Nonostante sia stato sanzionato dalle autorità americane, il gruppo di hacker cinese Red Mike, allineato al gruppo Salt Typhoon, secondo la classificazione di Microsoft, continua a infiltrarsi nelle reti di telecomunicazioni globali, comprese quelle statunitensi e italiane, per esfiltrare informazioni scientifiche, proprietà industriale (PI) e tecnologia riservata.
Indice degli argomenti
Chi è e come opera il gruppo criminale Red Mike
Secondo un recente rapporto della società di sicurezza informatica statunitense Recorded Future, Salt Typhoon avrebbe compromesso i dispositivi di rete Cisco utilizzati da un’affiliata con sede negli Stati Uniti, quelli riconducibili a fornitori di telecomunicazioni del Regno Unito e del Sud Africa, nonché impiegati in Italia e Tailandia.
Sette dispositivi Cisco associati a queste aziende comunicavano con gli hacker cinesi.
Il gruppo, le cui attività di hacking hanno colpito i più alti livelli del governo degli Stati Uniti, tra dicembre 2024 e gennaio 2025 ha tentato di sfruttare più di mille dispositivi di rete del colosso tecnologico Cisco, utilizzando “le vulnerabilità di privilege escalation CVE- 2023-20198 e CVE-2023-20273 per compromettere i dispositivi […] senza patch che eseguono il software Cisco IOS XE”.
Vulnerabilità senza patch
Cisco ha dichiarato di essere consapevole delle vulnerabilità rilevate nel rapporto. “Ad oggi, non siamo stati in grado di convalidare queste affermazioni ma continuiamo a rivedere i dati disponibili, ha detto a The Epoch Times un portavoce dell’azienda.
La società ha notato che aveva emesso un avviso di sicurezza nel 2023 sulle vulnerabilità dei clienti, dicendo loro di applicare “urgentemente la correzione del software disponibile”.
“Consigliamo vivamente ai clienti di applicare le patch alle vulnerabilità note che sono state divulgate e di seguire le migliori pratiche del settore per la protezione dei protocolli di gestione”, ha dichiarato il portavoce di Cisco.
Il rapporto di Recorded Future fa seguito a quello pubblicato il 12 febbraio scorso da Google Threat Intelligence Group (GTIG), secondo cui Russia, Cina, Iran e Corea del Nord starebbero sempre più cooptando gruppi di criminali informatici per portare avanti le loro ambizioni geopolitiche ed economiche.
Un’azione globale
Secondo Recorded Future, il gruppo avrebbe probabilmente compilato un elenco di dispositivi target in base alla loro associazione con le reti dei fornitori di telecomunicazioni, prendendo di mira dispositivi associati ad università in Argentina, Bangladesh, Indonesia, Malesia, Messico, Paesi Bassi, Tailandia, Stati Uniti e Vietnam.
“È possibile che RedMike abbia preso di mira queste università per accedere alla ricerca in aree legate alle telecomunicazioni, all’ingegneria e alla tecnologia, in particolare presso istituzioni come Ucla e TU Delft”, sostiene la società di sicurezza informatica.
Oltre a ciò, a metà dicembre 2024, il gruppo hacker ha anche effettuato una ricognizione di più indirizzi IP di proprietà della Mytel, un fornitore di telecomunicazioni con sede in Myanmar.
Rischio per la sicurezza nazionale
“I dispositivi non patchati rivolti al pubblico sono punti di accesso diretto all’infrastruttura di un’organizzazione”, precisa Recorded Future. Negli ultimi cinque anni, sofisticati gruppi di minacce cinesi si sono orientati verso lo sfruttamento di questi dispositivi per ottenere l’accesso iniziale.
Lo sfruttamento delle infrastrutture di telecomunicazione da parte di RedMike, tuttavia, va oltre le vulnerabilità tecniche e rappresenta una minaccia strategica di intelligence. L’accesso persistente alle reti di comunicazione critiche consente agli attori delle minacce sostenuti dagli Stati di monitorare conversazioni riservate, manipolare i flussi di dati e interrompere i servizi durante i conflitti geopolitici. “Il fatto che RedMike abbia preso di mira programmi di intercettazione legali e personalità politiche statunitensi evidenzia gli obiettivi strategici dell’intelligence dietro queste operazioni e la minaccia alla sicurezza nazionale che esse rappresentano”.
Per questo, “le organizzazioni, in particolare quelle del settore delle telecomunicazioni, devono dare priorità alla correzione dei dispositivi di rete esposti, poiché i sistemi senza patch rimangono un vettore di accesso iniziale fondamentale per i gruppi di minacce sponsorizzati dallo Stato cinese.
Raccomandata la crittografia end-to-end ed altre best practice
Gli amministratori di rete devono implementare controlli di accesso rigorosi, disabilitare l’esposizione di UI web non necessarie e monitorare le modifiche di configurazione non autorizzate.
Le persone dovrebbero utilizzare metodi di comunicazione crittografati end-to-end per le informazioni sensibili, proprio come raccomandato dalla Cybersecurity and Infrastructure Agency (CISA) e dal Federal Bureau of Investigation (FBI), che è fondamentale per mitigare i potenziali rischi di intercettazione.
Inoltre, i governi e gli enti di sicurezza informatica dovrebbero migliorare la condivisione delle informazioni sulle minacce e imporre una conformità normativa più rigorosa per la sicurezza delle reti.
Sebbene le sanzioni imposte dagli Usa alla Sichuan Juxinhe Network Technology, affiliata a RedMike segnalino una posizione più assertiva e lodevole contro lo spionaggio informatico sostenuto dallo Stato nelle infrastrutture critiche, “una solida cooperazione internazionale è fondamentale per contrastare efficacemente queste minacce persistenti”, avverte il rapporto.
