Il governo cinese ha sviluppato un sistema sofisticato di “hack-for-hire” – hackers a noleggio – unico nel suo genere (Figura 1). Il sistema garantisce alle agenzie di sicurezza cinesi l’accesso prioritario alle vulnerabilità “zero-day” identificate dai migliori hacker civili della Cina, permettendo a Pechino di intraprendere le sue operazioni cyber di spionaggio affidandone l’esecuzione a contractor privati.
Per zero-day si intendono falle in un sistema informatico, software o rete che possono essere sfruttate da attori ostili per ottenere accesso non autorizzato ai sistemi target per scopi di spionaggio o offensivi. A differenza di altri tipi di vulnerabilità, le zero-day sono particolarmente pericolose perché sono sconosciute al fornitore pertinente o ai responsabili della sicurezza fino al momento in cui vengono scoperte (quindi non sono disponibili patch).
Figura 1: Il sistema cyber offensivo cinese (grafico elaborato dall’autore)
Il ruolo degli hacker civili nel sistema cyber offensivo cinese
Nonostante il loro ruolo cruciale, il contributo degli hacker civili all’interno del sistema cyber offensivo cinese è rimasto in gran parte inesplorato. Il mio rapporto di ricerca, “From Vegas to Chengdu”, analizza il funzionamento di questo sistema, con particolare attenzione al ruolo degli hacker civili, ai loro focus di ricerca e alla loro organizzazione interna. La ricerca evidenzia che, nonostante un vasto programma di spionaggio, Pechino si affida a un gruppo relativamente limitato di hacker civili e società private per individuare le vulnerabilità critiche nei prodotti software e hardware occidentali, in particolare quelli di Apple, Google e Microsoft.
Competizioni di hacking e programmi di bug bounty: piattaforme di rilievo
Il processo di ricerca delle vulnerabilità zero-day è svolto da persone altamente qualificate, liberi professionisti o, nella maggior parte dei casi, persone che lavorano per il settore privato o per il governo. Per facilitare il rapido sviluppo di patch molte aziende incoraggiano la ricerca e l’identificazione di zero-day nei propri prodotti e sistemi attraverso iniziative cosiddette “bug bounty“: programmi attraverso il quale un’organizzazione compensa esperti di sicurezza informatica esterni per scoprire e segnalare le vulnerabilità nei propri prodotti. Per contro, i governi si trovano di fronte a un dilemma: possono scegliere di utilizzare le vulnerabilità scoperte dai propri esperti per scopi di sicurezza nazionale (ad esempio, per operazioni di spionaggio o offensive) o di rivelarle al fornitore pertinente perché vi ponga immediatamente rimedio rendendo il prodotto più sicuro attraverso la creazione di una patch. Sebbene vi possa essere una certa sovrapposizione nelle vulnerabilità identificate, questi ricercatori operano generalmente in domini distinti.
La collaborazione tra hacker civili e il governo cinese
In Cina non esiste una netta separazione tra la ricerca sulle vulnerabilità condotta dai civili e quella condotta dal governo. Il “Regolamento sulla gestione delle vulnerabilità della sicurezza dei prodotti di rete”, emanato dal governo cinese nel 2021, impone a tutti i ricercatori cinesi di segnalare alle autorità le vulnerabilità software e hardware entro 48 ore dalla loro scoperta. Le agenzie governative cinesi possono così scegliere quali vulnerabilità divulgare pubblicamente e quali utilizzare in future operazioni cyber. Questo sistema si è rivelato efficace per la Cina. Come rivelato dall’analisi Sadowski e Charrier 2023 di Google Mandiant, gli attori ostili cinesi hanno sfruttato più zero-day in numero assoluto di qualsiasi altro Paese. I prodotti più bersagliati: quelli di Apple, Google e Microsoft.
