Hpe, Ibm, Ericsson nel mirino dei gruppi sponsorizzati da Pechino, che però nega. Dai database degli hotel ai sottomarini nucleari, chi è finito nel mirino
Qualche mese fa, si era parlato della fine della tregua tra Cina e Stati Uniti. Dopo gli accordi siglati tra Barack Obama e Xi Jinping nel 2015, l’arrivo alla Casa Bianca di Donald Trump ècoinciso con una ripresa degli attacchi informatici lanciati dalla Repubblica Popolare per colpire entità statunitensi.
A giudicare dall’inchiesta pubblicata da Reuters, però, questo periodo di tregua è stato più una vana speranza che un dato di fatto: per anni – e sicuramente dal 2014 al 2017 – numerose aziende del settore tecnologico sono infatti state bersagliate da hacker cinesi sospettati di lavorare direttamente per conto del governo di Pechino.
Strategia di attacco
Il modus operandi di questi hacker era relativamente semplice. Tutto parte con l’invio ai dipendenti di aziende del settore cloud di mail apparentemente legittime, ma che hanno invece lo scopo di sottrarre le credenziali d’accesso o installare dei malware. Nel momento stesso in cui qualche dipendente casca nel phishing, gli hacker possono sfruttare il suo account per introdursi nel sistema o utilizzare i malware involontariamente installati allo stesso scopo.
Una volta fatto questo, sottrarre file privati a scopo di spionaggio industriale è un gioco da ragazzi. Ma gli obiettivi degli hacker vanno oltre. Dopo essersi infiltrati nelle piattaforme delle aziende che si occupano di cloud, è possibile penetrare anche nei database delle aziende che utilizzano i loro servizi. E così, gli hacker cinesi si sono trovati a sottrarre segreti aziendali – sempre secondo quanto riporta Reuters – di alcune tra le principali aziende tecnologiche del mondo.
Nel mirino
Ma quali sono queste aziende? I due fornitori di servizi cloud sono Hpe (Hewlett Packard Enterprise) e Ibm, ma nell’elenco figurano anche i loro clienti: Tata, Fujitsu, Ntt Data, Dimension Data, Computer Sciences Corporation, Ericsson, Huntington Ingalls e altre ancora. Non tutti sono nomi noti al grande pubblico, ma tutti rappresentano aziende di importanza strategica (Huntington Ingalls, per esempio, è il più grande fornitore di sottomarini nucleari per l’esercito statunitense).
“Gruppi di hacker collegati al ministero della Sicurezza di Stato cinese hanno penetrato il servizio cloud di Hpe e l’hanno usato come rampa di lancio per attaccare i suoi clienti, saccheggiando per anni una valanga di segreti aziendali e governativi in quello che i pubblici ministeri Usa ritengono essere un lavoro volto a potenziare gli interessi economici cinesi”, scrive la Reuters.
I sospettati
La giustizia americana, fino a questo momento, ha individuato solo due responsabili: Zhu Hua e Zhang Shilong, che farebbero parte del celebre gruppo hacker cinese Apt 10, accusati già a dicembre di furto d’identità e frode. Tra le varie azioni compiute nel corso degli anni, invece, quella che si conosce meglio è l’attacco hacker condotto contro Ericsson. Per cinque volte, dal 2014 al 2017, i server di Ericsson sono stati infatti presi di mira dai pirati informatici.
Il bersaglio non è stato scelto a caso: Ericsson è una delle più importanti aziende al mondo nel campo del 5G (probabilmente l’unico vero rivale dei colossi cinesi). Sottrarre i suoi segreti industriali può quindi avere ovvie e positive ripercussioni per la tecnologia made in China. Durante le loro intrusioni, gli hacker hanno cercato documenti contenenti alcune parole chiave molto precise, camuffando il malware utilizzato a scopo di spionaggio in modo che sembrasse un software legittimo.
Il livello di efficacia degli attacchi, però, è molto variegato: “Ericsson non è sempre stata in grado di capire quali dati venissero presi di mira. A volte, gli hacker sembravano cercare informazioni relative alla gestione dei progetti, come tempistiche e consegne, in altri casi hanno dato la caccia ai manuali di alcuni prodotti, alcuni dei quali erano persino disponibili pubblicamente”, spiega ancora la Reuters.