La tecnica di infiltrazione di Red Mike
RedMike ha tentato di sfruttare i dispositivi di rete Cisco collegati ad Internet “utilizzando una combinazione di due vulnerabilità di privilege escalation: CVE-2023- 20198 e CVE-2023-20273.
Una volta compromesso, il gruppo utilizza il nuovo account utente privilegiato per modificare la configurazione del dispositivo e aggiunge un tunnel GRE per l’accesso persistente e l’esfiltrazione dei dati.
La vulnerabilità di privilege escalation CVE-2023-20198 è presente nella funzione Web UI del software Cisco IOS XE, versione 16 e precedenti, e pubblicata da Cisco nell’ottobre 2023.
Gli aggressori sfruttano questa vulnerabilità per ottenere l’accesso iniziale al dispositivo ed emettere un comando di privilegio 15 per creare un utente e una password locali.
Successivamente, l’aggressore utilizza il nuovo account locale per accedere al dispositivo e sfrutta una vulnerabilità di escalation dei privilegi associata, CVE-2023-20273, per ottenere i privilegi di utente root”.
Obiettivo di Red Mike: rubare informazioni ed esfiltrare tecnologia
Spesso coinvolte in ricerche all’avanguardia, le università sono obiettivi primari per i gruppi di attività di minaccia sponsorizzati dallo Stato cinese per acquisire preziosi dati di ricerca e proprietà intellettuale.
Esempi precedenti includono :
- APT40, che ha preso di mira le università per la ricerca biomedica, robotica e marittima;
- RedGolf (APT41) per la ricerca medica;
- RedBravo (APT31), che ha messo nel mirino direttamente gli accademici.
La strategia informatica della Cina si allinea con i suoi obiettivi economici e militari più ampi, rendendo le università obiettivi di alto valore per la raccolta di informazioni e l’acquisizione di tecnologie a lungo termine.
La guerra informatica di stato
Lo spionaggio informatico sponsorizzato dallo Stato cinese costituisce solo una parte della più ampia attività rientrante nel perimetro della guerra informatica.
Mandiant Threat Intelligence (una delle più importanti società di intelligence di sicurezza informatica a livello globale) afferma che, dopo la ri-strutturazione militare e dell’intelligence voluta da Xi Jinping nel 2016, la tecnica utilizzata dai gruppi di spionaggio informatico affiliati alla Cina si è costantemente evoluta, diventando più furtiva ed agile.
Secondo Mandiant, l’attività di spionaggio informatico di Pechino fa capo sia al Ministero della Sicurezza di Stato (MSS) che alla PLA. Ma presenta differenze per ambito geografico, allineamento delle operazioni e vittime.
Mentre i gruppi di minaccia affiliati ai Comandi di Teatro operativo della PLA, come Tonto Team e TEMP e Overboard, concentrano le operazioni all’interno delle aree di responsabilità dei rispettivi Comandi, quelli di MSS, come APT41, APT5 e APT10, operano in ambito geografico molto più ampio, come Usa, Europa, America Latina, Caraibi e Nord America.
Controspionaggio di stato
In sostanza, l’MSS conduce operazioni di controspionaggio interno, di intelligence straniera non militare e supporta aspetti della sicurezza politica.
Anche le università cinesi collaborano con la PLA e il MSS per svolgere operazioni di cyber spionaggio sponsorizzate dallo Stato.
Le intrusioni informatiche consentono alle aziende cinesi, in alcuni casi agendo sotto la direzione del PCC o con l’assistenza del governo (il cyberspionaggio di Stato), di accedere alle informazioni sulle operazioni proprietarie delle aziende straniere e sulle informazioni sul finanziamento dei progetti, nonché di rubare IP e tecnologia.
La Cina utilizza campagne di spionaggio informatico coordinate e sostenute dal governo per rubare informazioni da una varietà di società commerciali estere, comprese quelle dell’industria petrolifera ed energetica, siderurgica e aeronautica.
Il cyber spionaggio è sia un mezzo per rubare scienza e tecnologia a Stati esteri, sia un metodo di raccolta di informazioni per potenziali attacchi contro i sistemi
tecnici militari, governativi e commerciali di Paesi target.
“La Rpc ha perpetrato il più grande trasferimento illegittimo di ricchezza nella storia umana, rubando innovazione tecnologica e segreti commerciali da aziende, Università e dai settori della difesa degli Usa e di altre nazioni”, ha concluso un gruppo di esperti della Casa Bianca.
I precedenti
Il gruppo è stato responsabile della violazione e del furto di documenti dell’Office of Foreign Assets Control del Dipartimento del Tesoro, l’ente che applica le sanzioni economiche e commerciali degli Usa.
In precedenza aveva anche compromesso almeno nove importanti reti di telecomunicazioni statunitensi, tra cui Verizon, AT&T e CenturyLink.
Le intrusioni di Salt Typhoon hanno raggiunto i livelli più alti del governo statunitense. L’operazione aveva come obiettivo le comunicazioni telefoniche di alti esponenti politici, prendendo di mira il presidente Donald Trump e il vicepresidente JD Vance, nonché la campagna dell’allora vicepresidente Kamala Harris in vista delle elezioni presidenziali del 2024.
Gli esperti di sicurezza informatica hanno informato il Senato degli Stati Uniti, la CISA ha recentemente pubblicato una guida per il rafforzamento delle infrastrutture di telecomunicazione e la CISA e l’FBI hanno emesso un avviso congiunto che incoraggia l’uso di applicazioni di messaggistica end-to-end crittografate per le comunicazioni sensibili.
