Dopo qualche anno di tregua apparente, la Cina torna a essere sotto accusa per gli attacchi informatici. Gli Stati Uniti sostengono che gli hacker cinesi agiscono per la corsa industriale cinese, l’Ue attiva misure restrittive contro cittadini e società cinesi. Lo scontro tecno-commerciale tra Pechino e Washington produce una escalation e aumenta i rischi di conflitto.
- Il Consiglio europeo ha imposto misure restrittive contro sei persone e tre entità responsabili di attacchi informatici. Tra questi, cittadini e società cinesi accusati di una campagna di cyberspionaggio industriale.
- Gli Usa hanno incriminato altri hacker cinesi per il furto di segreti commerciali da aziende hi-tech, della difesa e farmaceutiche. Un report ha evidenziato il saccheggio informatico dell’industria dei semiconduttori a Taiwan.
- Lo scontro tecno-commerciale tra Cina e Usa sta risvegliando il conflitto nel cyberspazio. Per gli americani gli hacker cinesi sarebbero funzionali alla corsa industriale del Paese, resa urgente dal rischio di essere tagliati fuori da forniture strategiche.
A fine luglio per la prima volta l’Unione europea ha imposto delle misure restrittive in conseguenza di cyberattacchi. La scelta delle entità sanzionate è per questo interessante. Ci sono alcuni nordcoreani e russi, presunti responsabili di due infezioni malevole molto note e distruttive, Wannacry e NotPetya, già da tempo presi di mira dal dipartimento di Giustizia americano. E poi ci sono tre soggetti (una società, due hacker cinesi) accusati di essere parte di una vasta campagna di cyberspionaggio soprannominata Cloud Hopper.
Moto meno conosciuta e vistosa degli altri incidenti informatici inclusi nelle prime sanzioni del Consiglio europeo. Perché una simile scelta? Secondo la stessa Ue, l’operazione Cloud Hopper consiste in una serie di cyberattacchi contro multinazionali, alcune delle quali situate nell’Unione, in cui l’obiettivo era rubare dati commerciali sensibili. A gestire la campagna una società di Tianjin, Haitai Technology.
La particolarità di Cloud Hopper - specialmente attiva dal 2016 in poi e attribuita a un gruppo noto come APT10, affiliato secondo gli Usa al Ministry of State Security (Mss) della Cina che si occupa anche di intelligence e controspionaggio - è di infiltrare fornitori di servizi informatici, usati come trampolino di lancio per arrivare ai rispettivi clienti, grandi aziende in settori strategici.
Ma anche, secondo l’agenzia americana per la sicurezza informatica e delle infrastrutture (Cisa), di inserirsi a pieno titolo tra gli obiettivi di largo respiro della Repubblica popolare, e in particolare nel Made in China 2025, il piano annunciato nel 2015 che punta a modernizzare la capacità industriale del Paese, a renderlo più indipendente dall’estero, e a posizionare la Cina come una potenza nel ramo hi-tech, in particolare nella robotica, aviazione, e veicoli a nuove energie. Un piano che l’escalation tecnologico-commerciale fra Washington e Pechino ha fatto accelerare. E che potrebbe avere conseguenze anche sul terreno dei conflitti e dello spionaggio informatico.
Nel settembre 2019 l’agenzia Afp aveva rivelato che il gigante aerospaziale europeo Airbus era stato colpito da vari cyberattacchi, attraverso suoi quattro fornitori. Gli hacker erano riusciti a compromettere proprio le reti cifrate e private (Vpn) che connettevano le aziende e ad accedere alle informazioni di due vettori in particolare, l’A400M (militare) e l’A350 (civile).
Secondo fonti citate da Afp, i sospetti convergevano sulla Cina, che negli ultimi anni sta puntando molto su alcuni progetti aerospaziali, come il lancio dell’aereo di linea C919, sviluppato dalla società Comac. L’interesse degli attaccanti era infatti indirizzato verso i documenti tecnici collegati al processo di certificazione di varie parti degli aerei Airbus. E passare a breve gli standard delle certificazioni americane ed europee restava uno degli obiettivi di Pechino, e non dei più facili, scriveva nel 2019 Asia Times.
