Dopo la campagna russa SolarWinds, rivelata un’offensiva di hacker probabilmente cinesi contro agenzie governative, aziende strategiche e istituzioni finanziarie negli Usa e in Europa. Ramilli (Yoroi): “Negli ultimi giorni abbiamo osservato numerosi attacchi contro le infrastrutture europee”. E anche il Giappone…

Agenzie governative, aziende strategiche del settore della difesa e istituzioni finanziarie negli Stati Uniti e in Europa sono state per mesi degli hacker cinesi. È quanto emerge da un report della società di sicurezza informatica FireEye (che l’ambasciata cinese a Washington ha bollato come accuse “irresponsabili e malintenzionate”).

L’ATTACCO

L’attacco sarebbe avvenuto sfruttando le vulnerabilità di Pulse Connect Secure, soluzione del colosso Ivanti per gli accessi da remoto, tipologia di software diventato un obiettivo privilegiato in seguito al ricorso massiccio allo smartworking in seguito alla pandemia Covid-19. Il dipartimento della Sicurezza interna ha confermato le intromissioni con una nota invitando gli amministratori di rete a correre ai ripari. La stessa Ivanti, azienda dello Utah, ha parlato dell’attacco sottolineando che è stato colpito “un numero molto limitato di clienti” e fornendo aggiornamenti per proteggere i sistemi.

GRAVE QUANTO SOLARWINDS

Secondo FireEye, la vasta offensiva informatica sferrata dalla Cina sarebbe iniziata ad agosto e sarebbe è tuttora in corso; le indagini intraprese dalla società di sicurezza informatica sono ancora ad uno stadio preliminare, ma FireEye afferma di aver già raccolto prove di violazione di aziende della difesa strategiche, una falla potenzialmente gravissima che invece non si era verificata nel caso della campagna SolarWinds, in seguito alla quale nei giorni scorsi l’amministrazione Biden ha imposto nuove sanzioni alla Russia, sospettata del vasto attacco informatico subito dalle agenzie federali statunitensi lo scorso anno.

“CLASSICO SPIONAGGIO CINESE”

Secondo Charles Carmakal, senior vice president di Mandiant, ramo di FireEye, siamo davanti a un “classico spionaggio cinese” con furto di proprietà intellettuale di cui fosse “non sapremo mai”. Ci sono, ha aggiunto, “alcune somiglianze tra parti di questa attività e un attore cinese che chiamiamo APT5”. Un gruppo attivo almeno dal 2007, si legge nella scheda di FireEye, che ha come obiettivi organizzazioni di diversi settori, in particolare telecomunicazioni e tecnologia, soprattutto comunicazioni satellitari.

ANCHE IL GIAPPONE NEL MIRINO

Poche ore prima della pubblicazione del report FireEye, l’emittente televisiva pubblica giapponese Nhk aveva citato fonti di polizia che indicavano nella Cina l’attore statuale che avrebbe attacchi informatici ai danni di quasi 200 istituzioni e società di ricerca del Paese. Secondo le fonti, le indagini delle autorità giapponesi hanno accertato contatti sotto copertura da parte del Partito comunista cinese per i server utilizzati come piattaforme per gli attacchi informatici subiti dall’agenzia spaziale giapponese Jaxa nel 2016. Gli attacchi informatici a Jaxa e ad altre istituzioni di ricerca giapponese sarebbero stati sferrati da un gruppo di hacker cinesi noto come Tick, su istruzione delle forze armate cinesi. Due persone coinvolte nei contatti per il noleggio dei server avrebbero lasciato il Giappone dopo le operazioni di hacking.

INFRASTRUTTURE EUROPEE NEL MIRINO

“Negli ultimi giorni abbiamo osservato numerosi attacchi, attribuibili ad APT5 (gruppo ancora non troppo caratterizzato ma apparentemente simpatizzante del panorama cinese) prendere di mira infrastrutture europee aventi Pulse Secure attraverso lo sfruttamento della recentissima CVE-2021-22893”, commenta con Formiche.net Marco Ramilli, fondatore e amministratore delega di Yoroi. “Nonostante tale tecnologia non sia troppo diffusa in ambiente privati e in piccole medie imprese è diffusa in grandi imprese e agenzie governative. Il threat actor oltre a essere molto competente è ancora poco noto e per questo motivo è necessario porre particolare attenzione al patching repentino. In caso di sospetto si consiglia di contattare prontamente un Dfir team per identificare eventuali esposizioni interne”.

IL CONTESTO GEOPOLITICO

Difficile non notare, infine, come la denuncia di Nhk sia giunta, oltre che poche ore prima quella di FireEye, in un contesto di crescente tensione diplomatica tra Giappone e Cina, un tema che ha dominato l’agenda della recente visita a Washington del primo ministro giapponese, Yoshihide Suga. Allo stesso modo non si può non sottolineare che soltanto lunedì, durante un evento di Politico (qui il racconto di Formiche.net), il senatore statunitense Mark Warner, presidente della commissione Intelligence, avesse invitato Margrethe Vestager, vicepresidente esecutiva della Commissione europea con delega al digitale,pastedGraphic.png a sviluppare standard comuni dopo il caso SolarWinds: in caso contrario le conseguenze per Stati Uniti, Unione europea e gli altri Paesi del G7 sarebbero “disastrose”, aveva avvertito.

Condividi tramite