Per identificare i principali attori di questo fenomeno, inclusa la quantità di vulnerabilità trasmesse alle agenzie governative, ho esaminato i dati pubblicamente disponibili sulle vulnerabilità identificate e segnalate dagli hacker civili cinesi nei programmi di bug bounty di Apple, Android (Google) e Microsoft. Dalla mia analisi emerge un pattern: un gruppo ristretto di ricercatori cinesi si distingue per la significativa quantità di vulnerabilità individuate. Questi ricercatori sono affiliati ad un numero altrettano ristretto di aziende che inviano il maggior numero di vulnerabilità alla principale agenzia di intelligence cinese, il Ministero della Sicurezza dello Stato (MSS).
Hacker superstar nel sistema cyber offensivo cinese
Nel sistema offensivo cyber cinese, gli hacker cinesi possono essere suddivisi a grandi linee in due gruppi distinti, come rappresentato in Figura 1.
Gli hacker “d’élite”
Il primo gruppo include un’élite di ricercatori che si sono distinti partecipando e vincendo competizioni internazionali di hacking di prestigio, come Pwn2Own e la Tianfu Cup, e contribuendo ai programmi di bug bounty di prodotti critici. I programmi di bug bounty favoriscono la scoperta collaborativa attraverso un sistema di crowdsourcing completamente online con ricercatori che inviano rapporti dettagliati per facilitare lo sviluppo di patch. Le competizioni di hacking sono eventi competitivi in cui esperti altamente qualificati si sfidano per trovare e sfruttare zero-day in tempo reale. Entrambe le iniziative incentivano gli hacker civili a individuare e segnalare vulnerabilità zero-day in sistemi critici, principalmente occidentali, in cambio di premi in denaro.
Gli hacker “non pubblici”
Il secondo gruppo include gli hacker “non pubblici” che operano come contractor per il governo, come evidenziato da varie incriminazioni negli Stati Uniti negli ultimi anni. Questi individui non partecipano a competizioni di hacking né contribuiscono generalmente a programmi di bug bounty, ma eseguono direttamente operazioni cyber contro specifici obiettivi per fini spionistici o offensivi.
Il resto di questo articolo esplorerà come gli hacker del primo gruppo, sebbene si concentrino principalmente sulla ricerca di vulnerabilità per migliorare la sicurezza informatica, contribuiscano nel medio e lungo termine al sistema cyber offensivo della Cina, comunicando le loro scoperte al governo e supportando, di fatto, gli hacker contractor nel soddisfare i requisiti delle loro missioni. Questa configurazione sfrutta efficacemente i ricercatori di vulnerabilità d’elite, minimizzando nel contempo i loro rischi professionali e reputazionali grazie al loro coinvolgimento non diretto in attività ostili sostenute dallo Stato.
Gli hacker cinesi ai vertici del Pwn2Own, la “Coppa del Mondo” degli hacker
Dal 2014 al 2017 gli hacker cinesi sono stati ai vertici del Pwn2Own, una gara annuale di hacking che si tiene a Vancouver, in Canada, considerata la “Coppa del Mondo” degli hacker. Tra il 2014 e il 2017, il montepremi è stato compreso tra 460.000 e 850.000 dollari. Nel 2014, un’unica squadra cinese si è aggiudicata il 13% del montepremi totale. Nel 2017, diverse squadre dei colossi tech cinesi Qihoo 360 e Tencent si sono aggiudicate collettivamente quasi l’80% del montepremi. Nel novembre 2018, dopo il divieto imposto dal governo cinese ai ricercatori di vulnerabilità di partecipare a eventi internazionali di hacking come Pwn2Own, è stata inaugurata a Chengdu una competizione cinese equivalente, la Tianfu Cup.
Le competizioni annuali di hacking offrono preziose indicazioni sulle capacità e sulle priorità di ricerca dei partecipanti, ma forniscono dati limitati per valutare compiutamente il focus a lungo termine delle loro attività di ricerca. Per approfondire questo aspetto, ho analizzato i contributi dei team cinesi ai programmi di bug bounty di Apple, Android (Google) e Microsoft. Secondo la mia analisi, tra il 2017 e il 2023, i ricercatori cinesi hanno contribuito con quasi il 30% di tutte le vulnerabilità segnalate ad Apple, Android (Google) e Microsoft a livello globale.
