Una società di sicurezza informatica con sede negli Stati Uniti, per il tramite del Gruppo Insikt — braccio di ricerca —ha elaborato un dettagliato rapporto, pubblicato lo scorso 28 luglio, su un presunto attacco hacker cinese di cyber spionaggio ai danni del Vaticano e dal quale emerge anzitutto il contesto di fondo: targeting di e-mail appartenenti a figure religiose cristiane cinesi.
In particolare, si legge, «… le filiali regionali del Ministero della Pubblica Sicurezza (MPS) cinese sono state fortemente coinvolte nella sorveglianza digitale delle minoranze etniche e religiose all’interno della Repubblica Popolare Cinese (RPC), in particolare dall’Ufficio di pubblica sicurezza dello Xinjiang (XPSB)».
Sempre secondo questo studio condotto dalla predetta società di sicurezza «storicamente, la RPC ha avuto un rapporto molto turbolento con il Vaticano e il suo organo di governo, la Santa Sede. In particolare, il riconoscimento da parte della Santa Sede dei vescovi all’interno della chiesa cattolica “sotterranea” storicamente perseguitata in Cina tradizionalmente fedele al Vaticano e le sue relazioni con Taiwan hanno mantenuto un’assenza di relazioni ufficiali dagli Anni 50. […] Nel settembre 2018, la RPC e la Santa Sede hanno raggiunto un accordo provvisorio biennale di riferimento, segnando un significativo passo verso rinnovate relazioni diplomatiche».
In base a tale accordo, in sostanza, la Cina riguadagnerebbe un maggiore controllo anche sul Vaticano oltre che sulle “Chiese sotterrane”.
Senza scendere nel merito, men che meno delle critiche — molte delle quali, tra le più aspre, parrebbero arrivate dal Clero di Hong Kong — nel 2019, cioè ad un anno di distanza dall’accordo, svariati rapporti hanno rilevato «il silenzio del Vaticano in risposta alle proteste di Hong Kong» soprattutto dalla fine del 2019, con uno sforzo, così definito dai critici, onde evitare di “offendere Pechino e compromettere l’accordo del 2018”.
Indice degli argomenti
Attacco hacker al Vaticano: lo scenario
Secondo il citato rapporto americano, nell’attacco hacker al vativano sarebbe stata usata una lettera di cordoglio contraffatta inviata dal Cardinale Pietro Parolin, Segretario di Stato Vaticano, in occasione del decesso di un Vescovo cinese. Il loro obiettivo era quello di ottenere l’accesso alle comunicazioni vaticane.
I ricercatori hanno dichiarato «di aver scoperto una campagna di cyber spionaggio attribuita a un sospetto gruppo di hacker state sponsored cinesi che hanno definito RedDelta» per giungere alla conclusione che «… la sospetta intrusione in Vaticano offrirebbe a RedDelta una panoramica della posizione negoziale della Santa Sede prima del rinnovo dell’accordo di settembre 2020. Il targeting della Missione di studio di Hong Kong e della sua diocesi cattolica potrebbe anche fornire una preziosa fonte di informazioni sia per il monitoraggio delle relazioni della diocesi con il Vaticano sia per la sua posizione sul movimento democratico di Hong Kong tra proteste diffuse e la recente radicale legge sulla sicurezza nazionale di Hong Kong».
Il trojan usato dagli hacker cinesi, pertanto, sarebbe stato individuato, come sopra accennato, in una presunta lettera di cordoglio per la morte del vescovo cinese Joseph Ma Zhongmu della diocesi di Yinchuam/Ningxia da parte del Cardinale Pietro Parolin, il responsabile della Segreteria di Stato Vaticana, e mandata per e-mail alla Holy See Study Mission di Hong Kong.
La missiva sembrerebbe essere stata firmata (per conto di Parolin) dall’Arcivescovo Edgar Pena Parra, sostituto della segreteria di Stato.
Il testo della lettera ha, comunque, fatto emergere un lavoro di hackeraggio “molto sofisticato”.
I dettagli dell’attacco hacker al Vaticano
Il predetto rapporto americano spiega come la presunta lettera infetta (su cui torneremo più avanti), indirizzata direttamente ad individuo specifico, sia stata utilizzata per condurre un pesante attacco “ambivalente”, nel senso che da un lato parrebbe un tentativo di spear phishing e dall’altro un vero e proprio attacco di pirateria informatica.
