Il patto di intelligence tra Australia, Regno Unito, Canada, Nuova Zelanda e Stati Uniti ha rivelato una mega operazione contro Volt Typhoon, un gruppo di hacker sponsorizzato dal regime di Xi Jinping
di Gabriele e Nicola Iuvinale
L'alleanza segreta delle cinque nazioni ha smantellato un gruppo di hacker appoggiato dalla Cina.
La settimana scorsa, l'alleanza Five Eyes ha accusato pubblicamente Pechino di un attacco informatico alle infrastrutture critiche degli Stati Uniti.
Un avviso congiunto sulla sicurezza informatica è stato emesso a seguito di un "gruppo di attività di interesse scoperto di recente" associato al gruppo di hacking sponsorizzato dallo stato cinese Volt Typhoon.
L'avviso avvertiva che Volt Typhoon aveva usato un attacco "living off the land", una tattica che sfrutta strumenti legittimi all'interno del sistema software piuttosto che malware.
Utilizzando questa tecnica, gli hacker sono stati in grado di eludere il rilevamento "fondendosi con il normale sistema Windows e le attività di rete".
In una dichiarazione, Microsoft ha affermato che l'attività di Volt Typhoon ha utilizzato credenziali compromesse per accedere a organizzazioni di infrastrutture critiche e che l'obiettivo tipico del gruppo era lo spionaggio e la raccolta di informazioni.
Microsoft ha fatto un annuncio simultaneo: poiché gli aggressori stanno prendendo di mira Guam ciò rivela al mondo i piani della Cina per interrompere potenzialmente le infrastrutture di comunicazione critiche tra gli Stati Uniti e la regione asiatica in futuro.
"Il comportamento osservato suggerisce che l'autore della minaccia intende eseguire lo spionaggio e mantenere l'accesso senza essere rilevato il più a lungo possibile".
Le precedenti campagne di Volt Typhoon hanno preso di mira settori tra cui comunicazioni, produzione, servizi pubblici, trasporti, costruzioni, governo, tecnologia dell'informazione, marittimo e istruzione.
L'avviso è stato emesso dalle agenzie di intelligence statunitensi, australiane, neozelandesi e del Regno Unito, incluso l'Australian Cyber Security Centre, che fa parte dell'Australian Signals Directorate.
Questa incursione arriva sulla scia della notizia di aprile di altro attacco nordcoreano alla catena del fornitore di telecomunicazioni dell'Asia-Pacifico 3CX. In questo caso, gli hacker hanno effettuato l'accesso al computer di un dipendente utilizzando un'applicazione desktop Windows compromessa e un pacchetto di installazione del software firmato.
L'annuncio del Volt Typhoon ha portato la US National Security Agency ad ammettere che l'Australia e altri partner di Five Eyes sono impegnati in uno schema mirato di ricerca e rilevamento per scoprire le operazioni informatiche clandestine della Cina.
Volt Typhoon è un "gruppo avanzato di minacce persistenti" che è attivo almeno dalla metà del 2021. Si ritiene che sia sponsorizzato dal governo cinese e prenda di mira le organizzazioni di infrastrutture critiche negli Stati Uniti.
Il gruppo ha concentrato gran parte dei suoi sforzi sull'isola di Guam. Situata nel Pacifico occidentale, questo territorio insulare degli Stati Uniti ospita un'ampia e crescente presenza militare statunitense, tra cui l'Air Force, un contingente di Marines e sottomarini con capacità nucleari.
Gli aggressori del Volt Typhoon probabilmente cercavano di accedere alle reti connesse alle infrastrutture critiche degli Stati Uniti per interrompere le comunicazioni e i sistemi di comando e controllo e mantenere una presenza persistente sulle reti. Quest'ultima tattica consentirebbe a Pechino di influenzare le operazioni durante un potenziale conflitto nel Mar Cinese Meridionale.
Non è stato rivelato come sia stato catturato Volt Typhoon. Ma i documenti Microsoft evidenziano precedenti osservazioni dell'autore della minaccia che tentava di scaricare credenziali e dati rubati dall'organizzazione vittima. Questo probabilmente ha portato alla scoperta di reti e dispositivi compromessi.
Inizialmente gli hacker hanno avuto accesso alle reti tramite dispositivi Fortinet FortiGuard con connessione Internet, come i router. Una volta dentro, hanno utilizzato una tecnica chiamata "living off the land".
Ciò, quando gli aggressori fanno affidamento sull'utilizzo delle risorse già contenute nel sistema sfruttato, piuttosto che far uso di strumenti esterni. Ad esempio, usano spesso applicazioni come PowerShell (un programma di gestione Microsoft) e Strumentazione gestione Windows per accedere ai dati e alle funzioni di rete.
Utilizzando le risorse interne, gli aggressori possono eludere le protezioni che avvisano le organizzazioni dell'accesso non autorizzato alle proprie reti. Poiché non utilizzano software dannoso, sembrano utenti legittimi.
Costituita nel 1955, la Five Eyes Alliance è un'associazione di condivisione di informazioni composta da Australia, Canada, Nuova Zelanda, Regno Unito e Stati Uniti.
L'alleanza si è formata dopo la seconda guerra mondiale per contrastare la possibile influenza dell'Unione Sovietica. Si concentra in particolare sull'intelligenza del segnale. Si tratta di intercettare e analizzare segnali come comunicazioni radio, satellitari e Internet.
I membri condividono le informazioni e l'accesso alle rispettive agenzie di intelligence dei segnali e collaborano per raccogliere e analizzare grandi quantità di dati sulle comunicazioni globali. Un'operazione Five Eyes può includere anche informazioni fornite da paesi terzi e dal settore privato.
I paesi membri hanno recentemente espresso preoccupazione per il controllo militare de facto della Cina sul Mar Cinese Meridionale, la sua soppressione della democrazia a Hong Kong e le sue minacce contro Taiwan.
L'ultimo annuncio pubblico delle operazioni informatiche della Cina serve, senza dubbio, come avvertimento che le nazioni occidentali stanno prestando molta attenzione alle loro infrastrutture critiche e potrebbero rispondere all'aggressione digitale della Cina.
Nel 2019, l'Australia è stata presa di mira da attori di minacce sostenuti dallo stato cinese che hanno ottenuto l'accesso non autorizzato alla rete informatica del Parlamento. In effetti, ci sono prove che la Cina sia impegnata in uno sforzo concertato per attaccare le reti pubbliche e private australiane.
L'alleanza Five Eyes potrebbe essere uno degli unici deterrenti contro gli attacchi persistenti a lungo termine alle infrastrutture critiche.
Comments