Approfittando del marasma internazionale dei conflitti in Ucraina e in Medio Oriente, del corto circuito dell’intelligence per la transizione fra Biden e Trump e del caotico impatto mondiale della nuova amministrazione americana, la Cina sta vincendo la guerra invisibile per il controllo elettronico globale. Il settimanale britannico The Economist spiega come ed in quali settori chiave.
China’s Power cresce rapidamente ogni anno. Dalle navi da guerra ai missili, Pechino sta sfornando hardware ad un ritmo straordinario.
Nel mondo invisibile e online, sta facendo altrettanti balzi. Il 4 marzo il Dipartimento di Giustizia americano ha accusato otto cittadini cinesi di hacking su larga scala contro agenzie governative, organi di informazione e dissidenti in America e in tutto il mondo, per i-Soon, una società cinese, su direttiva del governo cinese. Ha anche incriminato due funzionari che ha detto “hanno diretto gli hack”.
Questi casi sono solo la punta di un vasto iceberg. Negli ultimi dieci anni il programma di hacking della Cina è cresciuto rapidamente, al punto che nel 2023 Christopher Wray, allora direttore dell’FBI , ha notato che era più grande di quello di tutte le altre grandi nazioni messe insieme. La crescente importanza e sofisticatezza della Cina hanno prodotto successi in tre aree principali.
Il primo é lo spionaggio politico, legato principalmente al Ministero della sicurezza dello Stato (Mss), il servizio di intelligence estera cinese. L’anno scorso é emerso che un gruppo di hacker cinesi, soprannominato Salt Typhoon, aveva violato almeno nove compagnie telefoniche americane, acquisendo l’ accesso alle chiamate e ai messaggi di importanti funzionari.
Ciaran Martin, che ha guidato l’agenzia di difesa informatica britannica dal 2016 al 2020, lo paragona alle rivelazioni del 2013 di Edward Snowden, un contractor dell’intelligence Usa, secondo cui le agenzie di spionaggio americane stavano conducendo attività di spionaggio informatico su vasta scala. La Cina stava “ottenendo un vasto accesso alle comunicazioni della nazione tramite un’operazione di spionaggio strategico di un’audacia mozzafiato”, afferma.
Un secondo é in aree di scarso valore di spionaggio: l’hacking che getta le basi per il sabotaggio in momenti di crisi o di guerra. Questi sforzi sono guidati dall’Esercito Popolare di Liberazione (PLA), le forze armate cinesi. Nel 2023 è diventato evidente che un gruppo di hacker legato al PLA, noto come Volt Typhoon, si era insinuato, nel corso di diversi anni, in una straordinaria gamma di infrastrutture critiche americane, dai porti alle fabbriche agli impianti di trattamento delle acque, negli Stati Uniti continentali e in territori americani strategici come Guam.
Tutto ciò si basa su un terzo tipo di hacking: il furto su scala industriale di proprietà intellettuale. Nel 2013 Mandiant, un’azienda di intelligence sulle minacce informatiche, che ora fa parte di Google, ha fatto scalpore quando ha esposto “apt1”, l’etichetta per un gruppo di hacker collegati al PLA. apt 1 non era focalizzato sul furto di segreti politici o sullo spegnimento delle reti elettriche, ma sul furto di progetti, processi di produzione e piani aziendali da aziende americane. Un anno dopo, il governo americano ha preso la decisione allora senza precedenti di incriminare cinque hacker PLA per questa attività. Keith Alexander, un ex capo della National Security Agency (Nsa), il servizio di intelligence dei segnali americano, ha descritto questo come “il più grande trasferimento di ricchezza della storia”.
Quel periodo si concluse con una tregua parziale. Nel 2015 Barack Obama, allora presidente degli Stati Uniti, e Xi Jinping, il suo omologo cinese, annunciarono un “accordo comune”. Nessuno dei due paesi avrebbe condotto cyber-spionaggio per rubare proprietà intellettuale. L’accordo funzionò. Poco dopo, lo spionaggio commerciale di questo tipo crollò drasticamente, anche se temporaneamente. Ma quello fu semplicemente l’inizio di una nuova era di spionaggio politico e sabotaggio.
Tutte queste aree sono state interessate da tre grandi cambiamenti nei programmi di hacking della Cina. Uno è chi sta eseguendo l’hacking. Nel 2015-16, poco dopo essere rimasta scioccata dalle rivelazioni di Snowden, la Cina ha rimescolato le sue forze informatiche. Il PLA è stato costretto a ritirarsi, concentrandosi sull’intelligence militare e sulla ricognizione, come Volt Typhoon, e la sua attività è diminuita. L’MSS ha preso il controllo della raccolta di informazioni politiche, come Salt Typhoon, che ha condotto con entusiasmo, e dello spionaggio commerciale, che è continuato su scala più piccola. “Oggigiorno”, scrive Tom Uren, autore di Risky Business, una newsletter informatica, “l’ MSS è il grande kahuna”.
