Attacchi a Microsoft Exchange, tensione USA - Cina: ecco le accuse e lo scenario - Cyber Security 360

L'analisi

Attacchi a Microsoft Exchange, tensione USA – Cina: ecco le accuse e lo scenario

Gli Stati Uniti stanno cercando supporto internazionale nell’ambito delle tensioni con la Cina in relazione alle cyber offese, in particolare per gli attacchi ai server Exchange di Microsoft in corso da marzo: vediamo qual è la situazione

28 Lug 2021
F
Federico Ferronetti

Analista Hermes Bay

S
Federico Songini

Analista Hermes Bay

Alla tensione tra Cina e Stati Uniti si aggiunge un altro capitolo: la presidenza Biden accusa il colosso asiatico di essere dietro agli attacchi ai server Exchange di Microsoft che dallo scorso marzo hanno colpito migliaia di aziende e organizzazioni in tutto il mondo. Nonostante non siano state imposte sanzioni, il fatto che tale accusa sia stata condivisa con paesi alleati, NATO e Unione Europea rende evidente il livello di minaccia costituita dalla Cina quale avversario geopolitico anche sul versante cyber.

Gli Stati Uniti, pur assicurando nelle parole di Jen Psaki, portavoce della Casa Bianca, come tale approccio non si sostanzi in un arretramento nei confronti della Cina, sembrano intenzionati ad attuare un’azione più coordinata con il coinvolgimento di altri membri della comunità internazionale.

Il coinvolgimento della Nato

Microsoft Exchange, analisi dell’attacco: ecco perché le patch potrebbero non bastare

Anche alla luce della nuova Cyber Policy della NATO, che ha riaffermato la necessità di un impegno maggiore in termini di risorse finanziare e tecnologiche dell’Organizzazione Nordatlantica, gli Stati Uniti stanno cercando un appoggio più ampio nei propri alleati per far fronte comune contro la minaccia globale rappresentata da Pechino, includendo in questa coalizione anche le Istituzioni dell’Unione Europea, considerata dalla stessa NATO un partner fondamentale per capacità e mezzi. L’alleanza militare, attribuendo espressamente la responsabilità alla Repubblica Popolare Cinese, ha richiamato gli attori internazionali ad un atteggiamento di maggiore responsabilità nelle proprie azioni, includendovi espressamente le attività nel dominio informatico.

Il ruolo dell’UE

L’Unione Europea ha espresso la propria posizione tramite l’Alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza Josep Borrell, il quale ha condannato genericamente simili attacchi per i loro effetti sulle economie e i governi che ne sono vittima e si è poi rivolto direttamente alla Cina, esortandola a vigilare affinché il suo territorio non diventi la base di gruppi di cyber criminali e, dunque, a prendere misure efficaci per fronteggiare questa minaccia.

Come funziona l’attacco a Microsoft Exchange

L’attacco a Microsoft Exchange che ha portato a simili dichiarazioni sfruttava una serie di vulnerabilità, note come “ProxyLogon”, che hanno permesso ad un gruppo di hacker denominato “Hafnium”, collegato agli apparati cinesi che l’avrebbero aiutato o lasciato agire, di penetrare in migliaia di sistemi, anche governativi, con il fine di esfiltrare dati. La scia di attacchi, che è arrivata a lambire anche le istituzioni europee, ha avuto una rilevanza tale da indurre per la prima volta l’FBI ad agire proattivamente per ripulire i server compromessi o non ancora patchati. Una volta emersa la campagna in corso, infatti, tutti i sistemi ancora vulnerabili sono stati presi di mira anche da altri gruppi criminali tramite l’utilizzo di ransomware.

Già nei mesi scorsi gli Stati Uniti erano stati vittima del noto attacco a SolarWind da parte della Russia, altro storico rivale che ha saputo sfruttare le capacità cyber nel confronto tra Paesi. Tuttavia, in quel caso la reazione era stata ben diversa, portando a una serie di sanzioni e misure specifiche per entità e cittadini russi ritenuti colpevoli, tra cui l’inserimento in blacklist di aziende russe e l’espulsione di personale diplomatico. Nel caso dell’attacco a Microsoft Exchange, invece, l’approccio adottato pare ispirato ad una maggior cautela: non solo in ragione del fatto che non si è ancora certi del collegamento diretto degli autori col governo cinese, ma anche in virtù dello sfruttamento di vulnerabilità esistenti, a differenza dall’attacco russo che era stato progettato specificatamente per l’obiettivo da colpire. Un ulteriore elemento che ha condizionato la risposta apparentemente mite degli Stati Uniti e dei suoi alleati è stato anche il delicato equilibrio da cui dipendono le relazioni commerciali e diplomatiche di questi paesi con il gigante asiatico. Una risposta più decisa avrebbe sicuramente esposto i vari paesi quali, tra gli altri, Giappone, Australia, Gran Bretagna e gli stessi Stati Uniti ad una serie di ritorsioni e contromisure in un’escalation incontrollata che ne avrebbe minato le già difficili relazioni.