Sono trascorsi dieci anni da quando, nel 2010, fu svelata l’operazione Aurora, una campagna di intrusioni informatiche contro Google e altre 34 aziende attribuita alla Cina. Quell’evento coincise con l’emersione di una stagione di cyberattacchi di alto livello, da parte di diversi stati, o di gruppi sponsorizzati dai governi, in cui la Repubblica popolare aveva un ruolo di primo piano.
Negli ultimi anni i cyberconflitti lungo l’asse Pechino-Occidente sembravano però aver raggiunto una tregua, specie dopo l’accordo tra Obama e Xi Jinping nel 2015. Dal 2016 il ruolo dei cattivi sulla scena cyber, almeno per Stati Uniti e, in secondo luogo, Europa, era ormai dei russi, con i nordcoreani e gli iraniani a fare da rumoroso contorno.
Dal silente e invisibile cyberspionaggio orientale si era passati a clamorose fughe di dati, guerre d’informazione, virus che cifravano o cancellavano documenti. Ma già a fine 2018 il Council on Foreign Relations, noto istituto statunitense, si chiedeva se non ci fosse un “ritorno dello spionaggio industriale cinese”: a seguito dello scontro con l’amministrazione Trump, i politici cinesi potevano infatti ritenere di non avere più nulla da guadagnare dal rispetto dei precedenti accordi.
Da allora i rapporti si sono fatti ancora più tesi, e il rischio per Pechino di perdere la fornitura di componenti in settori strategici potrebbe rinfiammare ancora di più la scena cyber.
Le accuse di cyberspionaggio per altro non arrivano solo da una direzione. Nel marzo 2020 una delle più grosse società di antivirus cinesi, Qihoo 360, ha pubblicato uno studio che accusa la Cia di essersi infiltrata a livello informatico in industrie cinesi dell’aviazione, di internet e dell’energia per undici anni.
Ma il deterioramento dei rapporti sino-americani è tale che la stessa Qihoo 360, due mesi dopo, è stata inclusa dagli Usa nella loro Entity List, una lista nera di organizzazioni cui sono limitate le vendite di merci americane.
A fine luglio il dipartimento di Giustizia Usa è tornato alla carica, accusando due hacker cinesi di lavorare per conto del Ministry of State Security, e di aver sottratto segreti commerciali da aziende hitech, dell’energia solare, della difesa, e farmaceutiche, tra Europa e Stati Uniti. I due avrebbero anche tentato di violare - non è chiaro con quanto successo - i sistemi di aziende che sviluppavano vaccini e trattamenti per il Covid-19.
Una di queste, ha riferito dopo Reuters, è la società biotech Moderna del Massachusetts, anche se il portavoce del ministero degli Esteri cinese, Wang Wenbin, ha respinto le accuse. Secondo l’incriminazione statunitense, i due avrebbero agito in alcuni casi per tornaconto personale, in altri per gli apparati di intelligence cinesi. «La Cina ha ora preso il suo posto, accanto a Russia, Iran e Corea del Nord, in quel vergognoso club di nazioni che danno riparo ai cybercriminali in cambio della loro disponibilità a lavorare a beneficio dello Stato», ha dichiarato in conferenza stampa il viceprocuratore generale per la sicurezza nazionale John C. Demers.
Perfino il Vaticano, la diocesi di Hong Kong e il Pontificio istituto missioni estere (Pime) lo scorso maggio sarebbero stati oggetto delle attenzioni di hacker cinesi, in vista del rinnovo dell’accordo fra Santa Sede e Pechino, sostiene un rapporto della società americana Recorded Future. “Ipotesi arbitrarie”, aveva dichiarato ancora Wang.
