Ci sarebbero “squadre di hacker sostenute dallo Stato cinese” dietro a un’operazione avviata nel maggio scorso che ha portato alla violazione della posta elettronica di funzionari governativi americani e europei, oltre due dozzine di enti, tra cui il Dipartimento di Stato, il Dipartimento del Commercio degli Stati Uniti, il Segretario al Commercio Gina Raimondo e altri membri della Camera dei Rappresentanti.
Il furto di dati sarebbe avvenuto attraverso l’uso di token di autenticazione contraffatti che hanno permesso un ampio accesso, ma allo scopo di colpire un numero più ristretto di account, comprendenti mail governative specifiche di alto livello di ciascuna agenzia per fini di spionaggio.
La smentita della Cina non ha tardato ad arrivare, insieme all’accusa nei confronti dell’amministrazione Biden di condurre campagne di hacking aggressive. Nonostante ciò, secondo Microsoft, l’attacco cyber proviene dalla Cina per l’approccio chirurgico utilizzato per attaccare bersagli mirati.
La violazione ha colpito sistemi non classificati ed è stata rilevata solo a metà giugno quando ne è rimasto vittima il Dipartimento di Stato e a intervenire è stato il team di Microsoft. Sono stati poi notificati gli altri dipartimenti e le altre organizzazioni colpite.
Sicurezza informatica USA, il rischio sabotaggio da parte di hacker cinesi è altissimo: gli scenari
Indice degli argomenti
Violate e-mail di funzionari USA e UE: dinamiche dell’attacco
A quanto pare, l’attacco cyber contro gli enti governativi americani non è stato strutturato secondo uno schema particolare e il fattore scatenante è stato l’ondata di sanzioni nei confronti dei produttori di semiconduttori e delle aziende chimiche coinvolte nella produzione di fentanil.
Come già anticipato, il mezzo utilizzato è stato la chiave di firma del consumatore dell’account Microsoft (MSA) che a sua volta ha permesso di falsificare i token di autenticazione per specifici account governativi da colpire.
La funzione web di Outlook (OWA) e Outlook.com hanno permesso di accedere alla posta elettronica. Microsoft ha sostituito la chiave MSA e bloccato i token contraffatti, fermando, quindi, altre potenziali attività di cybercrime.
Nel frattempo, però, gli hacker cinesi hanno agito indisturbati per un mese circa, riuscendo a esfiltrare una notevole quantità di dati di Exchange Online, anche perché per notare l’attacco è stata necessaria una funzione di data-logging avanzata che è solo all’interno dell’abbonamento premium di Microsoft, non disponibile per tutte le agenzie federali.
Su quest’ultimo punto si è espresso Joseph Carson, Chief Security Scientist e Advisory CISO di Delinea, affermando che “Microsoft è diventata davvero uno dei principali fornitori di sicurezza al mondo e ha agito rapidamente per fermare gli aggressori prima che potessero essere causati danni gravi. È bello vedere che l’organizzazione si è assunta la responsabilità e la trasparenza dell’incidente per garantire che i professionisti della sicurezza siano consapevoli e pronti a rispondere quando necessario”.
E ha aggiunto che “il promemoria è che bisogna sempre presumere che ci sia una violazione e che un aggressore possa essere attivo sulla vostra rete e sulle vostre risorse. Pertanto, raccomandiamo alle organizzazioni di verificare periodicamente la presenza di attività anomale di credenziali e identità sulle loro reti, di modificare periodicamente le credenziali e di implementare forti controlli di sicurezza sull’accesso privilegiato che impediscano spostamenti laterali”.
Chi c’è dietro l’attacco
Secondo Microsoft, l’attacco subito dagli enti governativi americani è stato per mano del gruppo hacker “Storm-0558”, già da tempo attivo in Europa occidentale, per affinità di metodi e mezzi utilizzati con il noto gruppo cinese, Zirconium, sponsorizzato dallo Stato.
Il gruppo è solito colpire indirizzi di posta elettronica aziendali o governativi di alto spessore e ha già utilizzato il phishing in altri attacchi, oltre alla contraffazione dei token.
Attacchi come questo saranno sempre più frequenti, ma sicuramente con il passare del tempo la loro gestione sembra perfezionarsi man mano, come sostiene Willy Leichter, vicepresidente di Cyware, basti pensare alla “rapidità con cui organizzazioni come Microsoft reagiscono e intraprendono azioni definitive per fermare la diffusione.
In questo caso, le oltre tre settimane trascorse dalla segnalazione del problema alla sua risoluzione sono ben al di sopra della media del settore, ma lasciano comunque un ampio margine di esposizione. Ma rispetto a SolarWinds (che è stato sfruttato per mesi), stiamo facendo progressi”.
Equilibri sempre più precari
Per gli USA, la Cina prende piede da tempo sul podio degli avversari tecnicamente più avanzati e che investono di più economicamente e in risorse in ambito hacking. Questo ennesimo episodio di cyber crime di cui è stata accusata dal governo americano contribuisce a limare il già sottile equilibrio tra le due potenze.
Da entrambe le parti si susseguono da tempo azioni e accuse verso l’altra parte, la tensione sale e le continue provocazioni smentiscono ogni volta le loro volontà dichiarate di non voler arrivare allo scontro diretto. Un esempio tra tutti le numerose esercitazioni militari sia americane che cinesi nelle acque di Taiwan, in cui basterebbe così poco per innescare un duro conflitto.
In questo scenario, la necessità di stabilire un codice di condotta che possa evitare alle due potenze di ritrovarsi in guerra oggi è impellente. Nel 2014 l’allora presidente taiwanese Ma Ying-jeou aveva avanzato la proposta di un CoC, Code OF Conduct, mai concretizzato, valido per Taipei, Pechino e Tokyo durante le prove militari nello stretto di Taiwan. In questo modo sarebbe stato regolamentato lo spazio aereo e le acque del Mar Cinese Orientale e risolte le controversie relative alle zone di identificazione della difesa aerea.
Un codice di condotta, sul modello di quello proposto già anni fa, ed esteso anche a tutte le parti coinvolte, potrebbe offrire linee guida e protocolli di comportamento utili ad evitare una guerra tra le due potenze, considerando anche che, secondo studi condotti in merito da Martha Finnemore e Kathryn Sikkink, le norme influenzano il comportamento degli stati e la configurazione delle relazioni internazionali, con una trasformazione degli interessi e delle identità statali che favoriscono un cambiamento politico duraturo nel tempo.
