Tra Usa e Cina è guerra cyber. E l'Europa rischia di pagarne le conseguenze

Pechino ha accusato gli americani di aver violato il sistema informatico dell’ateneo fondato dal Ministero dell’industria e dell’information technology e dedita a programmi di formazione e ricerca nei settori dell’ingegneria aeronautica, astronautica e marittima, sia militare che civile. Pierguido Iezzi, ceo di Swascan del gruppo Tinexta: «Ci si potrebbe trovare di fronte a una campagna di disinformazione cinese per contrastare le accuse di hacking rivolte da Washington a Pechino».Mente in Italia si tenta di ridurre i danni degli attacchi cyber da parte di gang russe come Conti e Black Cat, nel pieno della guerra tra Russia e Ucraina, qualcosa incomincia a muoversi a livello geopolitico, tra Stati Uniti e Cina. Mercoledì l'Albania ha accusato l'Iran di aver orchestrato un massiccio attacco cibernetico che ha colpito, lo scorso 15 luglio, i sistemi di informazione del paese. Nell'inchiesta albanese sono state impegnate oltre alla Microsoft e una società Usa di sicurezza cibernetica, anche l'Fbi statunitense. Il 6 settembre l’ambascia cinese italiana ha postato sul suo profilo twitter un messaggio che è sfuggito a molti. «La #Cina condanna fermamente gli attacchi informatici lanciati dagli Stati Uniti alla Northwestern Polytechnical University in Cina ed esorta la parte statunitense a offrire una spiegazione e fermare le sue mosse». Pechino, in pratica, ha accusato gli americani di aver violato il sistema informatico dell’ateneo fondato dal Ministero dell’industria e dell’information technology e dedita a programmi di formazione e ricerca nei settori dell’ingegneria aeronautica, astronautica e marittima, sia militare che civile. Le autorità cinesi indicano i responsabili nell’unità d’élite statunitense nota come Computer Network Operations che, durante i primi di giugno di questo anno, avrebbe inviato e-mail di phishing al personale e agli studenti dell’università. Il tema è delicato. La Cina è stata da sempre accusata dagli americani per attività di spionaggio. Questo attacco, dichiarato, potrebbe essere da un lato una risposta ad una aggressione continuativa e un messaggio, una prova di forza, per lo scenario su Taiwan da parte del presidente americano Joe Biden. Sta di fatto che questo contesto nell'attuale situazione della guerra in Ucraina è a vantaggio della Russia, forse la tempesta minacciata dalla Russia di Vladimir Putin nei giorni scorsi. Perché un nuovo fronte cyber si sta aprendo Pechino e Washington. Potrebbe essere anche una scelta dello stesso Biden per rianimare la popolarità in picchiata in vesta delle elezioni di midterm di novembre. Con l’Italia che vede sotto attacco i suoi assett energetici, come Eni e Gse, si tratta di un campanello d’allarme da non sottovalutare. Di sicuro le accuse cinesi potrebbero essere anche illazioni anche perchè sono difficilmente verificabili. Ma va evidenziato che si tratta solo dell’ultima di una lunga serie di accuse rivolte da Pechino nei confronti di individui o gruppi statunitensi che sarebbero stati responsabili di attacchi informatici contro utenti e istituzioni cinesi. «In questo caso, tuttavia, ci si potrebbe trovare di fronte a una campagna di disinformazione cinese per contrastare le accuse di hacking rivolte da Washington a Pechino», spiega Pierguido Iezzi, ceo di Swascan del gruppo Tinexta. «Non a caso queste dichiarazioni del governo cinese, come riporta l’Australian Strategic Policy Institute, sono state anticipate da centinaia di account fake creati appositamente su vari social media per condividere dichiarazioni e meme che incolpavano la NSA dell'attacco informatico. Un simile coordinamento di dichiarazioni ufficiali e attività segrete potrebbe far parte di una più ampia campagna di propaganda per ritrarre negativamente gli Stati Uniti e mettere in mostra le capacità cinesi in materia di sicurezza informatica». L’allarme è in ogni caso servito, soprattutto sul territorio cinese, alle prese ancora con l’emergenza Covid e con intere città in lockdown anche con pochi casi di contagio. Il caso è stato ampiamente trattato dai media cinesi e ha accumulato oltre 400 milioni di visualizzazioni sulla piattaforma di social media cinese Weibo. Questa attività mira probabilmente ad attutire il rumore di fondo generato dalle attività che gli hacker cinesi stanno portando avanti senza sosta. Prosegue Iezzi: «Pechino da decenni impiega gruppi di hacker in maniera sistematica. Noti anche come Apt, questo ramo digitale – e ovviamente non ufficiale – del governo cinese utilizza strumenti malware insoliti per sfruttare le vulnerabilità di istituzioni governative “nemiche” e soddisfare i propri obiettivi di spionaggio. Sono abili, modificano continuamente le loro strategie di attacco per evitare di essere individuati e sono soprattutto ben inquadrati. Ad ognuna di queste unità cyber è assegnato un numero che corrisponde al settore d’interesse e agli obiettivi da realizzare». Ce ne sono diversi. «Apt 26» dice Iezzi «ha ad esempio preso di mira, tra gli altri, i settori dell’aeronautica, della difesa e dell'energia. Apt 16 si è invece concentrato sulle organizzazioni giapponesi e taiwanesi nei settori dell'alta tecnologia, dei servizi governativi, dei media e dei servizi finanziari». E poi ancora. «Apt41 è anche tristemente noto come "Double Dragon", per la sua duplice attività di spionaggio e di criminalità informatica a scopo di lucro. Apt 27 è impegnato nel furto di proprietà intellettuale, di solito concentrandosi su dati e progetti d’interesse per il governo. Il gruppo ha preso di mira istituzioni in tutto il mondo, compresi Nord e Sud America, Europa e Medio Oriente, dedicandosi in particolare in attacchi ai servizi alle imprese, alle istituzioni governative e, soprattutto, ai settori dell’aerospaziale e dei trasporti». Per Iezzi: «Questa è una vera e propria Cyber Offensive Operation, così come definita nell’articolo 37 del DL Aiuti che autorizza il nostro Paese a dotarsi di strumenti adeguati di contrasto per esercitare azioni di “difesa attiva” o “attacchi preventivi”. Ad oggi sono le poche nazioni, tra cui Cina, USA, Russia e Israele, che hanno a disposizione strutture capaci, efficaci ed efficienti in grado adempire a questi compiti. Dal punto di vista tecnico, quello che è interessante osservare è come si stiano affermando due principali scuole di pensiero e modus operandi: quella più distruttiva – che fa ampio uso di ransomware, wiper e altri malware costruiti ad hoc – e quella prettamente d’intelligence – che, invece, fa leva su zero-day e backdoor per raggiungere i propri obiettivi».