Il 4 marzo, il Dipartimento di Giustizia americano ha accusato 10 cittadini cinesi di hacking su larga scala ai danni di agenzie governative, organi di informazione e dissidenti in America e nel mondo, per conto di i-Soon, una società cinese, su ordine del governo cinese. Ha inoltre incriminato due funzionari del Ministero cinese della Pubblica Sicurezza (MPS) che avrebbero “diretto gli hackeraggi”.
Indice degli argomenti
Le operazioni di cyber spionaggio cinese e l’accusa americana contro i-Soon
Secondo i documenti in possesso dell’autorità giudiziaria, l’intelligence cinese interna, l’MPS, e quella che si occupa delle minacce esterne, il Ministero della Sicurezza dello Stato (MSS), hanno impiegato una vasta rete di società private e appaltatori nazionali per hackerare e rubare informazioni in modo da nascondere il coinvolgimento del governo cinese. In alcuni casi, l’MPS e l’MSS hanno pagato hacker privati in Cina per sfruttare vittime specifiche.
Scarica la guida definitiva per la Cybersecutiry e gestione del rischio nel settore finanziario
In molti altri casi, gli hacker hanno preso di mira le vittime in modo speculativo. Hanno identificando i computer vulnerabili e vi sono penetrati per esfiltrare le informazioni da vendere direttamente o indirettamente al governo di Pechino.
La crescita del cyber spionaggio cinese e le sue principali aree di attività
Questo non è un caso isolato. Nell’ultimo decennio il programma di hacking della Cina è cresciuto rapidamente, al punto che nel 2023 Christopher Wray, allora direttore dell’FBI, ha rilevato che era più grande di quello di ogni altra grande nazione messa insieme. La crescente potenza e sofisticazione della Cina ha prodotto successi in tre aree principali: nella politica, nel sabotaggio di strutture critiche e nel furto della proprietà intellettuale su scala planetaria.
La Cina impiega in modo integrato operazioni di computer network, di guerra elettronica, economiche, diplomatiche, legali, militari, di intelligence, psicologiche, di inganno militare e di sicurezza per indebolire gli Stati, renderli economicamente dipendenti a Pechino e più disposti a un nuovo ordine mondiale autoritario con caratteristiche distintive cinesi’.
Per questo, a differenza delle tradizionali interpretazioni, l’hacking di Stato di Pechino va inquadrato in un più ampio contesto, dove il controllo di mezzi tecnologici, delle infrastrutture strategiche e delle più importanti catene di approvvigionamento globali, integrano operazioni di guerra “trans militari” e “non militari”, come descritto da due colonnelli cinesi della PLA nel libro dal titolo Unrestricted Warfare del 1999.
Si tratta della cosiddetta Liminal Warfare, una guerra incrementale, dove lo spettro della competizione e del confronto con l’Occidente è talmente ampio che il campo di battaglia è ovunque e la guerra è totale.
Cyber spionaggio politico cinese e operazioni di sorveglianza
Questa forma di spionaggio è legata principalmente al Ministero della sicurezza dello Stato (MSS), il servizio di intelligence estera cinese. L’anno scorso è emerso che un gruppo di hacker cinesi, soprannominato Salt Typhoon, aveva violato almeno nove compagnie telefoniche americane, dando loro accesso alle chiamate e ai messaggi di importanti funzionari.
Ciaran Martin, che ha guidato l’agenzia britannica per la cyber-difesa dal 2016 al 2020, lo paragona alle rivelazioni del 2013 di Edward Snowden, un contractor governativo, secondo cui le agenzie di spionaggio americane stavano conducendo uno spionaggio informatico su vasta scala. Con Salt Typhoon, la Cina stava “ottenendo un vasto accesso alle comunicazioni della nazione attraverso un’operazione di spionaggio strategico di un’audacia mozzafiato”, ha detto Ciaran Martin in una recente analisi dal titolo “Typhoons in Cyberspace”.