Tra il 2017 e il 2020, la maggior parte delle segnalazioni a ciascuna delle tre piattaforme è stata prodotta da gruppi appartenenti al colosso cinese di cybersecurity Qihoo 360, seguito da Tencent. Quasi il 70% delle vulnerabilità segnalate dai ricercatori cinesi ad Android (Google), il 60% a Microsoft e il 31% ad Apple provengono da Qihoo 360. In seguito, tra il 2021 e il 2023, ricercatori affiliati a Cyber Kunlun, OPPO e Ant Group hanno superato Qihoo 360 e Tencent come principali contributori rispettivamente per Microsoft, Android (Google) e Apple. All’interno di queste aziende, pochi ricercatori si sono distinti come maggiori contributori di bug bounty, tra cui, i principali, Yuki Chen e Zinuo Han che hanno stabilito standard eccezionalmente elevati.
Tra il 2017 e il 2020, Han Zinuo e Yuki Chen di Qihoo 360 hanno rispettivamente contribuito con oltre il 50% e il 65% delle vulnerabilità segnalate da Qihoo 360 ad Android (Google) e Microsoft. Le variazioni nei contributi delle singole aziende possono spesso essere attribuite a un singolo individuo che si sposta da un’azienda all’altra. Questo è stato particolarmente evidente dal 2020 in poi. Ad esempio, quando Han Zinuo è passato da Qihoo 360 a OPPO nel 2020, le segnalazioni da parte di Qihoo 360 a Android (Google) sono diminuite significativamente, mentre OPPO ha registrato un notevole aumento, principalmente grazie ai contributi di Han. Allo stesso modo, quando Yuki Chen è passato da Qihoo 360 a Cyber Kunlun nel 2020, Microsoft ha visto una significativa diminuzione dei contributi provenienti da Qihoo 360. Cyber Kunlun, invece, ha registrato una notevole impennata dei contributi a Microsoft, con Chen responsabile di oltre il 60% di tali segnalazioni.
La ricerca di vulnerabilità delle superstar degli hacker cinesi è di enorme utilità per la sicurezza dei prodotti critici occidentali. Allo stesso tempo, è probabile che le loro scoperte siano esaminate dall’agenzia di intelligence cinese, l’MSS, per operazioni cyber offensive o di spionaggio.
La “militarizzazione” degli hacker civili cinesi
Il governo cinese utilizza sistematicamente in varie forme risorse civili per scopi strategici. Università, aziende e altri enti collaborano con il governo cinese in una gamma di attività informatiche, che includono la scoperta e la segnalazione di vulnerabilità zero-day, la formazione di personale informatico per le forze armate, la creazione di laboratori di ricerca sulla difesa e lo sviluppo di infrastrutture informatiche private per operazioni cyber di matrice statale. Sebbene alcune di queste collaborazioni possano avere analogie con quelle dei paesi occidentali, il sistema cinese va oltre.
Regolamentazioni e impatto sulla divulgazione delle vulnerabilità
A partire dal 2018, il governo cinese ha introdotto rigorose regolamentazioni sul lavoro dei ricercatori di sicurezza informatica e degli studenti coinvolti in competizioni di hacking e programmi di bug bounty, rafforzando il controllo sul processo di scoperta e divulgazione delle vulnerabilità. In una prima fase, Pechino ha vietato ai ricercatori cinesi di partecipare a competizioni di hacking all’estero (2018), impedendo così la divulgazione pubblica delle vulnerabilità in eventi come Pwn2Own. Successivamente, nel 2021, il governo cinese ha emanato il “Regolamento sulla gestione delle vulnerabilità di sicurezza nei prodotti di rete (RMSV)”, obbligando le aziende tecnologiche cinesi e i loro ricercatori a segnalare direttamente al governo le vulnerabilità zero-day entro due giorni dalla scoperta. Questo flusso costante di zero-day consente alle agenzie governative cinesi di decidere quali vulnerabilità rendere pubbliche e quali mantenere segrete per scopi spionistici o offensivi.