Ma è la pista industriale ad essere quella più battuta. Ad agosto, alla conferenza internazionale BlackHat, la società di cybersicurezza taiwanese CyCraft ha svelato come degli hacker abbiano depredato dati sensibili, progetti, codice sorgente di vari produttori di chip di Taiwan, attraverso l’infiltrazione prima della loro Vpn, poi delle loro reti. Per i ricercatori, i responsabili sarebbero un gruppo cinese, in passato identificato come Winnti o Barium, e considerato affiliato a Pechino.
«Per la prima volta stiamo vedendo così tanti gruppi specializzati in attacchi alla supply-chain, alla catena di distribuzione. Nessuno Stato ha un sistema così imponente come la Cina», dice Alberto Pelliccione, Ceo della società di cybersicurezza ReaQta, che lo scorso novembre alla conferenza italiana HackInBo aveva mappato proprio le dinamiche e le connessioni di Winnti, APT10 e altri.
«Un attacco alla supply-chain è quando prendi di mira il fornitore di un servizio, una terza parte, che in genere ha minori capacità di difesa rispetto alla grande industria o l’infrastruttura che si vuole colpire. Per cui vai sull’anello debole della catena, che successivamente, durante l’attacco al cliente, funziona anche da comodo canale di esfiltrazione dei dati». In pratica i dati sono sottratti facendoli prima passare dall’azienda al fornitore (e poi fuori), un flusso che suscita meno campanelli di allarme da parte dei sistemi di alert interni.
L’ultimo alert degli Usa su cyber operazioni malevole cinesi è del 14 settembre, cui si è aggiunta una nuova incriminazione contro altri hacker: entrambe le attività sono considerate collegate ancora una volta al Ministry of State Security.
Ma negli ultimi mesi si è fatta più intensa anche l’attività cinese sui social media. A fine maggio la Bbc ha tracciato una rete di profili finti o rubati su Twitter, Facebook e YouTube che promuovevano la risposta di Pechino all’emergenza coronavirus, anche se non c’era un collegamento diretto al governo. Mentre una rete di profili coordinati sono stati rimossi da Twitter a giugno perché legati alla Repubblica popolare.
Tali profili sarebbero stati utilizzati per influenzare l’opinione pubblica straniera sulle proteste di Hong Kong, Taiwan, e il Covid, sostiene una analisi dell’istituto australiano di politica strategica Aspi. «L’uso di queste reti da parte della Cina punta ancora più sulla quantità che sulla qualità», dice Luigi Gubello, ricercatore di sicurezza che ha analizzato e comparato le reti di bot usate da russi e cinesi, individuate come tali da Twitter.
«E il pubblico di riferimento continua a essere soprattutto quello dei cinesi all’estero. Anche i pochi account in italiano che sono stati sospesi pubblicavano tweet a favore del popolo cinese o per creare una narrazione favorevole alla Cina, in un pessimo italiano».
Tuttavia c’è anche chi ritiene che stia iniziando un avvicinamento ad alcune modalità e temi trattati dai russi. «Ci sono studi interessanti su come la Cina abbia copiato le strategie russe di propaganda e disinformazione», dice Stefano Mele, presidente della Commissione sicurezza cibernetica del Comitato atlantico italiano, intervenuto alla Camera nell'indagine conoscitiva sulle eventuali interferenze straniere. «E che di recente ci sia stato un allineamento». Convergenze e allineamenti indagati anche dalla task-force europea sulla disinformazione, EUvsDisinfo.
In realtà come notava il report del già citato Aspi, «il ricorso su larga scala a piattaforme occidentali è abbastanza nuovo» per la Cina, «per cui bisogna aspettarsi un continuo miglioramento e un’evoluzione», vista anche la capacità di mobilitare risorse enormi. «Lo scompiglio causato dal Covid-19 ha creato un ambiente permissivo per il partito comunista cinese per sperimentare con la manipolazione nascosta del pubblico dei social media globali», concludeva l’istituto di studi strategici. Se l’analisi è corretta, la sperimentazione potrebbe riguardare però anche l’hacking. Un ambito in cui il rischio di escalation globale è ancora più elevato.
© Riproduzione riservata