L‘uso del cyber spionaggio per la guerra elettronica
Nell’electronic warfare l’hacking serve per il sabotaggio in momenti di crisi o di guerra. Questi sforzi sono guidati dall’Esercito Popolare di Liberazione (PLA), il braccio armato del Partito Comunista Cinese,
Nel 2023 si è scoperto che un gruppo di hacker legati noto come Volt Typhoon, si è introdotto per diversi anni in una straordinaria gamma di infrastrutture critiche americane, dai porti alle fabbriche agli impianti di trattamento delle acque, in tutti gli Stati Uniti continentali e in territori americani strategici come Guam.
“Volt Typhoon è un’operazione militare per scopi politici strategici e potenzialmente militari”, sostiene Ciaran Martin. Gestita dall’unità informatica dell’Esercito Popolare di Liberazione, prevede l’inserimento di impianti preparatori – “trappole digitali”, come sono state definite da alcuni – in ogni sorta di infrastruttura critica americana.
Oltre ad aver colpito un’azienda elettrica statunitense nel Massachusetts nel 2023 in un attacco prolungato che mirava a esfiltrare dati sensibili riguardanti la sua infrastruttura di tecnologia operativa (OT), Volt Typhoon ha guadagnato notorietà l’anno scorso per una serie di attacchi alle telecomunicazioni statunitensi, oltre ad altre infrastrutture critiche a livello globale.
L’azione del sottogruppo Volt Typhoon Voltzite ai dipartimenti Little Electric Light and Water (LELWD) ha spinto l’FBI e la società di sicurezza Dragos ad agire congiuntamente, rivelando i dettagli dell’attacco e la sua mitigazione in un case study pubblicato a marzo 2025.
Il furto di proprietà intellettuale attraverso il cyber spionaggio
Il canale più dannoso per il furto della proprietà intellettuale è lo spionaggio informatico. Le intrusioni informatiche consentono alle aziende cinesi, in alcuni casi agendo sotto la direzione del PCC o con l’assistenza del governo (cosiddetto Cyberspionaggio di Stato), di accedere alle informazioni sulle operazioni proprietarie delle aziende straniere e sulle informazioni sul finanziamento dei progetti, nonché di rubare IP e tecnologia.
La Cina utilizza campagne di spionaggio informatico coordinate e sostenute dal governo per rubare informazioni da una varietà di società commerciali estere, comprese quelle dell’industria petrolifera ed energetica, siderurgica e aeronautica. Il cyber spionaggio è sia un mezzo per rubare scienza e tecnologia a Stati esteri, sia un metodo di raccolta di informazioni per potenziali attacchi contro i sistemi tecnici militari, governativi e commerciali di Paesi target.
Negli Stati Uniti i dati investigativi sullo spionaggio economico cinese sono impressionanti: nel 2014 cinque hacker della PLA sono stati incriminati per spionaggio economico; nel novembre 2017 tre hacker cinesi che avevano lavorato presso la società di cybersecurity Boyusec sono stati incriminati per furto di informazioni commerciali riservate; nel dicembre 2018 c’è stata l’incriminazione di due cittadini cinesi per furto di proprietà intellettuale; nel maggio 2019 c’è stata l’indagine per l’hacking su Anthem; nel febbraio 2020 è toccato a quattro hacker militari per aver preso di mira Equifax; nel luglio 2020 è stata la volta di due hacker associati al Ministero della Sicurezza dello Stato cinese (MSS) per aver hackerato proprietà intellettuale, inclusa la ricerca sul Covid-19; nel settembre 2020 sono stati incriminati i membri di un gruppo di hacker cinese noto come APT 41 e nel luglio 2021 altri hacker associati all’MSS.
