Il leak Knownsec rappresenta una finestra rara sulle operazioni cibernetiche sponsorizzate dallo Stato cinese, svelandone obiettivi, metodologie di attacco e operazioni in corso
Chi di hacking ferisce, di hacking perisce. Negli ultimi giorni, Knownsec, una delle società di punta del settore infosec in Cina, è stata oggetto di un attacco informatico che ha portato al furto e alla diffusione di oltre 12.000 documenti classificati. I file contenevano informazioni su armi cibernetiche, strumenti di hacking interni e liste di obiettivi globali. Il materiale è stato inizialmente pubblicato su GitHub, per poi essere rimosso per violazione di privacy.
L’architettura di Knownsec
Fondata nel 2007, Knownsec è oggi un pilastro dell’ecosistema di cybersicurezza cinese, grazie anche a un investimento strategico del gigante tecnologico Tencent nel 2015. Con oltre 900 dipendenti e contratti con istituzioni finanziarie, agenzie governative e big tech nazionali, il pilastro cyber occupa una posizione cruciale nella filiera digitale della sicurezza nazionale di Pechino. Ecco perché il breach assume contorni strategici, con la fuga di dati che potrebbe aver compromesso la riservatezza di anni di raccolta, classificazione di dati e programmazione di obiettivi di intelligence, rivelando metodologie operative utilizzate da Pechino contro target esteri.
I contenuti del breach
Un foglio di calcolo sottratto elenca 80 obiettivi stranieri compromessi, tra cui agenzie governative e aziende di infrastrutture critiche. Tra i dati trafugati figurano 95 GB di registri d’immigrazione dall’India, 3 TB di chiamate dal provider sudcoreano LG U Plus e quasi mezzo terabyte di dati di pianificazione stradale da Taiwan.
Che significa? Le informazioni sottratte indicano alcuni fattori di non trascurabile importanza. Primo, la dimensione planetaria delle operazioni cinesi, con riferimenti diretti a oltre venti Paesi, tra cui Giappone, Indonesia, Nigeria, Regno Unito e Vietnam.
Secondo, una infrastruttura offensiva multipiattaforma: una vasta libreria di Remote Access Trojan (Rat) in grado di colpire un ampiobacino di sistemi, come Linux, Windows, macOS, iOS e Android.
Terzo, un malware Android di particolare possibile offensività, sviluppato per estrarre cronologie di chat da applicazioni cinesi e da Telegram, indicatore di come la sorveglianza cinese non risparmi neppure piattaforme estere.
Quarto, la progettazione di un power bank malevolo progettato per esfiltrare dati dai dispositivi collegati, mantenendo però l’apparenza di un normale caricatore, tra l’intelligence tout court e l’offensività cibernetica.
Chi di hacking ferisce, di hacking perisce
Il caso Knownsec apre una faglia nella riservatezza che da anni circonda le operazioni cibernetiche sponsorizzate dallo Stato cinese, oltre a fornire un manuale di riferimento su codici, strumenti di intrusione, log operativi e mappe di obiettivi. Se un’azienda con accesso diretto alle operazioni governative può essere violata, quanto sono davvero solide le colonne portanti della cybersicurezza nazionale cinese?