L’accusa alla Cina

A dimostrazione dell’importanza assunta dalla Cina quale rivale cyber, nello stesso giorno il Dipartimento di Giustizia statunitense ha formalmente accusato quattro cittadini cinesi di spionaggio cyber. Secondo la ricostruzione del Dipartimento, questi membri dell’APT40 avrebbero collaborato con le autorità cinesi del Ministero della Sicurezza di Stato di Hainan per sottrarre informazioni sensibili, sia di carattere industriale che governativo, tramite intrusioni informatiche su bersagli globali tra il 2011 e il 2018. Schermandosi dietro una finta società, questi hacker al limite tra gli state-sponsored e i contractors avrebbero aiutato a colmare il ritardo cinese nella ricerca e sviluppo in diversi campi strategici, dall’aviazione alla difesa fino alle ricerche sulle malattie infettive.

Gli Stati Uniti accusano la Cina di condurre attacchi cyber da almeno un decennio: i primi attacchi, aventi come principale target grandi aziende, venivano appunto organizzati con il fine di sottrarre segreti aziendali da sfruttare poi a proprio vantaggio. Queste prime azioni mostravano quanto poco sofisticato fosse l’apparato cyber cinese del tempo, dal momento che impiegavano tattiche e strumenti ordinari come malware e phishing. Un deciso salto di qualità è avvenuto negli ultimi anni: già l’amministrazione Obama aveva sollevato sospetti su diversi attacchi la cui origine potesse ricondursi ad unità specializzate dell’Esercito di Liberazione. Allo stesso modo, nel pieno dell’emergenza legata al Covid-19, sono stati rilevati attacchi al sistema sanitario statunitense da parte di attori cinesi, con il potenziale obiettivo di sottrarre informazioni fondamentali sulle ricerche per un vaccino contro il nuovo virus.

La capacità cyber offensiva della Cina

Negli ultimi anni, dunque, le capacità offensive della Cina sono nettamente progredite, al punto di trasformarla in una delle più avanzate potenze cibernetiche, in grado di espandere il proprio raggio d’azione su scala globale, attraverso delle sofisticate campagne di cyberspionaggio. La Cina ha raggiunto un simile livello di cyber expertise integrando tali attività con il mondo militare, l’ambiente universitario e in generale con tutto il tessuto economico nazionale. A dimostrazione dell’importanza assegnata dal governo alle possibili armi cibernetiche da usare contro i propri avversari, una nuova legge in vigore dal prossimo settembre imporrà di riportare alle autorità qualsiasi vulnerabilità (anche di tipo zero-day) rilevata da ricercatori privati, potendole quindi sfruttare in modo esclusivo a danno dell’intera comunità che fa affidamento su tali segnalazioni.

Le capacità cyber offensive della Cina risultano ancora più preoccupanti se consideriamo la campagna di spear-phising portata avanti tra il 2011 e il 2013 nei confronti di 13 oleodotti statunitensi appena rivelata da un comunicato rilasciato dalla CISA. I sofisticati attacchi effettuati contro queste infrastrutture critiche avevano infatti l’obiettivo di testarne le difese in vista di future azioni volte a compromettere la funzionalità dei sistemi sul piano operativo, con effetti e impatti ben più gravi rispetto alla semplice esfiltrazione di dati. La Repubblica Popolare Cinese ha quindi affiancato la Russia quale principale controparte cyber degli Stati Uniti, costringendo i contendenti ad una continua tensione tra la volontà di affermazione e il mantenimento di un fragile equilibrio nei rapporti internazionali. Il dominio cyber appare dunque il nuovo campo di confronto tra le grandi potenze globali, con la Cina che si sta imponendo sulla scena come una minaccia concreta per la sicurezza degli Stati Uniti e dei suoi alleati.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5