In secondo luogo, l’hacking cinese é migliorato. Circa 20 anni fa, quando le aziende di sicurezza informatica hanno iniziato a monitorare la minaccia, gli hacker cinesi erano “molto, molto rumorosi”, afferma John Hultquist di Mandiant, “incredibilmente disposti a far scattare gli allarmi, incredibilmente disposti a farsi catturare”. Un funzionario europeo concorda. Anche cinque anni fa, afferma, “gli operatori informatici cinesi non erano considerati molto sofisticati”. Ora le cose sono cambiate. “La velocità con cui migliorano sembra sempre sorprendere gli occidentali, anche se in realtà non dovrebbe”, afferma il funzionario. “Se la Cina vuole accelerare in un’area, allora lo farà, e ha persone molto intelligenti”.
Ciò indica un terzo cambiamento. Le operazioni informatiche cinesi ora attingono sempre di più a un vasto e fiorente ecosistema del settore privato che é diventato un canale di talenti, un abilitatore e un moltiplicatore di forza per le operazioni informatiche cinesi in tutto il mondo.
Si consideri la Tianfu Cup collegata a Mss nella città sud-occidentale di Chengdu (che é emersa come un hub per questo tipo di attività). È una delle tante competizioni “cattura la bandiera” (Ctf) in cui i giovani esperti di tecnologia competono per mostrare la loro abilità di hacker trovando e sfruttando le vulnerabilità nel software. La Cina ha ospitato circa 130 di questo tipo di eventi dal 2004, la maggior parte dei quali dopo il 2014 e molti sostenuti dai ministeri governativi, secondo i dati raccolti da Dakota Cary, consulente presso SentinelOne, un’azienda di sicurezza informatica, ed Eugenio Benincasa del Center for Security Studies presso l’ETH di Zurigo.
Questi eventi possono attrarre folle enormi. La Wangding Cup è organizzata dal Ministero della Pubblica Sicurezza (Mps), che gestisce la polizia del paese e raccoglie informazioni di intelligence interna. La coppa é nota come “Olimpiadi della sicurezza informatica” e può attrarre 30.000 persone, notano il signor Cary e il signor Benincasa. I tornei sono terreni di esplorazione per spie cinesi. Un decennio fa agli hacker cinesi era consentito recarsi all’estero per partecipare a gare; ora é limitato. Le vulnerabilità che scoprono, debolezze nel codice che possono essere utilizzate per ottenere l’accesso, “vengono travasate direttamente nell’apparato statale”, afferma una persona a conoscenza del processo. Nel 2021 il governo ha punito Alibaba Cloud, un’azienda tecnologica, per aver divulgato una vulnerabilità senza prima informare lo stato.
I concorsi per talenti sono solo l’inizio. L’anno scorso una serie di documenti appartenenti a i-Soon é trapelata su Internet. I documenti hanno mostrato che l’azienda stava funzionando come un’agenzia privata di intelligence dei segnali i cui obiettivi si estendevano a 23 paesi: il palazzo presidenziale del Nepal, i dati di road-mapping di Taiwan, i registri telefonici della Corea del Sud, i sistemi di immigrazione indiani e il servizio di intelligence della Thailandia. i-Soon è una delle tante aziende di questo tipo a Chengdu.
Le aziende non sono ninja inarrestabili (i file trapelati mostrano prove di discussioni interne, disorganizzazione e fallimento), ma aumentano il peso informatico della Cina. Anche quando gli hacker di MSS eseguono l’hacking da soli, spesso si affidano a questo hinterland aziendale per gli strumenti e l’infrastruttura per abilitare i loro attacchi. Quando gli hacker cinesi hanno iniziato, erano soliti arrivare, senza veli, “proprio dalle reti di Shanghai”, afferma il signor Hultquist. Oggi utilizzano reti di relay box operative, costruite e gestite da aziende private, che utilizzano dispositivi compromessi in tutto il mondo, come i router Internet domestici, per mascherare l’origine degli attacchi.
La crescente portata, sofisticatezza e aggressività dell’hacking cinese è “di gran lunga il cambiamento più significativo nel panorama delle minacce informatiche in oltre un decennio”, nota il signor Martin. Volt e Salt Typhoon, da soli, “sono compromessi strategici dell’Occidente su una scala finora mai vista da nessun’altra potenza informatica”, avverte.
Non è ancora una vera e propria guerra informatica. “Ciò che distingue la Cina dai suoi pari come Russia, Corea del Nord e Iran”, afferma il signor Hultquist, è che quegli stati oltrepassano regolarmente il confine tra spionaggio e interruzione, tra spionaggio e ricognizione e sabotaggio vero e proprio. La Cina “non ha mai premuto il grilletto”, afferma. Anche nelle reti infrastrutturali americane, la Cina si è fermata prima di inserire il codice distruttivo. “Li vediamo fare la ricognizione. Li vediamo mettersi in posizione. Non ci stanno mostrando l’arma”. ■
Facebook Comments
