Gli hacker cinesi hanno attaccato il governo keniota con una serie di raid digitali diffusi e pluriennali condotti contro ministeri chiave e istituzioni statali, secondo tre fonti, rapporti investigativi sulla sicurezza informatica e l’analisi della Reuters dei relativi dati tecnici.
Due fonti hanno affermato, riferisce Infobae, che l’obiettivo degli hack era, almeno in parte, quello di ottenere informazioni sul debito della nazione dell’Africa orientale nei confronti di Pechino: il Kenya è un collegamento strategico nella Belt and Road Initiative, il piano di Xi Jinping per creare un rete infrastrutturale.
Sicurezza informatica USA, il rischio sabotaggio da parte di hacker cinesi è altissimo: gli scenari
Indice degli argomenti
Cyber spionaggio cinese: il caso Kenya
Nel luglio 2021, un appaltatore della difesa ha scritto un rapporto di ricerca per clienti privati affermando che ” sono possibili ulteriori impegni in quanto è necessario comprendere le future strategie di sconto”.
Il ministero degli Esteri cinese ha dichiarato di “non essere a conoscenza” di tale hacking, mentre l’ambasciata cinese in Gran Bretagna ha definito le accuse “prive di fondamento”, aggiungendo che Pechino si oppone e combatte “gli attacchi informatici e il furto in tutte le sue forme”.
L’influenza della Cina in Africa è cresciuta rapidamente negli ultimi due decenni. Ma, come molte nazioni africane, le finanze del Kenya sono sotto pressione a causa dell’aumento del costo del debito estero, gran parte del quale è dovuto alla Cina.
La campagna di hacking dimostra la volontà della Cina di utilizzare le sue capacità di spionaggio per monitorare e proteggere gli interessi economici e strategici all’estero, riferisce Infobae.
L’hacking è frutto di una campagna triennale che ha preso di mira otto ministeri e dipartimenti del governo del Kenya, compreso l’ufficio presidenziale, secondo un analista dell’intelligence della regione.
L’analista ha anche condiviso con Reuters documenti investigativi che includevano la cronologia degli attacchi, gli obiettivi e fornito alcuni dati tecnici relativi alla compromissione di un server utilizzato esclusivamente dalla principale agenzia di spionaggio del Kenya.
Un esperto di sicurezza informatica keniota ha descritto attività di hacking simili contro i ministeri degli affari esteri e delle finanze. Tutte e tre le fonti hanno chiesto di non essere citate a causa della natura delicata del loro lavoro.
“La denuncia dei tentativi di hacking da parte di entità governative cinesi non è unica”, ha affermato l’ufficio presidenziale keniota, aggiungendo che il governo era stato bersaglio di “frequenti tentativi di infiltrazione” da parte di hacker cinesi, americani ed europei. “Per quanto ci riguarda, nessuno dei tentativi è andato a buon fine”, ha detto l’esperto.
Un portavoce dell’ambasciata cinese in Gran Bretagna ha affermato che la Cina è contraria a “movimenti irresponsabili che utilizzano questioni come la sicurezza informatica per seminare discordia nelle relazioni tra la Cina e altri paesi in via di sviluppo”.
” La Cina attribuisce grande importanza al problema del debito africano e sta lavorando duramente per aiutare l’Africa a farvi fronte”, ha aggiunto il portavoce.
Tra il 2000 e il 2020, la Cina ha impegnato quasi 160 miliardi di dollari in prestiti ai paesi africani, secondo un database completo di prestiti cinesi della Boston University, in gran parte per progetti infrastrutturali su larga scala.
Il Kenya ha utilizzato più di 9 miliardi di dollari in prestiti cinesi per finanziare un’aggressiva campagna per costruire o migliorare ferrovie, porti e autostrade. Pechino è diventata il più grande creditore bilaterale del paese e si è radicata nel più importante mercato di consumo dell’Africa orientale e in un centro logistico vitale sulla costa africana dell’Oceano Indiano.
Alla fine del 2019, tuttavia, quando l’esperto keniota di sicurezza informatica ha detto a Reuters di essere stato coinvolto dalle autorità keniote per valutare un attacco hacker a una rete governativa, i prestiti cinesi si stavano esaurendo. E le difficoltà finanziarie del Kenya si facevano sentire.
Dettagli della campagna di hacking contro il Kenya
La violazione esaminata dall’esperto di sicurezza informatica keniota e attribuita alla Cina è iniziata con un attacco di spear phishing nello stesso anno, quando un dipendente del governo keniota ha scaricato inconsapevolmente un documento infetto, consentendo agli hacker di infiltrarsi nella rete e accedere ad altre agenzie.
