La visita della speaker della Camera statunitense Nancy Pelosi a Taiwan ad agosto ha avuto anche una ricaduta sul piano della cyber security, come ambito del conflitto ibrido tra Cina, Usa e Taiwan.
Indice degli argomenti
Gli attacchi cyber della Cina a Taiwan
Sappiamo che la visita è stato considerata dalla Cina come una violazione alla sovranità della Repubblica; in risposta, Pechino ha avviato una serie di esercitazioni militari senza precedenti attorno all’isola.
Cina, attacchi cyber e disinformazione su Taiwan (e USA): prove tecniche di invasione
- E appunto, attacchi informatici Ddos che hanno bloccato siti governativi di Taiwan.
- Ma anche ci sono stati tentativi di disinformazione di massa su social, da parte cinese.
Taipei non ha accusato direttamente il Governo cinese degli attacchi informatici, ma ha affermato che tali eventi hanno avuto origine da indirizzi IP situati in Cina e Russia e che le aziende i cui display sono stati modificati avevano utilizzato un software cinese che avrebbe potuto contenere una backdoor o un malware trojan horse.
Un’organizzazione di ricerca sulla sicurezza informatica ha affermato che gli attacchi sono stati probabilmente lanciati da hacktivisti piuttosto che dal Governo cinese. Il gruppo APT 27, accusato dalle autorità occidentali di essere sponsorizzato da Pechino, ha rivendicato la responsabilità delle violazioni, affermando in un video pubblicato su YouTube che rappresentavano una forma di protesta contro il modo in cui Pelosi aveva sfidato gli avvertimenti della Cina. Nel video, il gruppo ha informato anche di aver spento 60.000 dispositivi connessi a Internet.
L’anteprima di una guerra cyber aperta
Gli attacchi informatici, combinati con le esercitazioni missilistiche, forniscono un’anteprima di cosa potrebbe comportare un’invasione da parte della Cina. In caso di un assalto militare a Taiwan, Pechino lancerebbe per prima cosa un attacco alla sicurezza informatica debilitante alle infrastrutture chiave dell’isola, come ad esempio la sua rete elettrica.
Un’invasione militare diretta costerebbe vite umane e mobiliterebbe le forze statunitensi per la difesa di Taiwan; invece, secondo Chen Yi-fan, Assistant Professor del Dipartimento di Diplomazia e Relazioni Internazionali all’Università di Tamkang, gli attacchi informatici potrebbero seminare il caos e indebolire le difese di Taiwan, rendendo potenzialmente l’invasione meno costosa per Pechino.
Queste operazioni darebbero vita ad una vera e propria guerra psicologica, secondo quanto sostenuto dal Portavoce del Governo taiwanese Lo Ping-cheng.
I precedenti: 2020 e 2022
Nel 2020, un’indagine della società di sicurezza di Taiwan CyCraft ha rivelato quanto profondamente un singolo gruppo hacker cinese sia riuscito a penetrare in un settore al centro dell’economia taiwanese, ossia l’industria dei semiconduttori. Si tratta di una campagna denominata “Operazione Skeleton Key”, che ha compromesso almeno sette aziende di chip negli ultimi due anni. La serie di intrusioni mirava a rubare quanta più proprietà intellettuale possibile, inclusi codici sorgente, kit di sviluppo software e progetti di chip.
A febbraio 2022, un APT vicino al Governo cinese è stato collegato a un attacco organizzato alla catena di approvvigionamento del settore finanziario di Taiwan. Si dice che gli attacchi siano iniziati alla fine di novembre 2021 con intrusioni attribuite ad APT10. L’attività di infiltrazione, denominata in codice “Operazione Cache Panda”, ha sfruttato una vulnerabilità nell’interfaccia di gestione web di un software largamente diffuso a Taiwan, utilizzandola per inserire una shell web che funge da condotto per impiantare Quasar RAT. Si tratta di un trojan di accesso remoto (RAT) open source, disponibile pubblicamente. Le sue funzionalità includono l’acquisizione di schermate, la registrazione delle webcam, la modifica del registro, il keylogging e il furto di password. Inoltre, gli attacchi hanno sfruttato un servizio di condivisione di file cloud cinese chiamato wenshushu.cn per scaricare strumenti ausiliari.
Symantec ha affermato in un rapporto che le intrusioni hanno portato al dispiegamento di una backdoor chiamata xPack, garantendo un ampio controllo sulle macchine compromesse.
L’elemento rilevante di questa campagna è la quantità di tempo in cui l’attore della minaccia si è nascosto all’interno delle reti delle vittime, offrendo agli operatori ampie opportunità per ricognizioni dettagliate ed esfiltrazioni di informazioni relative a contatti commerciali e investimenti senza destare alcun segnale d’allarme.
