Si chiama Daxin il malware più avanzato esistente su cui la Cina sta lavorando da oltre dieci anni, unico nel suo genere, scoperto dai ricercatori della società di cyber sicurezza Symantec.
Indice degli argomenti
Daxin: Cos’è e come funziona il malware
Nel caso del malware Daxin stiamo parlando di una backdoor furtiva che è stata usata in operazioni di spionaggio contro i governi di tutto il mondo per un decennio prima di essere scoperta. Non siamo di fronte a un caso isolato dato che, appunto, sono anni ormai che il paese tra i più forti al mondo da semplici operazioni di smash-and-grab, ha affinato nel tempo la sua strategia di controllo, ha investito e ha creato un’infrastruttura per alimentare gli strumenti di hacking, distinguendosi nettamente dal resto del mondo.
Daxin funziona dirottando le connessioni legittime per nascondere le sue comunicazioni nel normale traffico di rete. Il risultato fornisce la furtività e, su reti altamente sicure dove la connettività Internet diretta è impossibile, permette agli hacker di comunicare attraverso i computer infetti.
A quanto pare, Daxin è in uso da novembre 2021. Nel febbraio dello scorso anno, si era verificata una serie di attacchi hacker contro i server Microsoft Exchange da parte di più gruppi cinesi, a partire da exploit zero-day noti come vulnerabilità ProxyLogon.
La Cina aveva dato evidenza delle sue potenzialità di agire su larga scala, dando l’idea di essere caotica e avventata dall’esterno, dato che questi attacchi avevano lasciato una porta spalancata su decine di migliaia di server di posta elettronica vulnerabili per qualsiasi hacker.
A maggio, poi, è stata utilizzata un’altra vulnerabilità zero-day da più gruppi hacker, per violare obiettivi militari, governativi e industrie tecnologiche americane ed europee, con notevole successo.
Spie a noleggio, ecco le nuove tattiche e metodologie del cyber spionaggio cinese
La Cina: una superpotenza informatica
Tutto è iniziato dalla riorganizzazione dell’agenzia militare e di intelligence cinese avviata dal presidente Xi Jinping dopo la sua ascesa al potere, incentrata principalmente sulla guerra cibernetica e sulla fusione tra organizzazioni militari e civili per rafforzare le capacità informatiche del paese.
Gli strumenti che ne sono venuti fuori in questi dieci anni sono diventati sempre più sofisticati fino a rendere le capacità informatiche offensive cinesi quasi al di sopra di quelle degli Stati Uniti. Tanto da permettere alla Cina di rilevare anche operazioni degli USA, facendo sì che gli strumenti americani si ritorcessero poi contro loro stessi, come ha dichiarato la ricercatrice dell’Harvard Belfer Center Winnona DeSombre durante il Congresso sulle potenzialità cinesi in campo informatico dello scorso 17 febbraio.
Un esempio su tutti è stato portato allo stesso congresso da Kelli Vanderlee, analista di intelligence per la società di sicurezza informatica Mandiant, e riguarda l’uso delle più potenti vulnerabilità zero-day quando ancora non se ne conosceva un metodo di difesa per sei volte il numero di tali vulnerabilità nel 2021 come nel 2020.
Regolamenti severi e bug bounty
Molti e severi sono stati i regolamenti attuati dal governo cinese per far sì che la cyber sicurezza fosse sempre più sotto il suo controllo, dando priorità alle aziende di sicurezza e intelligence dello stato su tutto il resto.
Come ha affermato Dakota Cary, analista del Center for Security and Emerging Technology di Georgetown, “i cinesi hanno un sistema unico che riflette il modello autoritario del partito-stato”.
Un esempio che lo conferma, e che è presente solo in Cina, è l’esclusione dei ricercatori informatici cinesi dalla partecipazione ad eventi e competizioni internazionali di hacking, in cui i migliori ricercatori di sicurezza del mondo si scontrano in gare al fine di trovare e sfruttare potenti vulnerabilità in tecnologie popolari come IPhone o Tesla o il tipo di interfacce uomo-macchina che aiutano a gestire le fabbriche moderne.
Così, in cambio di laute somme di denaro al vincitore, si favorisce l’individuazione delle falle di sicurezza per poterle risolvere. Nel caso in cui i ricercatori vogliano partecipare a queste competizioni, devono richiedere autorizzazione alle autorità governative in anticipo e nella maggior parte dei casi non vengono approvate.
Altro regolamento eccezionale riguarda la segnalazione delle vulnerabilità di sicurezza del software che deve arrivare prima al governo, in modo che i funzionari cinesi ne abbiano una conoscenza anticipata e possano poi sfruttarla per operazioni di hacking difensive o offensive.
Quando si è agito diversamente, come fatto da Alibaba, che ha segnalato la vulnerabilità Log4j agli sviluppatori di Apache invece di consegnarla prima alle autorità governative cinesi, l’azienda di cloud computing è stata punita pubblicamente come avvertimento per chiunque altro voglia provare a farlo.
Secondo Adam Meyers, vicepresidente senior dell’intelligence della società di cyber sicurezza CrowdStrike, “tutte le ricerche sulle vulnerabilità passano attraverso un processo di equità in cui il governo cinese ottiene il diritto di prelazione […] Arrivano a scegliere cosa fare con questo, aumentando davvero la visibilità che hanno nella ricerca condotta e la loro capacità di trovare utilità in tutto questo”.
Nell’ultimo decennio, il modello “bug bounty” ha fornito milioni di dollari per costruire un ecosistema globale di ricercatori che trovano vulnerabilità di sicurezza del software e sono pagati per segnalarle.
La Cina è al primo posto o quasi nell’avvisare le aziende americane delle vulnerabilità nel loro software.
Nella sua testimonianza al Congresso la scorsa settimana, Cary ha detto che una grande azienda americana senza nome gli ha rivelato che i ricercatori cinesi hanno ricevuto 4 milioni di dollari nel 2021.
Le aziende americane beneficiano della partecipazione di questi ricercatori cinesi. Quando i ricercatori segnalano un bug, le aziende possono correggerlo. Tuttavia, mentre il governo cinese stringe il controllo, questo ecosistema multimilionario sta ora consegnando un flusso costante di vulnerabilità del software alle autorità cinesi – finanziato efficacemente dalle aziende e senza alcun costo per Pechino.
Attacchi a Microsoft Exchange, tensione USA – Cina: ecco le accuse e lo scenario
Giochi di hacking con i robot
Le competizioni sono anche nel gaming. Nel 2016 la Cyber Grand Challenge, gara di cyber sicurezza organizzata dall’americana Defense Advanced Research Projects Agency, è stata vinta da Mayhem, una macchina della società ForAllSecure, che è riuscita a rilevare automaticamente le vulnerabilità del software e ora la tecnologia è in mano al Pentagono per essere utilizzata in tutti i rami militari.
Secondo il CEO di Qihoo 360, “chiunque padroneggi la tecnologia di estrazione automatica delle vulnerabilità avrà la prima opportunità di attaccare e difendere la rete” e, affermando che la sua azienda ha sviluppato “un sistema automatico di estrazione delle vulnerabilità completamente autonomo”, ha sostenuto che la tecnologia è il “killer” della sicurezza della rete.
In occasione dei Robot Hacking Games, la Cina di volta in volta ha avuto modo di studiare il sistema degli Stati Uniti, copiare i suoi migliori attributi, e in molti casi ampliare la portata e il raggio d’azione.
L’obiettivo dichiarato di Xi Jinping era quello di rendere la Cina una “superpotenza informatica” e in qualche modo è riuscito nel suo intento.