Secondo il Digital Defense Report 2022 di Microsoft “la normativa cinese sulla segnalazione delle vulnerabilità è entrata in vigore nel settembre 2021, segnalando per la prima volta al mondo che un governo richiede la comunicazione delle vulnerabilità a un’autorità governativa prima che la vulnerabilità venga condivisa con il fornitore del prodotto o del servizio… questo nuova regolamento potrebbe consentire a elementi del governo cinese di accumulare le vulnerabilità segnalate per scopi offensivi”.
Il caso Log4Shell e le conseguenze
La prima applicazione concreta dell’RMSV è avvenuta due mesi dopo l’entrata in vigore della legge, in concomitanza con la scoperta di una delle vulnerabilità più significative a memoria d’uomo. Nel novembre 2021, Chen Zhajoun, security engineer del team di cybersecurity di Alibaba Cloud, ha scoperto Log4Shell, una vulnerabilità critica in Apache Log4j, una libreria di log basata su Java utilizzata da milioni di persone in tutto il mondo. Zhajoun ha segnalato Log4Shell direttamente ad Apache, che l’ha resa nota poche settimane dopo sviluppando una patch. Jen Easterly, direttrice dell’Agenzia statunitense per la sicurezza informatica e delle infrastrutture, l’ha definita “una delle più gravi [vulnerabilità] che ho visto in tutta la mia carriera, se non la più grave”.
Le misure del Governo cinese
Mentre la comunità internazionale era impegnata a mitigare l’impatto di Log4Shell, la reazione della Cina alla scoperta di Log4Shell è passata in gran parte inosservata. Poche settimane dopo la divulgazione, Alibaba Cloud ha dovuto subire le sanzioni previste dall’RMSV per la mancata segnalazione di Log4Shell alle autorità statali. Alibaba è stata multata e la sua collaborazione per la condivisione delle informazioni con il Ministero dell’Industria e della Tecnologia dell’Informazione (MIIT) cinese è stata sospesa.
Attraverso queste misure, il governo cinese dimostra la sua intenzione di penalizzare i ricercatori che segnalano vulnerabilità critiche ai fornitori, aumentando la pressione legale affinché rivelino le vulnerabilità direttamente al governo.
L’efficacia del sistema cinese nella gestione delle vulnerabilità zero-day
Tuttavia, l’RMSV, pur essendo il principale strumento per l’acquisizione di zero-day, non è l’unico canale attraverso il quale le agenzie governative cinesi accedono alle vulnerabilità scoperte dai ricercatori civili.
Nel 2023, gli analisti Kristin Del Rosso e Dakota Cary hanno scoperto un processo alternativo e più sottile che coinvolge un’ulteriore entità, il China National Vulnerability Database of Information Security (CNNVD), supervisionato dall’agenzia di intelligence cinese MSS.
Questa struttura riceve rapporti dettagliati di zero-day dai ricercatori tramite partnership volontarie con aziende private, suddivise su tre livelli in base alle quantità di segnalazioni annuali di zero-day. Il livello 1, che richiede il maggior numero di segnalazioni, comprende solo 29 aziende, tra cui Qihoo 360, Cyber Kunlun, Sangfor, Tencent e Ant Group. Queste ultime, come osservato precedentemente in questo articolo e nel rapporto “From Vegas to Chengdu”, ospitano i principali ricercatori che contribuiscono con un volume significativo di zero-day ai programmi bug bounty di Apple, Android (Google) e Microsoft. Già nel 2017, la società di threat intelligence Recorded Future ha dimostrato che le vulnerabilità segnalate al CNNVD sono valutate dall’MSS per la loro utilità nelle operazioni di intelligence.