L’accusa del dicembre 2018 faceva parte dello sforzo condotto dagli Stati Uniti per sollevare, a livello mondiale, la questione relativa al cyber-spionaggio cinese. In quel caso la campagna, nota come Cloud Hopper, si era sostanziata in un attacco alla catena di approvvigionamento che aveva coinvolto fornitori di servizi gestiti come Hewlett Packard e IBM che forniscono cloud e altri servizi IT ai clienti. Il Dipartimento di Giustizia aveva incriminato due cittadini cinesi che, secondo l’accusa, erano membri di un noto gruppo di hacker operante in Cina. Sempre secondo l’accusa, gli imputati avrebbero lavorato per la Huaying Haitai Science and Technology Development Company ed avrebbero agito in associazione con l’Ufficio per la Sicurezza dello Stato di Tianjin del Ministero della Sicurezza di Stato.
“La RPC ha perpetrato il più grande trasferimento illegittimo di ricchezza nella storia umana, rubando innovazione tecnologica e segreti commerciali da aziende, Università e dai settori della difesa degli Stati Uniti e di altre nazioni”, ha concluso nel 2020 un gruppo di esperti della Casa Bianca.
Nel 2017, la Commission on the Theft of American Intellectual Property ha stimato che il furto della proprietà intellettuale costa all’economia statunitense fino a 600 miliardi di dollari l’anno, con un impatto significativo sull’occupazione e sull’innovazione. Questa cifra si avvicina al budget annuale della difesa nazionale del Pentagono e supera i profitti totali delle prime 50 aziende di Fortune 500.
L’impatto globale del cyber spionaggio cinese
Tali intrusioni informatiche, dunque, rappresentano una minaccia fondamentale per la competitività economica e la sicurezza nazionale degli Stati colpiti.
Nel giugno 2024, l’intelligence militare olandese (MIVD) ha dichiarato che lo spionaggio informatico cinese è più esteso di quanto inizialmente pensato e prende di mira governi occidentali e aziende del settore della difesa. L’agenzia MIVD ha affermato, in particolare, che un gruppo di hacker sostenuto dallo Stato cinese, responsabile di un attacco informatico al Ministero della Difesa olandese nel 2023, ha causato almeno 20.000 vittime in tutto il mondo in pochi mesi, e forse molte di più.
Nel 2018, la Czech National Cyber and Information Security Agency (NUKIB), l’organismo centrale per la sicurezza informatica della Repubblica Ceca, ha emesso un avviso pubblico sui rischi di sicurezza informatica correlati alla Cina. Da allora, il paese ha sviluppato uno dei più rigorosi meccanismi di screening degli IDE e notevoli capacità di sicurezza informatica nei confronti di Pechino. Inoltre, sta anche lavorando sulle risposte alla manipolazione e all’interferenza delle informazioni straniere.
Secondo i procuratori degli Stati Uniti, negli ultimi anni decine di parlamentari europei sono stati presi di mira da attacchi informatici cinesi. Nel marzo 2024, in particolare, il Dipartimento di Giustizia degli Stati Uniti ha emesso un atto d’accusa, affermando che gli hacker cinesi con legami con l’agenzia di spionaggio nazionale, il Ministero della Sicurezza dello Stato (MSS), hanno preso di mira “ogni membro dell’Unione Europea” dell’Alleanza interparlamentare sulla Cina (IPAC), una coalizione di legislatori critici nei confronti di Pechino. Secondo l’atto d’accusa, nel 2021 gli hacker hanno inviato “più di 1.000 e-mail a più di 400 account univoci di individui associati all’IPAC” per cercare di raccogliere dati sulle attività Internet e sui dispositivi digitali dei membri.
Secondo una dettagliata analisi, lo spionaggio cinese si sarebbe infiltrato anche nel Parlamento Europeo.
Le tecnologie critiche come obiettivo del cyber spionaggio cinese
ASML, la nota azienda olandese di litografia per semiconduttori, si trova ad affrontare “migliaia di incidenti di sicurezza all’anno”, con diversi tentativi di infiltrazione cinese andati a buon fine che sono stati resi pubblici. I campioni della ricerca come l’Imec, con sede in Belgio, sono altri obiettivi primari dei cinesi. Negli ultimi anni, le autorità belghe hanno espulso i ricercatori cinesi dell’istituto, sospettati di spionaggio. In risposta, l’Unione Europea sta aumentando la sicurezza. La Commissione ha identificato i semiconduttori avanzati come una delle quattro aree tecnologiche critiche che richiedono valutazioni del rischio e una maggiore sicurezza della ricerca.