La gravità dei nuovi attacchi
Eryk Waligora, specialista di intelligence sulle minacce informatiche di Accenture, ritiene che questi attacchi siano stati sicuramente peggiori rispetto a ciò che è avvenuto ad inizio agosto, dato che hanno costretto diverse banche a sospendere le transazioni online. Tuttavia, se considerati insieme alle esercitazioni militari svolte dalla Cina, gli ultimi hacking hanno avuto lo scopo di simulare una reale invasione. Il Governo cinese non ha risposto alle accuse, né lo ha fatto la Cyberspace Administration of China, che regolamenta il servizio internet del Paese.
La disinformazione cinese
Contemporaneamente agli attacchi condotti contro i settori strategici di Taiwan, gli hacker vicini a Pechino avrebbero diffuso attraverso le reti sociali varie notizie false volte a legittimare le azioni della Repubblica Popolare e a lanciare accuse contro gli Stati Uniti.
Il 4 agosto, Mandiant ha identificato una campagna di operazioni informative (IO) attualmente in corso, iniziata alcuni mesi prima della visita di Nancy Pelosi. Questa operazione sfrutta una rete di almeno 72 siti, di cui 59 domini e 13 sottodomini, i quali diffondo notizie tramite profili social sospetti per promuovere gli interessi politici della Cina in America del Nord, Europa, Asia e Medio Oriente. I siti si presentano principalmente come organi di informazione indipendenti e pubblicano contenuti in 11 lingue. Sulla base degli indicatori tecnici, si ritiene che questi siti siano collegati alla società di pubbliche relazioni Shanghai Haixun Technology Co.
In base alle ricerche di Mandiant, quasi tutti i siti, compresi quelli che si presentano come organi di informazione statunitensi, sono costruiti con un modello HTML in lingua cinese. Molti fra questi rimandano direttamente ad altri siti della rete, di solito altri organi di informazione con focus regionale.
I contenuti promossi avversano apertamente gli Stati Uniti e i loro alleati e cercano di creare un’immagine favorevole della Cina a livello internazionale. Oltre a sostenere la visione filo-governativa riguardo allo Xinjiang e a Hong Kong, la campagna ha lo scopo di screditare personalità che esprimono posizioni critiche nei confronti di Pechino, tra cui l’uomo d’affari Guo Wengui (Miles Kwok) e l’antropologo tedesco Adrian Zenz, noto per le sue ricerche sulla popolazione uigura e per le sue denunce sulle presunte violazioni perpetrate dalle autorità cinesi.
Date le peculiari tattiche, tecniche e procedure (TTP) impiegate, questa campagna è stata denominata “HaiEnergy”, a causa dell’uso di infrastrutture attribuite a Haixun e di servizi pubblicizzati come “pacchetti di energia positiva”. In particolare, il termine “energia positiva” è stato largamente impiegato in seguito all’ascesa di Xi Jinping in riferimento a messaggi che ritraggono positivamente il Partito Comunista, il Governo e le sue politiche.
Per quanto riguarda le tensioni con Washington per ciò che concerne Taiwan, un articolo pubblicato su diversi siti, tra cui uno che sostiene di essere una testata taiwanese, ha affermato che la visita sull’isola dell’ex Segretario di Stato Mike Pompeo, nel marzo 2022, è stata motivata da interessi economici e dal suo presunto desiderio di candidarsi alla Presidenza degli Stati Uniti nel 2024. Inoltre, la Casa Bianca viene presentata come un alleato inaffidabile, sostenendo che Taipei non dovrebbe aspettarsi che siano inviate truppe per difenderla in caso di un’invasione.
Un’altra campagna di propaganda filo-cinese, definita da Mandiant “DRAGONBRIDGE”, è stata lanciata nel 2019 per screditare le proteste verificatesi ad Hong Kong.
Successivamente, le sue attività sono state finalizzate a promuovere la politica di Pechino e a stigmatizzare i suoi rivali. Tra i soggetti interessati, figura l’azienda produttrice di terre rare australiana Lynas Rare Earths Ltd, principale competitor a livello globale delle imprese cinesi del settore.
Nonostante le capacità e la portata globale di queste notizie, sembra che queste campagne non siano riuscite a generare un coinvolgimento sostanziale. In particolare, nonostante un numero elevato di follower, i post politici non sono riusciti a generare squilibri nei Paesi occidentali.
Allo stesso tempo, queste operazioni hanno dimostrato come i social network possano essere usati come cassa di risonanza per la diffusione di notizie false. Anche qualora questi profili fossero bloccati, gli hacker potrebbero sempre servirsi di una strategia recentemente svelata da NewsGuard in merito alle campagne di disinformazione filo-russe; gli hacker potrebbero creare siti “dormienti”, i quali vengono lasciati inattivi, in modo da costruire lentamente un pubblico attraverso post innocui o non correlati, per poi passare alla propaganda in un momento stabilito.