“Hanno rubato molti documenti al Ministero degli Affari Esteri e anche al Dipartimento delle Finanze. A quanto pare, gli attacchi si sono concentrati sulla situazione debitoria”, ha affermato l’esperto di sicurezza informatica keniota.
Un’altra fonte – l’analista dell’intelligence che lavora nella regione – ha affermato che gli hacker cinesi hanno condotto una campagna ad ampio raggio contro il Kenya iniziata alla fine del 2019 e proseguita almeno fino al 2022.
Secondo i documenti forniti dall’analista, le cyber spie cinesi hanno sottoposto l’ufficio del presidente del Kenya, i suoi ministeri della Difesa, dell’Informazione, della Salute, del Territorio e dell’Interno, il suo centro antiterrorismo e altre istituzioni a una persistente e prolungata attività di hacking.
Nel 2021, le ricadute economiche globali della pandemia di COVID-19 avevano già contribuito a spingere un importante mutuatario cinese, lo Zambia, al default sul suo debito estero. Il Kenya è riuscito a convincere la Cina a concedere una moratoria temporanea sul pagamento del suo debito.
All’inizio di luglio 2021, i rapporti investigativi sulla sicurezza informatica condivisi dall’analista dell’intelligence della regione hanno dettagliato in che modo gli hacker hanno avuto accesso segreto a un server di posta elettronica utilizzato dal National Intelligence Service (NIS) del Kenya.
Reuters ha potuto confermare che l’indirizzo IP della vittima apparteneva al NIS. L’incidente è stato incluso anche in un rapporto dell’appaltatore privato della difesa analizzato da questa agenzia di stampa.
Reuters non è stato in grado di determinare quali informazioni siano state rubate durante gli attacchi o di stabilire in modo definitivo il motivo degli attacchi. Tuttavia, secondo il rapporto dell’appaltatore della difesa, lo scopo della fuga di notizie del NIS era forse quello di ottenere informazioni su come il Kenya intendeva gestire il pagamento del proprio debito.
“Il Kenya sta attualmente sentendo la pressione del peso del debito … poiché molti dei progetti finanziati con prestiti cinesi non stanno ancora generando entrate sufficienti per ripagarsi da soli”, afferma il rapporto.
Una revisione di Reuters dei record Internet che delineano l’attività di spionaggio digitale cinese ha mostrato che un server controllato dagli hacker cinesi ha anche avuto accesso a un servizio di webmail condiviso dal governo keniota più recentemente, da dicembre 2022 a febbraio di quest’anno.
Il gruppo filocinese BackdoorDiplomacy: cosa sappiamo
Indicando strumenti e tecniche identici utilizzati in altre campagne di hacking, l’appaltatore della difesa ha identificato una squadra di hacker collegati allo stato cinese come l’autore dell’attacco all’agenzia di intelligence del Kenya. Il gruppo è noto come “BackdoorDiplomacy” nella comunità di ricerca sulla sicurezza informatica, per la sua storia di tentativi di promuovere gli obiettivi della strategia diplomatica cinese.
Secondo la società di sicurezza informatica con sede in Slovacchia ESET, BackdoorDiplomacy utilizza nuovamente software dannoso contro le sue vittime per ottenere l’accesso alle loro reti, consentendo il monitoraggio delle loro attività. Dopo aver fornito a Reuters l’indirizzo IP degli hacker NIS, Palo Alto Networks, una società statunitense di sicurezza informatica che traccia le attività di BackdoorDiplomacy, ha confermato che l’attività è legata al gruppo, aggiungendo che la sua precedente analisi mostra che il gruppo è sponsorizzato dallo stato cinese.
I ricercatori sulla sicurezza informatica hanno documentato attacchi BackdoorDiplomacy contro governi e istituzioni in vari paesi in Asia ed Europa.
Le incursioni in Medio Oriente e in Africa sembrano meno comuni, quindi, il rapporto dell’appaltatore della difesa rileva che il focus e la portata delle sue attività di hacking in Kenya sono particolarmente degni di nota. “Questo angolo è chiaramente una priorità per il gruppo”.
L’ambasciata cinese in Gran Bretagna ha negato qualsiasi coinvolgimento negli hack del Kenya e non ha risposto direttamente alle domande sulla relazione del governo con BackdoorDiplomacy. “La Cina è una delle principali vittime di furti e attacchi informatici e un forte sostenitore della sicurezza informatica”, ha affermato un portavoce.