Dalle analisi effettuate, infatti, sembrerebbe che gli hacker abbiano preso di mira direttamente i computer vaticani in quanto sono stati identificati segni di intrusione all’interno della rete vaticana, con la conseguenza che la famosa “esca” usata per far cadere in trappola la vittima nel phishing sia stata inviata attraverso un account vaticano, verosimilmente già compromesso.
Secondo il suddetto rapporto, due sarebbero le fasi caratterizzanti detto attacco:
- prima fase: sarebbe avvenuta dalla metà di maggio del 2020 fino al 10 giugno. Secondo l’Analisi tecnica effettuata «gli host vaticani e di altre organizzazioni vittime dell’hackeraggio hanno continuato a comunicare con il malware PlugX C2 per tutto il primo periodo»;
- seconda fase: dal 10 giugno, quando è scattata la seconda fase iniziando, secondo l’Analisi tecnica «a “funzionare” un secondo cluster Cobalt Strike e Poison Ivy, sempre malware». Quest’ultimo avrebbe «un altro indirizzo IP italiano 154.213.21[.]70, servito per l’attacco all’infrastruttura vaticana e agli host vaticani, e configurato un falso dominio simile ad uno Microsoft usato per prendere il comando e il controllo degli host vaticani infettati».
Il fatto che siano coinvolti anche indirizzi IP italiani fa entrare in gioco, nelle indagini, anche gli investigatori nazionali pre-allertando gli Organismi di Sicurezza del Sistema Paese[1].
Analisi del malware usato nell’attacco hacker al Vaticano
Sempre da quanto si evince dal rapporto americano, relativamente al malware utilizzato dagli hacker cinesi, «sebbene vi sia una notevole sovrapposizione di targeting e infrastruttura tra questa campagna RedDelta[2] e l’attività Mustang Panda segnalata pubblicamente, ci sono alcune deviazioni nelle tattiche, nelle tecniche e nelle procedure (TTPs) utilizzate in entrambi. Ad esempio, Mustang Panda ha in genere utilizzato file Windows Shortcut (LNK) contenenti un file HTA (Applicazione HTML) incorporato con uno script VBScript o PowerShell per caricare payload PlugX e Cobalt Strike Beacon. Tuttavia, in questa campagna, RedDelta ha utilizzato file ZIP contenenti eseguibili legittimi mascherati da documenti di richiamo. Questo eseguibile legittimo viene utilizzato per caricare una DLL dannosa presente anche nel file ZIP tramite il sideloading della DLL, prima che alla destinazione venga mostrato un documento di richiamo. Mentre Mustang Panda ha utilizzato il sideload DLL in precedenza, la variante PlugX utilizzata in associazione con questa campagna presenta differenze chiave rispetto alle varianti PlugX più tradizionali, in particolare nel protocollo C2 utilizzato e nella codifica di configurazione all’interno degli esempi, portandoci a fare riferimento a esso come “RedDelta PlugX”. Tuttavia, ciò non intende suggerire che questa variante sia utilizzata esclusivamente da questo gruppo ed è in riferimento al primo gruppo che abbiamo visto utilizzando questa variante».
Diocesi di Hong Kong e presentimenti dal Vaticano
Nella metà di luglio, gli hacker associati al governo cinese avrebbero ripetutamente attaccato funzionari della Diocesi di Hong Kong con documenti dall’aspetto legittimo che installano effettivamente malware sul computer dell’utente.
Detto virus conteneva applicazioni dall’aspetto legittimo che caricavano un documento o un articolo di notizie relativi alla Chiesa cattolica, ma in realtà era fonte di installazione di malware sul computer dell’utente, ad insaputa dell’utente naturalmente.
L’obiettivo degli attacchi, presumibilmente iniziati da maggio, è chiaramente quello di infiltrarsi nelle reti informatiche vaticane, tra cui la Holy See Study Mission di Hong Kong, una tra le missioni più strategiche della Santa Sede nel mondo essendo il collegamento con le diocesi della Cina.
La Legatura Apostolica di Hong Kong, nell’estate del 2019, all’inizio dei moti di protesta, decise di trasferire segretamente, presso le Filippine, tutti i documenti più riservati. Poco dopo, il Vaticano li riportò alla Santa Sede per paura che venissero sequestrati o distrutti dai militari e dall’intelligence cinese. Da lì a poco l’arrivo degli hacker.
