Dalla scoperta delle intrusioni da parte di hacker cinesi nelle reti di telecomunicazioni statunitensi, con il conseguente avvio delle dovute indagini, sono passati mesi e ancora sembra che gli USA non riescano a liberarsene.
In più emerge da fonti di intelligence USA che a essere colpite sono le reti di una dozzina di Paesi (non citati).
L’Agenzia per la sicurezza informatica e delle infrastrutture e l’FBI hanno diffuso una guida per il potenziamento delle reti di telecomunicazioni e il contrasto agli hacker cinesi.
L’attacco di Salt Typhoon alle reti
È la prima volta che i funzionari statunitensi confermano le notizie sul fatto che persiste l’accesso alle infrastrutture critiche USA da parte degli hacker cinesi Salt Typhoon e, a distanza di mesi, non si conosce ancora la portata totale delle intrusioni. Salt Typhoon è il nome che è stato dato per identificare gli hacker cinesi supportati dal governo di Pechino che sono entrati in azione mesi fa contro alcuni provider internet americani (ISP) in una campagna di spionaggio informatico con l’obiettivo di ottenere un punto d’appoggio persistente all’interno delle reti target, consentendo ai threat actor di raccogliere dati sensibili o di lanciare un attacco informatico dannoso
L’area maggiormente colpita da questi attacchi sembra essere stata quella metropolitana di Washington e, in alcuni casi, sono stati violati anche messaggi di testo e telefonate di persone specifiche. Per ora dai funzionari di FBI e CISA nessuna rivelazione sui nomi dei fornitori di comunicazioni e degli individui che sono stati attaccati, ma secondo quanto a fine ottobre aveva riportato Reuters, senza confermare la notizia, gli attori cinesi si sono introdotti nel sistema di Verizon, il più importante fornitore statunitense di banda larga, anche per intercettare le conversazioni telefoniche sia delle persone affiliate alla campagna di Kamala Harris sia di quelle legate alla campagna di Trump, nel periodo delle elezioni presidenziali, così come AT&T e Lumen.
T-Mobile resiste all’infiltrazione degli hacker
Da quanto è stato dichiarato da T-Mobile, operatore multinazionale di telefonia mobile, le cui varie società controllate gestiscono reti GSM in Europa e negli Stati Uniti, pare che sia stata obiettivo di un tentativo di infiltrazione nei suoi sistemi, ma che sia riuscita a impedirne la violazione. Jeff Simon, responsabile della sicurezza di T-Mobile, ha dichiarato in un’intervista a Bloomberg News che il suo team è stato avvisato dei tentativi di intrusione quando ha rilevato utenti non autorizzati che eseguivano comandi sui dispositivi di rete dell’azienda: gli hacker sembravano aver prima ottenuto l’accesso alla rete di un provider di telefonia mobile collegato a quella di T-Mobile e hanno cercato di usarla come punto d’appoggio, ma non sono riusciti ad avere accesso ai dati sensibili dei clienti. Comunque, la stessa T-Mobile non ha confermato che queste attività fossero legate al gruppo Salt Typhoon o a un qualche altro gruppo, cinese o meno, di hacker
Guida per rafforzare le reti di comunicazione
La CISA, Cybersecurity and Infrastructures Security Agency, Agenzia per la sicurezza informatica e delle infrastrutture, e l’FBI hanno pubblicato qualche giorno fa una guida per il settore delle comunicazioni per rafforzare le reti contro gli hacker sponsorizzati dallo Stato cinese, alla quale hanno contribuito anche Cisco e Google Cloud Security.
Uscita nella sua versione definitiva il 4 dicembre scorso, questa guida, dal titolo “Enhanced Visibility and Hardening Guidance for Communications Infrastructure”, ossia Linee guida per una maggiore visibilità e un rafforzamento delle infrastrutture di comunicazione, include misure di base come il mantenimento dei registri delle attività sulla rete, la tenuta di un inventario di tutti i dispositivi nell’ambiente delle telecomunicazioni e la modifica delle password predefinite delle apparecchiature.
Nell’introduzione si legge che “L’Agenzia per la sicurezza informatica e delle infrastrutture (CISA), l’Agenzia per la sicurezza nazionale (NSA), il Federal Bureau of Investigation (FBI), il Centro australiano per la sicurezza informatica (ACSC) dell’Australian Signals Directorate (ASD), il Centro canadese per la sicurezza informatica (CCCS) e il Centro nazionale per la sicurezza informatica della Nuova Zelanda (NCSC-NZ) avvertono che attori della Repubblica Popolare Cinese (RPC) hanno compromesso le reti di importanti fornitori di telecomunicazioni globali per condurre un’ampia e significativa campagna di spionaggio informatico”. Da qui, l’intento di “fornire ai tecnici di rete e ai difensori delle infrastrutture di comunicazione le migliori pratiche per rafforzare la loro visibilità e rendere più resistenti i loro dispositivi di rete contro lo sfruttamento effettuato con successo da attori informatici affiliati alla RPC e da altri malintenzionati”, estendibile anche alle organizzazioni con apparecchiature aziendali in sede.
Implementazione delle migliori pratiche di sicurezza
La guida si sviluppa in diverse sezioni: “Rafforzare la visibilità”, “Rafforzamento dei sistemi e dei dispositivi”, “Guida specifica di Cisco”, “Segnalazione degli incidenti”, “Security by Design”.
Partendo dal rafforzamento della visibilità, viene subito specificato che per “visibilità” si intende la “capacità delle organizzazioni di monitorare, rilevare e comprendere le attività all’interno delle loro reti. Alta visibilità significa avere una visione dettagliata del traffico di rete, dell’attività degli utenti e del flusso di dati, consentendo ai difensori della rete di identificare rapidamente minacce, comportamenti anomali e vulnerabilità. La visibilità è fondamentale per i tecnici e i difensori di rete, in particolare per l’identificazione e la risposta agli incidenti”. In merito al rafforzamento di sistemi e dispositivi, per limitare i potenziali punti di ingresso per le minacce informatiche affiliate alla RPC e di altro tipo è importante ridurre le vulnerabilità, migliorare le abitudini di configurazione sicura e rispettare le best practice. Seguono indicazioni su protocolli e processi di gestione e si arriva alla guida specifica di Cisco, che include una serie di migliori pratiche da applicare a tutti i sistemi operativi Cisco, tra le maggiori vittime di minacce informatiche della RPC.
La guida si chiude con tutte le informazioni utili per segnalare gli incidenti, da quelle legate alle organizzazioni statunitensi, a quelle australiane, canadesi e neozelandesi, e con l’esorto a seguire i principi della Security by Design nel ciclo di sviluppo del software.