Struttura e organizzazione del cyber spionaggio cinese
Secondo Google Threat Intelligence Group la Cina aumenta le sue operazioni di spionaggio utilizzando gruppi di minacce persistenti avanzate come APT41 per combinare la distribuzione di ransomware con la raccolta di informazioni. “Mescolare deliberatamente le attività di ransomware con le intrusioni di spionaggio supporta gli sforzi pubblici del governo cinese per confondere l’attribuzione confondendo le attività di spionaggio informatico con le operazioni di ransomware”.
L’APT41 opererebbe dalla Cina e sarebbe “molto probabilmente un appaltatore del Ministero della Sicurezza di Stato”. Oltre alle campagne di spionaggio sponsorizzate dallo Stato contro un’ampia gamma di settori, l’APT41 avrebbe una lunga storia di operazioni a sfondo finanziario. L’attività di cybercriminalità del gruppo si è concentrata soprattutto sul settore dei videogiochi, compresa la diffusione di ransomware.
Lo spionaggio informatico sponsorizzato dallo Stato cinese costituisce solo una parte della più ampia attività rientrante nel perimetro della guerra informatica.
Tecniche e tattiche del cyber spionaggio cinese
Mandiant Threat Intelligence (una delle più importanti società di intelligence di sicurezza informatica a livello globale) afferma che, dopo la ri strutturazione militare e dell’intelligence voluta da Xi Jinping nel 2016, la tecnica utilizzata dai gruppi di spionaggio informatico affiliati alla Cina si è costantemente evoluta, diventando più furtiva ed agile.
Secondo Mandiant, l’attività di spionaggio informatico di Pechino fa capo sia al Ministero della Sicurezza di Stato (MSS) che alla PLA, ma presenta differenze per ambito geografico, allineamento delle operazioni e vittime. Mentre i gruppi di minaccia affiliati ai Comandi di Teatro operativo della PLA, come Tonto Team e TEMP e Overboard, concentrano le operazioni all’interno delle aree di responsabilità dei rispettivi Comandi, quelli di MSS, come APT41, APT5 e APT10, operano in ambito geografico molto più ampio, come Stati Uniti, Europa, America Latina, Caraibi e Nord America.
In sostanza, l’MSS conduce operazioni di controspionaggio interno, di intelligence straniera non militare e supporta aspetti della sicurezza politica.
Mandiant Threat Intelligence sostiene che i gruppi cinesi, nel tentativo di confondersi con altre attività di minaccia, 235 sono sempre più propensi a utilizzare malware pubblicamente disponibili.
Ciò che distingue l’attività di spionaggio informatico cinese da quella di altri Stati sono l’interesse nazionale perseguito e la portata delle operazioni. Pechino ha requisiti unici nella raccolta di informazioni, ad esempio, a Hong Kong, in Tibet e nella comunità uigura; e in termini di scala l’attività cinese è maggiore.