Oltretutto, secondo il citato rapporto americano, «il targeting della diocesi cattolica di Hong Kong è probabilmente una preziosa fonte di informazioni sia per il monitoraggio della posizione della diocesi sul movimento democratico di Hong Kong sia per le sue relazioni con il Vaticano. Ciò segna un possibile precursore di maggiori limiti alla libertà religiosa all’interno della regione amministrativa speciale, in particolare laddove coincida con posizioni favorevoli alla democrazia o anti-Pechino».
Probabilmente, dunque, il Vaticano aveva avuto un presentimento nel senso che i vertici ecclesiastici percepivano le insidie pechinesi che, di fatto, ad oggi hanno spiato il Vaticano.
Lo spionaggio cinese nella Chiesa Cattolica
Che la Cina abbia spiato il Vaticano, non parrebbe una novità.
Tuttavia, secondo Agostino Giovagnoli, (UniCatt) «la Santa Sede è consapevole di certe operazioni di Pechino. “Non dovrebbero esserci conseguenze particolari” in vista dell’accordo».
Dalle rivelazioni del New York Times e dalle indagini accennate, l’attacco sarebbe «un evidente sforzo di spionaggio prima dell’inizio di delicati negoziati con Pechino», quantunque Wang Wenbin, portavoce del Ministero degli Esteri pechinese, abbia respinto le accuse negando qualsivoglia coinvolgimento di Pechino asserendo, in primis, che debbono «… essere fornite prove sufficienti quando si indagano e si determinano la natura degli incidenti sulla cybersecurity…e, non dovrebbero essere fatte ipotesi arbitrarie».
Tuttavia, il solo suo intervento insospettisce.
Dalla Santa Sede, al momento, nessun commento ancora. Tuttavia, il Segretario generale del Pontificio istituto missioni estere, ha «… comunicato a tutti i membri malfunzioni e blocchi nella posta elettronica per settimane».
Insomma, tanti elementi che fanno pensare ad un vero e proprio atto di cyber spionaggio.
Conclusioni
Le intrusioni, dunque, da parte degli hacker cinesi avrebbero permesso a RedDelta di comprendere il posizionamento della diplomazia pontificia in merito al rinnovo dell’accordo fra Cina e Santa Sede.
L’eventuale prolungamento dello stesso è all’attenzione di diverse parti.
Non è un mistero che la Casa Bianca non abbia visto con buon occhio le aperture della Santa Sede alla Cina, per gli importanti benefici economici che potrebbero essere apportati al “colosso asiatico”.
In sostanza, una geopolitica vaticana forse troppo oriental oriented.
Ma quale l’obiettivo ultimo che emerge da detto attacco hacker al vaticano? Probabilmente, carpire la linea vaticana sui colloqui di settembre con gli emissari di Xi; con il fondato sospetto, purtroppo, che i pirati informatici si siano impossessati non solo di documenti relativi all’accordo, ma anche di altri dossier scottanti.
NOTE
- Dal 27 luglio sono partiti, infatti, gli approfondimenti della Gendarmeria di Oltretevere guidata da Gianluca Gauzzi Broccoletti (Responsabile dal lontano 1999 della Progettazione e Sviluppo della Infrastruttura di tecnologia di networking di sicurezza della Città del Vaticano e di Cyber Security). ↑
- Sempre seconfo il Rapporto, «RedDelta è un gruppo di attività di minaccia altamente attivo destinato a entità rilevanti per gli interessi strategici cinesi. Nonostante il costante uso da parte del gruppo di strumenti noti come PlugX e Cobalt Strike, il riutilizzo dell’infrastruttura e gli errori di sicurezza delle operazioni, queste intrusioni indicano che RedDelta è ancora incaricata di soddisfare i requisiti di intelligence. In particolare, questa campagna dimostra un chiaro obiettivo di colpire gli enti religiosi, e pertanto riteniamo che ciò sia particolarmente pertinente per le organizzazioni religiose e non governative (ONG) per prendere atto e investire in difese di rete per contrastare la minaccia rappresentata da sponsor statali cinesi gruppi di attività di minaccia come RedDelta» ↑
