Negli ultimi mesi è emerso un quadro allarmante relativo alla sicurezza cibernetica delle infrastrutture di telecomunicazioni statunitensi: gli hacker legati alla Cina, identificati come Salt Typhoon, hanno mantenuto accesso persistente alle reti di diversi operatori, nonostante gli sforzi significativi da parte delle autorità americane per rilevare e contrastare l’intrusione.
Si tratta di una situazione che evidenzia criticità infrastrutturali di lungo corso e solleva interrogativi sul livello di preparazione del settore rispetto a minacce sempre più sofisticate.
Indice degli argomenti
Salt Typhoon e la persistenza nelle reti USA
Salt Typhoon rappresenta un gruppo di hacker legati allo Stato cinese, il cui obiettivo primario è l’esfiltrazione di dati sensibili dalle reti critiche delle telecomunicazioni.
L’intrusione è stata rilevata per la prima volta durante la tarda primavera, con indagini avviate dal Federal Bureau of Investigation (FBI) e dall’Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity (CISA). Dopo sei mesi, però, funzionari governativi hanno confermato che Salt Typhoon è ancora in grado di operare all’interno di queste infrastrutture, evidenziando le difficoltà nel rilevamento e nella rimozione degli attori malevoli.
L’accesso alle reti ha permesso al gruppo di raccogliere informazioni sulle comunicazioni statunitensi, in particolare individuando modelli di chiamata e traffico di messaggi. In alcuni casi specifici, Salt Typhoon ha intercettato direttamente messaggi di testo e chiamate telefoniche di individui di interesse, specialmente nell’area metropolitana di Washington D.C., dove risiedono molti funzionari governativi e personalità influenti.
Questi attacchi mirati suggeriscono un intento di spionaggio strategico finalizzato alla raccolta di informazioni riservate.
I metodi utilizzati da Salt Typhoon negli attacchi alle reti USA
Una delle peculiarità di questa intrusione risiede nei metodi utilizzati, descritti dalle autorità americane come “non particolarmente sofisticati”.
Gli hacker di Salt Typhoon non hanno introdotto strumenti tecnologici innovativi, ma hanno piuttosto sfruttato vulnerabilità preesistenti delle infrastrutture telecom. Tra queste, emergono fattori comuni.
In primis, la mancanza di monitoraggio: l’assenza di registrazioni sistematiche delle attività di rete ha reso difficile individuare anomalie nei flussi di comunicazione.
Molte apparecchiature continuano a operare con configurazioni, impostazioni e password di default, spesso ignorate o dimenticate dagli operatori.
Inoltre, sono risultate particolarmente vulnerabili infrastrutture telecom non aggiornate con le più recenti patch di sicurezza.
Queste falle, seppur note e documentate, dimostrano una generale mancanza di resilienza nel settore delle telecomunicazioni, con infrastrutture critiche che non sempre rispettano gli standard di sicurezza richiesti per contrastare minacce persistenti e avanzate.
Un serio rischio per la sicurezza nazionale USA
L’accesso ottenuto da Salt Typhoon non rappresenta solo una minaccia alla privacy individuale, ma anche un serio rischio per la sicurezza nazionale statunitense.
Le informazioni raccolte attraverso l’analisi dei metadati – quali identità dei mittenti e destinatari, orari delle comunicazioni e posizioni geografiche – possono essere utilizzate per ricostruire reti di relazioni strategiche.
Inoltre, l’intercettazione diretta di chiamate e messaggi di testo evidenzia l’obiettivo specifico di monitorare individui chiave all’interno dell’apparato governativo.
Funzionari governativi riportano che almeno otto operatori di telecomunicazioni e fornitori di servizi internet sono stati coinvolti in questo attacco. L’entità della compromissione suggerisce una vasta campagna di raccolta dati, condotta con precisione e metodo nel corso dei mesi precedenti.
In risposta all’attacco, FBI e CISA hanno pubblicato nuove linee guida per aiutare gli operatori del settore telecom a migliorare la sicurezza delle proprie reti.
Le raccomandazioni includono:
- implementazione di log completi per monitorare l’attività della rete;
- inventario aggiornato delle apparecchiature per identificare eventuali dispositivi non autorizzati o vulnerabili;
- cambio immediato delle password predefinite su tutti i dispositivi;
- applicazione di aggiornamenti software e patch di sicurezza per mitigare le vulnerabilità note.
Queste misure, sebbene basilari, risultano essenziali per impedire ulteriori compromissioni e ridurre la persistenza di attori malevoli all’interno delle reti.
Una prima risposta del governo statunitense
Come risposta temporanea, il governo statunitense ha consigliato ai propri dipendenti di utilizzare servizi di comunicazione crittografati per proteggere chiamate e messaggi sensibili. Strumenti con crittografia end-to-end, come applicazioni di messaggistica sicura, rappresentano al momento la soluzione più efficace per impedire intercettazioni dirette da parte di attori esterni.
Tuttavia, questa soluzione non affronta il problema strutturale delle vulnerabilità nelle reti telecom, che rimane una sfida a lungo termine.
La sicurezza delle infrastrutture critiche richiede un approccio globale, con investimenti mirati e un aggiornamento costante delle tecnologie utilizzate.
L’attacco di Salt Typhoon evidenzia una verità fondamentale: la sicurezza delle telecomunicazioni non può essere considerata una sfida isolata, ma un problema globale che richiede una risposta coordinata tra governi, operatori e istituzioni internazionali.
Una standardizzazione internazionale per la sicurezza delle reti
La natura stessa delle reti di telecomunicazione, che si estendono oltre i confini nazionali, implica che vulnerabilità in un paese possono avere ripercussioni globali.
La necessità di una standardizzazione internazionale degli approcci alla sicurezza delle reti diventa quindi urgente. La creazione di linee guida condivise, aggiornate e adottate su scala globale potrebbe limitare i punti di ingresso sfruttabili da attori malevoli.
In questo contesto, è essenziale anche favorire la condivisione di intelligence sulle minacce cibernetiche tra i paesi.
La tempestiva comunicazione di vulnerabilità scoperte e l’adozione di buone pratiche condivise possono accelerare la capacità di rilevamento e risposta, creando una rete di difesa globale più resiliente.
Senza un fronte comune, gli sforzi di sicurezza resteranno frammentati, lasciando punti deboli facilmente sfruttabili.
La cooperazione internazionale, attraverso accordi bilaterali e multilaterali, è quindi un passaggio obbligato per affrontare efficacemente minacce che non riconoscono confini e che mettono a rischio la stabilità delle infrastrutture digitali globali.
Sul lungo termine, sarà fondamentale un rinnovamento infrastrutturale che garantisca resilienza e sicurezza di fronte a minacce sempre più avanzate e coordinate.
La cooperazione tra settore pubblico e privato, unita a investimenti mirati, rappresenta l’unica strada percorribile per proteggere le reti di telecomunicazione e i dati sensibili da intrusioni simili in futuro.