In generale, si ritiene che le azioni siano state condotte da diversi gruppi con differenti livelli di competenza: se i più temuti sono gli hacker di Apt10, in altri casi le società hanno avuto a che fare con quelli che una fonte ha definito dei “ladruncoli ubriaconi”, che si smarrivano nel labirinto dei file e sottraevano documenti a casaccio.
Buco nel cloud
Tutte le aziende menzionate nell’inchiesta sono comunque state colpite solo in seguito all’intrusione nei server di Hpe e Ibm. “Per tutti quelli che pensavano che il cloud fosse una panacea, mi viene da dire che forse non hanno prestato abbastanza attenzione”, ha dichiarato l’ex direttore della Nsa, Mike Rogers.
Ma valutare con precisione quali e quanti documenti siano stati sottratti è un’impresa impossibile. Hpe (anche nella sua precedente incarnazione come Hewlett Packard) sarebbe stata hackerata per anni senza nemmeno accorgersene. Il primo file malevolo trovato nei server aziendali risale infatti al 2012, ma secondo gli esperti le intrusioni risalirebbero addirittura al 2010.
“Lo staff della sicurezza di Hewlett Packard ha contrattaccato ogni volta, tracciando gli intrusi, innalzando nuove difese ed eseguendo delle espulsioni attentamente pianificate in grado di fare piazza pulita contemporaneamente di tutti gli hacker presenti. Ma ogni volta gli intrusi sono ritornati, dando vita a un ciclo che è proseguito per almeno cinque anni”, si legge ancora nell’inchiesta.
Dagli hotel ai sottomarini nucleari
“La sicurezza dei dati dei nostri clienti è sempre la nostra priorità”, ha commentato un portavoce di Hpe. E ci mancherebbe altro, visto che le intrusioni nelle piattaforme delle aziende clienti possono comportare rischi non secondari. Una di queste aziende è Sabre Corp., che fornisce un sistema di prenotazione usato da decine di migliaia di hotel in tutto il mondo e collabora con centinaia di compagnie aeree. Penetrare nei server di Sabre potrebbe fornire agli hacker indicazioni sulla posizione e gli spostamenti di dirigenti d’azienda o esponenti del governo, facilitando un (possibile) pedinamento o dei tentativi di installare dei software-spia direttamente sui loro dispositivi.
Secondo una portavoce di Sabre, in ogni caso, non ci sarebbero state importanti perdite di dati, ma quanto avvenuto evidenzia quali possono essere le conseguenze dello spionaggio informatico. Lo stesso vale per l’intrusione nei sistemi della già citata Huntington Ingalls, azienda del settore nautico che produce i sottomarini nucleari dell’esercito americano. “Siamo fiduciosi che nessuno dei nostri dati sia stato sottratto”, ha spiegato una portavoce.
Il condizionale è d’obbligo, anche a causa della scarsa volontà dei fornitori di servizi cloud di divulgare tutte le informazioni necessarie alle aziende clienti (“per timore di azioni legali e cattiva pubblicità”, si legge su Reuters), al punto che – ancora oggi – molte aziende potrebbe non essere a conoscenza degli attacchi subiti.
La replica di Pechino
Nel frattempo, come prevedibile, la Cina nega tutto. “Il governo cinese non ha mai partecipato o supportato nessuna azione volta a sottrarre segreti commerciali”, si legge in una dichiarazione del ministro degli Esteri. Non solo: Pechino si è scagliata anche contro le “accuse immotivate” che hanno raggiunto i due presunti membri di Apt10, chiedendo che il governo Usa ritiri “queste presunte denunce contro personale cinese, per evitare che ciò causi danni alle nostre relazioni bilaterali”. Come prevedibile, nessuno però crede all’innocenza cinese: il dipartimento di giustizia americano ha definito le smentite “di rito e fasulle”.
In mezzo a tutte queste accuse, smentite, furti di dati avvenuti o sospettati e anche una pericolosa mancanza di trasparenza tra le stesse aziende coinvolte, una sola cosa è certa: la cyberguerriglia tra le due superpotenze (e non solo) è destinata a non avere mai fine.
Potrebbe interessarti anche