I vantaggi della pipeline delle vulnerabilità
Questa pipeline di vulnerabilità offre alle agenzie governative cinesi un vantaggio significativo rispetto alle loro controparti occidentali. Scoprire vulnerabilita zero-day è un processo costoso e che richiede tempo. Per un governo farlo in modo indipendente comporta notevoli investimenti logistici e di risorse. In alternativa, come sottolinea il ricercatore Max Smeets, l’acquisto di zero-day dai black markets è costoso e caratterizzato da asimmetrie informative tra venditori e acquirenti, rendendo difficile individuare prodotti affidabili. Posizionandosi strategicamente come destinatario finale nei processi di divulgazione delle vulnerabilità dei ricercatori civili, il governo cinese sfrutta efficacemente alcuni dei migliori ricercatori di vulnerabilità del mondo su larga scala e a costo zero.
Rischi e considerazioni etiche del modello cinese
L’analisi dei dati relativi ai bug bounty di Apple, Android (Google) e Microsoft dal 2017 alla fine del 2023 ha rivelato un numero significativo di contributi da parte di ricercatori cinesi. Questo esame evidenzia che una parte significativa dei contributi cinesi a queste piattaforme proviene da un piccolo numero di aziende private e ricercatori specializzati, dove anche le fluttuazioni nelle prestazioni di singole aziende spesso derivano da spostamenti individuali tra poche organizzazioni. Le vulnerabilità scoperte nei prodotti occidentali dai ricercatori civili cinesi sono con alta probabilità condivise con le agenzie governative, dato che a) la legge cinese impone ai ricercatori di segnalare le vulnerabilità alle autorità statali; e b) le aziende a cui essi sono affiliati sono tenute a presentare ogni anno un numero minimo di vulnerabilità al CNNVD, gestito dall’MSS, per mantenere il loro status.
Questo approccio offre un netto vantaggio rispetto alle tradizionali acquisizioni di zero-day, contribuendo a far sì che gruppi cinesi affiliati allo Stato sfruttino più zero-day di qualsiasi altro Paese. Tuttavia, la sua emulazione da parte di stati democratici potrebbe sollevare dilemmi etici, poiché potrebbe entrare in conflitto con valori fondamentali come la trasparenza e la fiducia sulla quale si basa la divulgazione responsabile delle vulnerabilità. Ogni Paese deve decidere se e quali elementi del modello cinese adottare, in base ai propri valori e alle proprie esigenze specifiche. È fondamentale considerare i rischi di tale approccio, soprattutto se le agenzie governative accumulano vulnerabilità senza seguire il processo di divulgazione. Ad esempio, nel 2016, un gruppo di hacker chiamato Shadow Brokers ha violato e divulgato una riserva di capacità informatiche accumulate dalla National Security Agency (NSA) americana, tra cui la vulnerabilità EternalBlue, utilizzata poi nei devastanti attacchi ransomware WannaCry e NotPetya un anno più tardi.
Infine, l’uso improprio dei risultati delle vulnerabilità potrebbe minare la fiducia nel processo di divulgazione e dissuadere i ricercatori dal segnalare le vulnerabilità.
Conclusioni
Gli Stati possono però trarre ispirazione dall’approccio olistico della Cina in relazione alla formazione di talenti (descritto in dettaglio nel rapporto di ricerca “From Vegas to Chengdu”) e in particolare, dall’ integrazione delle competizioni di hacking e dei programmi di bug bounty nelle università e nelle culture aziendali. Adottando pratiche simili, le democrazie possono mettere gli hacker civili in condizione di identificare e sviluppare i propri punti di forza, promuovendo al contempo reti di individui qualificati. Questo può migliorare significativamente la cybersecurity delle organizzazioni con cui collaborano, contribuendo in ultima analisi al più ampio sistema di sicurezza informatica, compresi gli obiettivi di sicurezza nazionale.
