Salt Typhoon: attacco informatico senza precedenti attribuito a un gruppo di cybercriminali cinesi
Negli Stati Uniti si sta parlando molto della cosiddetta Operazione Salt Typhoon. Già individuato da Kaspersky e da ESET, questo gruppo, riconducibile alla Repubblica Popolare Cinese, avrebbe attaccato sistemi di telecomunicazioni, organizzazioni governative e strutture alberghiere in tutto il mondo
di Rosario Grasso pubblicata il 11 Dicembre 2024, alle 17:01 nel canale SicurezzaKasperskyESET
Sistemi di telecomunicazioni e organizzazioni governative in tutto il mondo sarebbero stati bersaglio per anni di Salt Typhoon, un gruppo di cybercriminali legato secondo il governo Usa alla Repubblica Popolare Cinese. Non solo: questo gruppo avrebbe ottenuto accesso anche ad alcune operazioni riservate di FBI e NSA, minando alla base i cardini della sicurezza del mondo occidentale.
Motivi che stanno spingendo a considerarlo uno dei più gravi episodi di cyber-spionaggio nella storia recente, stando alla ricostruzione del Washington Post. Questo gruppo, già noto per operazioni simili in Asia e Africa, avrebbe infiltrato per mesi i sistemi di alcune delle più grandi compagnie di telecomunicazioni statunitensi, come Verizon, AT&T, T-Mobile e Lumen Technologies. L’accesso ottenuto ha permesso di raccogliere una mole impressionante di dati personali, compromettendo milioni di utenti e almeno 150 figure politiche di spicco.
Il vero allarme, però, riguarda il sistema di intercettazioni statunitense, gestito da FBI e NSA, che gli hacker sarebbero riusciti a violare. Questo sistema, cruciale per la sicurezza nazionale, è stato progettato per consentire intercettazioni legali ma, secondo molti esperti, esporrebbe una vulnerabilità strutturale che gli attaccanti hanno sfruttato. I danni includono il furto di metadati, informazioni sensibili su indagini in corso e persino comunicazioni private di individui sotto sorveglianza. In almeno un caso, si è parlato di registrazioni vocali sottratte.
Si fa riferimento alle conseguenze determinate dal Communications Assistance for Law Enforcement Act (CALEA), una legge approvata dal Senato Usa nel 1994 che prevede l'obbligo per le aziende che lavorano nel mondo delle comunicazioni statunitense di consentire alle agenzie governative di intercettare telefonate e messaggi. Nel 2005 la legge è stata poi modificata per dare libertà alle agenzie anche attraverso le comunicazioni VoIP (Voice over Internet Protocol) e tramite Internet Provider. Sistemi di intercettazione di questo tipo, tuttavia, renderebbero più vulnerabile l'intera rete di comunicazioni americana perché ogni operatore è libero di gestire le intercettazioni attraverso piattaforme e software a propria discrezione.
Le modalità dell’attacco suggeriscono che Salt Typhoon abbia sfruttato falle in sistemi obsoleti, utilizzando strumenti sofisticati come il rootkit Demodex. Questo evidenzia quanto le infrastrutture critiche siano esposte, soprattutto quando utilizzano tecnologie non aggiornate e per via del fatto che vengono gestite in modo privato senza sufficienti controlli pubblici, rivelandosi così un anello debole.
Al centro dell’operazione vi è un nodo principale, identificato come il “Suspected China-based threat actor”, che ha diretto ogni fase dell’attacco, orchestrando flussi di dati e intrusioni verso bersagli specifici. Da questo centro nevralgico, i collegamenti si ramificano verso infrastrutture critiche globali, servendosi di una rete progettata per massimizzare l’impatto e passare inosservata per mesi.
Gli hacker hanno sfruttato indirizzi IP strategici e tecniche avanzate, come il DLL-sideloading e il "living off the land", per compromettere sistemi e operare indisturbati. Attraverso server di comando e controllo, hanno esfiltrato informazioni riservate utilizzando malware dotati di offuscamento e firme digitali contraffatte, il che ha reso queste operazioni difficili da rilevare anche per i sistemi di sicurezza più avanzati.
Salt Typhoon, in questo modo, si sarebbe spinto fino alla recente campagna elettorale statunitense arrivando anche ai candidati a Presidente Usa Donald Trump e Kamala Harris. Anche infrastrutture critiche, come quelle energetiche e di difesa, sono state prese di mira per raccogliere informazioni strategiche e potenzialmente preparare operazioni di sabotaggio.
L’attacco ha avuto ripercussioni gravi. Le aziende colpite devono affrontare costi enormi per ripristinare la sicurezza e una perdita significativa di fiducia da parte dei clienti, mentre a livello geopolitico le tensioni tra Stati Uniti e Cina sono aumentate, con accuse reciproche di spionaggio.
L’analisi di threat intelligence, condotta da aziende con lunga esperienza nel settore come Kaspersky e ESET, ha permesso di mappare l’operazione e individuare le tecniche e gli strumenti impiegati, ma l’incidente evidenzia la vulnerabilità delle infrastrutture globali e la necessità di un rafforzamento delle difese cibernetiche. Gli Stati Uniti hanno reagito creando una task force multi-agenzia e attraverso la condivisione indicatori di compromissione con la comunità internazionale per prevenire ulteriori attacchi.
Un evento che sottolinea una tendenza già in atto ormai da più di una decina d'anni: il cyberspazio è diventato un campo di battaglia per conflitti geopolitici. Investire in tecnologia, formazione e consapevolezza sarà essenziale per proteggere sistemi critici e affrontare le sfide di un mondo sempre più interconnesso.
2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".