesso persistente e a lungo termine alle reti”.
Per l’Fbi la minaccia è in corso
Il vicedirettore dell’Fbi, Brett Leatherman, a capo della divisione informatica dell’agenzia, ha dichiarato al Washington Post che l’attività dei cosiddetti “attori di minacce persistenti avanzate” si è diffusa in 80 paesi e ha colpito almeno 200 aziende statunitensi.
Leatherman ha affermato che la minaccia è in corso, precisando che gli hacker dispongono di molteplici punti di rientro nascosti basati su software nei dispositivi di rete. “Solo perché era sicuro sei mesi fa non significa che lo sia anche adesso”, ha dichiarato al quotidiano.
L’Fbi ha anche pubblicato un video in cui Leatherman sottolineava che il gruppo di hacker è attivo dal 2019, spiegando che “l’indiscriminata presa di mira da parte di Pechino delle comunicazioni private richiede una più forte collaborazione con i nostri partner per identificare e contrastare questa attività nelle fasi iniziali“.
Le azioni da intraprendere
Nel documento congiunto, le agenzie di sicurezza “sollecitano vivamente i responsabili della sicurezza delle reti a individuare attività dannose e ad applicare le misure di mitigazione previste da questo avviso per ridurre la minaccia di attività informatiche malevole sponsorizzate dallo Stato cinese e di altro tipo”.
Le agenzie avvertono inoltre che “tre aziende tecnologiche con sede in Cina forniscono servizi informatici ai servizi di intelligence cinesi e fanno parte di un più ampio ecosistema commerciale in Cina, che include aziende di sicurezza informatica, broker di dati e hacker a pagamento”.
Le tre aziende sarebbero nello specifico Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology e Sichuan Zhixin Ruijie Network Technology.
Le raccomandazioni dell’Ncsc britannico
Il National Cyber Security Centre del Regno Unito spiega che i dati rubati dagli autori degli attacchi “possono in ultima analisi fornire ai servizi segreti cinesi la capacità di identificare e tracciare le comunicazioni e i movimenti degli obiettivi in tutto il mondo. L’avviso descrive come gli autori delle minacce abbiano ottenuto un notevole successo sfruttando vulnerabilità note e comuni, anziché affidarsi a malware personalizzati o vulnerabilità zero-day per svolgere le loro attività, il che significa che gli attacchi tramite questi vettori avrebbero potuto essere evitati con un’applicazione tempestiva delle patch”.
“Siamo profondamente preoccupati per il comportamento irresponsabile delle suddette entità commerciali con sede in Cina, che ha consentito una campagna incontrollata di attività informatiche dannose su scala globale”, commenta Richard Horne, ceo dell’Ncsc. “È fondamentale che le organizzazioni in settori critici mirati prestino attenzione a questo avvertimento internazionale sulla minaccia rappresentata dagli attori informatici che hanno sfruttato vulnerabilità note al pubblico, e quindi risolvibili. Di fronte a minacce sofisticate, i responsabili della sicurezza delle reti devono individuare proattivamente le attività dannose, applicare le misure di mitigazione raccomandate in base agli indicatori di compromissione e analizzare regolarmente i log dei dispositivi di rete per individuare segnali di attività insolite”.