In sostanza, Mandiant ritiene che i gruppi cinesi legati allo Stato che conducono compromissioni sfruttano più zero-day e sono numericamente maggiori rispetto a quelli di altri Stati. Gli attori cinesi utilizzano una varietà di “vettori di accesso iniziale” come il phishing tramite e-mail e social engineering, la compromissione web strategica e l’SQL injection. Essi hanno inoltre sfruttato efficacemente le compromissioni n-day e zero-day nel 2020/2021 più di qualsiasi altro Stato. All’inizio del 2020, Mandiant ha osservato che uno dei gruppi di spionaggio informatico cinese più prolifici, l’APT41, aveva condotto una campagna su larga scala, sfruttando le vulnerabilità nei dispositivi di rete aziendale e di gestione degli endpoints di Citrix, Cisco e Zoho, riuscendo a colpire più di 75 società presenti in oltre 20 Paesi con attività che andavano dall’aerospazio alla difesa, al farmaceutico, all’energia e ai servizi di pubblica utilità. Da gennaio a marzo 2021, almeno cinque set di attività cinesi hanno sfruttato le vulnerabilità di “ProxyLogon” di Microsoft Exchange per ottenere l’accesso a reti mirate. Mandiant ha anche attribuito molte intrusioni condotte tra agosto 2020 e marzo 2021 nei settori della difesa, governativo, high-tech, dei trasporti e finanziario degli Stati Uniti e dell’Europa a due cluster cinesi, uno dei quali si sospetta che abbia legami con il gruppo noto come APT5. Il gruppo cinese denominato APT10 avrebbe condotto anche attività di compromissione di terze parti tramite MSP in Nord America e in Europa. Durante un’indagine in risposta agli incidenti del 2019 ad un provider di reti di telecomunicazioni, Mandiant ha attribuito il malware denominato MESSAGETAP al gruppo APT41. Gli incidenti di compromissione nella catena di fornitura condotti dagli attori cinesi dal 2013 al 2020 sono quasi il doppio rispetto a quelli di Russia e Corea del Nord messi insieme. APT41 è anche noto per aver compiuto compromissioni su larga scala della catena di fornitura di software di videogiochi e aziendali, come la campagna del 2018 che ha interessato l’utilità di aggiornamento di ASUS, soprannominata da Kaspersky “Operazione ShadowHammer”, che ha coinvolto più di 50.000 sistemi.
Il ruolo delle università nel cyber spionaggio cinese
La Shanghai Jiao Tong University aiuta a condurre operazioni per l’esercito cinese. La Zhejiang University e l’Harbin Institute of Technology sono luoghi di reclutamento di hacker cinesi. La Xidian University fa acquisire ai suoi studenti un’esperienza pratica presso un Ufficio provinciale dell’MSS e ha anche avuto una relazione con il Terzo Dipartimento dello Stato Maggiore della PLA prima di essere rioganizzata nel Dipartimento dei Sistemi di Rete nel 2015; un suo corso di laurea è amministrato congiuntamente con il Guangdong Bureau del China Information Technology Security and Evaluation Center (o Guangdong ITSEC), un Ufficio dell’MSS che gestisce una squadra a contratto prolifica nell’hacking.
La Southeast University ha un rapporto duraturo con i servizi di sicurezza e gestisce congiuntamente il Purple Mountain Lab con la PLA Strategic Support Force, dove i ricercatori lavorano insieme su “importanti requisiti strategici”, sistemi operativi per computer e ricerca interdisciplinare sulla sicurezza informatica. Questa Università riceve anche finanziamenti da PLA e MSS per supportare lo sviluppo delle capacità informatiche della Cina. Il corso di laurea in sicurezza informatica della Shanghai Jiaotong University (SJTU) si tiene in una base di ingegneria dell’informazione della PLA; il suo Cyberspace Security Science and Technology Research Institute, sede del programma Network Confrontation and Information System Security Testing, conduce ricerche che abilitano le operazioni informatiche. All’interno di questo programma, la SJTU afferma di lavorare su “test e valutazione di reti e sistemi informativi, test di sicurezza per reti connesse intelligenti, test di attacco e difesa APT e tecnologia chiave di cyber range”.
Sono ritenuti partner universitari del MSS nel reclutamento di talenti l’Università di Scienza e Tecnologia della Cina, l’Università Jiao Tong di Shanghai, l’Università Xi’an Jiaotong, l’Istituto di Tecnologia di Pechino, l’Università di Nanchino e l’Istituto di Tecnologia di Harbin. Alcune società cinesi di sicurezza informatica, come la Beijing TopSec, lavorano con la PLA in campagne di hacking, formazione di operatori e istruzione di futuri hacker.
Sicurezza IT e minaccia cybersecurity: Report 2024 dell'osservatorio del Politecnico di Milano
