Da una gara tra hacker alla sorveglianza di massa degli iPhone uiguri, la rivista del Mit traccia la traiettoria di un’operazione di spionaggio cinese. Esiste un filo rosso tra gli hackathon e gli attacchi informatici degli scorsi mesi. Ecco come l’isolazionismo digitale di Pechino sta diventando un’arma – e perché l’Occidente deve imparare a difendersi
L’ultima indagine del MIT Technology Review ha a che fare con una vulnerabilità nel sistema operativo degli iPhone, e di come la Cina l’abbia sfruttata per spiare in tempo reale i cellulari degli uiguri – una minoranza etnica vittima di pesanti violazioni di diritti umani da parte di Pechino – sparsi per il mondo.
Ma c’è di più: la vulnerabilità in questione, e il modo in cui è stata scoperta, getta una nuova luce sugli sforzi della Cina per militarizzare la cybersfera globale e sull’aumentare della sua capacità di condurre operazioni ostili, tra cui sorveglianza e spionaggio di massa, in tutto il mondo.
Dati i recenti attacchi informatici da parte di Pechino ai danni di Europa e Usa, quello che si delinea è uno scenario di aperta ostilità informatica. O, per metterla in un altro modo, si stanno moltiplicando i motivi per cui l’Occidente deve alzare le barriere tecnologiche – e anche in fretta.
Hackerare per vincere
Qualche anno fa anche gli hacker cinesi – tra i più bravi e acclarati al mondo – partecipavano a hackathon internazionali come Pwn2Own. Lo scopo di queste competizioni, spesso sponsorizzate dalle più grandi aziende tecnologiche come Microsoft, Apple e Google, è sfidare gli esperti informatici a scovare delle vulnerabilità nei propri sistemi operativi. In caso di successo la compagnia può tappare la falla di sicurezza appena scoperta, e l’hacker in cambio riceve premi in denaro, spesso molto ingenti (nonché la gloria nel settore).
Nel 2017 tutto cambiò. Zhou Hongyi, il capo del titano della cibersicurezza cinese Qihoo 360, criticò pubblicamente gli hacker cinesi che partecipavano agli hackathon, sostenendo che le vulnerabilità che questi scoprivano all’estero non potevano più essere utilizzate a vantaggio del Paese. Se le scoperte fossero rimaste in Cina, disse, il loro “valore strategico” non sarebbe andato perso.
Pechino, pienamente d’accordo, proibì prontamente agli esperti cinesi di partecipare agli hackathon all’estero. Poi a novembre 2018 si tenne a Chengdu (nella Cina centrale) l’evento inaugurale di una nuova competizione, esclusivamente nazionale, la Tianfu Cup. Quell’anno il primo premio andò a Qixun Zhao, ricercatore di Qihoo 360, il quale riuscì da remoto a penetrare nel kernel (il “nocciolo”) del sistema operativo di un iPhone nuovo di zecca con una serie impressionante di exploit concatenati, che chiamò “Chaos”.
Nomen omen
Apple si servì della scoperta di Qixun per sistemare la falla nel sistema dei suoi telefoni, un processo che richiese due mesi e fu portato a compimento con un aggiornamento software emesso a gennaio 2019 (con tanto di nota di ringraziamento a coloro che avevano scoperto la vulnerabilità). Ma l’agosto successivo i ricercatori di Google pubblicarono uno studio su una “campagna di hackeraggio di massa” che prendeva di mira gli iPhone sfruttando un sistema molto simile a Chaos.
Poco dopo Apple confermò che gli attacchi si erano susseguiti nei due mesi tra la scoperta di Chaos alla Tianfu Cup e l’aggiornamento di gennaio 2019. Intanto, però, i media americani avevano già collegato la campagna di hackeraggio alle vittime: gli appartenenti alla minoranza etnica uigura, in Cina come all’estero.
Oggi MIT Technology Review rivela che l’intelligence del governo americano era già arrivato alle stesse conclusioni, poi comunicate ad Apple: la Cina stava sfruttando Chaos per spiare gli uiguri. Di più, Pechino aveva fatto uso del piano di “valore strategico” a cui si era riferito il CEO di Qihoo 360, Zhou; la Tianfu Cup aveva fatto nascere un’arma informatica – Chaos – che il governo cinese ha immediatamente adoperato per i suoi scopi repressivi.
La minaccia militare
Il punto cruciale della questione sono i legami tra la Tianfu Cup e le istituzioni militari cinesi. Nel Partito-stato i confini tra privato e pubblico sono molto labili; per legge ogni compagnia è tenuta a condividere le proprie informazioni con il governo se queste fossero utili per la causa nazionale. Uno dei motivi segnalati dagli Usa (e dal Copasir nostrano) per cui gli apparati 5G gestiti da compagnie cinesi rappresentano un potenziale rischio di cybersicurezza.
Tra gli sponsor della Tianfu Cup figurano le più grandi aziende tech cinesi, tra cui Alibaba, Baidu e Qihoo 360. Quest’ultima è stata messa nella lista nera di Washington dopo che il Dipartimento del commercio statunitense ha deliberato che potesse essere un fornitore per l’esercito cinese.
Altre compagnie sanzionate dagli americani supportano l’hackathon cinese: Topsec (che secondo gli Usa recluta, addestra ed equipaggia hacker nazionalisti cinesi, come anche Venus Tech), NSFocus (nata dal primo movimento di hacker nazionalisti cinesi, chiamato Green Army) e Hikvision, una divisione del Chinese Electronics Technology Group (di proprietà dello Stato) che offre servizi di “analitica uigura” e riconoscimento facciale al governo cinese.
Secondo gli esperti americani, i collegamenti tra la Tianfu Cup e l’intelligence cinese sono evidenti. Non solo l’evento serve per trovare nuove vulnerabilità da sfruttare, è anche un ottimo campo di reclutamento, ha detto Scott Henderson, analista dell’azienda di cybersicurezza americana FireEye.
Henderson ha evidenziato che il gigantesco attacco hacker lanciato dai gruppi cinesi contro i server di Microsoft Exchange, che ha colpito Usa, America e Giappone nei primi mesi del 2021, ha connotati molto simili a quanto successo con Chaos e gli uiguri. Anche in quel caso un ricercatore aveva scoperto la vulnerabilità indipendentemente e l’aveva resa nota a Microsoft, che l’ha poi condivisa segretamente con i propri partner di sicurezza. L’attacco è stato sferrato dopo la scoperta della vulnerabilità e prima che Microsoft potesse tappare la falla; la compagnia sta investigando una possibile fuga di dati a riguardo.
Gli strumenti in questione sono potentissimi, consentono di sorvegliare in tempo reale qualunque persona, entità e governo soggetti alle vulnerabilità. Il campo (internet) è aperto, ma le regole del gioco sono soggette all’interpretazione dei giocatori. Ora nell’Occidente geopolitico occorre pensare a come reagire all’isolazionismo digitale e all’aggressività di attori come Cina e Russia.
