hacker cinesi, la fuga di notizie da I-Soon

I-Soon (上海安洵), un’azienda che lavora per molte agenzie della RPC, tra cui il Ministero della Pubblica Sicurezza, il Ministero della Sicurezza di Stato e l’Esercito di Liberazione del Popolo, è stata oggetto di una fuga di dati nel fine settimana del 16 febbraio.

Non si sa chi abbia sottratto le informazioni né quali siano le motivazioni, ma questa fuga di notizie offre uno sguardo inedito sulle operazioni interne di un’azienda di hacking affiliata allo Stato.

L’autenticità dei documenti non è ancora stata accertata. Sebbene il contenuto della fuga di notizie confermi le informazioni pubbliche sulle minacce, gli sforzi per corroborare ulteriormente i documenti sono in corso.

Listino prezzi. Un’amministrazione locale nel sud-ovest della Cina ha pagato meno di 15.000 dollari per accedere al sito web privato della polizia stradale del Vietnam. Il software che aiutava a condurre campagne di disinformazione e a violare gli account su X costava 100.000 dollari. Per 278.000 dollari i clienti cinesi potevano ottenere una serie di informazioni personali dietro gli account dei social media su piattaforme come Telegram e Facebook.

Le offerte, descritte in dettaglio nei documenti trapelati, erano una parte degli strumenti di hacking e delle cache di dati venduti da I-Soon, una delle centinaia di aziende che sostengono gli sforzi aggressivi di hacking sponsorizzati dallo Stato cinese. Il lavoro fa parte di una campagna per penetrare nei siti web di governi stranieri e di aziende di telecomunicazioni.

I dati trapelati hanno rivelato uno sforzo durato otto anni per colpire banche dati e intercettare le comunicazioni in Corea del Sud, Taiwan, Hong Kong, Malesia, India e in altre parti dell’Asia. I file mostrano anche una campagna per monitorare da vicino le attività delle minoranze etniche in Cina e delle società di gioco d’azzardo online.

I file hanno offerto un raro sguardo all’interno del mondo segreto degli hacker su commissione sostenuti dallo Stato cinese. Essi illustrano come le forze dell’ordine cinesi e la loro principale agenzia di spionaggio, il Ministero della Sicurezza di Stato, abbiano scavalcato i propri ranghi per attingere ai talenti del settore privato in una campagna di hacking che, secondo i funzionari degli Stati Uniti, ha preso di mira aziende americane e agenzie governative.

“Abbiamo tutte le ragioni per credere che si tratti dei dati autentici di un appaltatore che sostiene operazioni di cyber-spionaggio globali e nazionali dalla Cina”, ha dichiarato John Hultquist, analista capo di Mandiant Intelligence di Google.

Hultquist ha dichiarato che la fuga di notizie ha rivelato che I-Soon lavorava per una serie di enti governativi cinesi che sponsorizzano l’hacking, tra cui il Ministero della Sicurezza di Stato, l’Esercito di Liberazione Popolare e la polizia nazionale cinese. A volte i dipendenti dell’azienda si sono concentrati su obiettivi all’estero. In altri casi hanno aiutato il temuto Ministero della Pubblica Sicurezza cinese a sorvegliare i cittadini cinesi all’interno e all’estero.

“Fanno parte di un ecosistema di appaltatori che ha legami con la scena dell’hacking patriottico cinese, che si è sviluppata due decenni fa e da allora è diventata legale”, ha aggiunto, riferendosi all’emergere di hacker nazionalisti che sono diventati una sorta di industria a domicilio.

Le rivelazioni sottolineano il grado in cui la Cina ha ignorato, o eluso, gli sforzi americani e di altri Paesi per limitare le sue vaste operazioni di hacking per oltre un decennio. E arrivano mentre i funzionari americani avvertono che Pechino non solo ha raddoppiato le sue attività, ma è passato dal semplice spionaggio all’impianto di codice maligno nelle infrastrutture critiche americane, forse per prepararsi a un giorno in cui scoppierà il conflitto su Taiwan.

L’uso da parte del governo cinese di appaltatori privati per hackerare per suo conto si rifà alle tattiche di Iran e Russia, che da anni si rivolgono a entità non governative per colpire obiettivi commerciali e ufficiali. Sebbene l’approccio dispersivo allo spionaggio di Stato possa essere più efficace, si è dimostrato anche più difficile da controllare.

In parte, il cambiamento è dovuto alla decisione del leader cinese Xi Jinping di elevare il ruolo del Ministero della Sicurezza di Stato e di impegnarsi in un maggior numero di attività di hacking, che in precedenza erano principalmente di competenza dell’Esercito Popolare di Liberazione. Sebbene il ministero della Sicurezza sottolinei l’assoluta fedeltà a Xi e al governo del Partito comunista, le sue operazioni di hacking e spionaggio sono spesso avviate e controllate da uffici di sicurezza statale di livello provinciale.

Questi uffici a volte, a loro volta, affidano le operazioni di hacking a gruppi con interessi commerciali: una ricetta per attività di spionaggio a volte cavillose e persino sciatte, che non tengono conto delle priorità diplomatiche di Pechino e possono turbare i governi stranieri con le loro tattiche.

Alcune parti del governo cinese sono ancora impegnate in sofisticati hackeraggi dall’alto verso il basso, come il tentativo di inserire codice all’interno dell’infrastruttura principale degli Stati Uniti. Ma il numero complessivo di hack originati in Cina è aumentato e gli obiettivi sono più ampi, tra cui informazioni sui vaccini contro l’ebola e sulla tecnologia delle auto senza conducente.

I materiali inclusi nella fuga di notizie che promuovevano le tecniche di hacking di I-Soon descrivevano tecnologie costruite per penetrare negli account di posta elettronica di Outlook e per ottenere informazioni come gli elenchi di contatti e i dati di localizzazione dagli iPhone di Apple. Un documento sembrava contenere un’ampia documentazione sui voli di una compagnia aerea vietnamita, compresi i numeri di identità, le occupazioni e le destinazioni dei viaggiatori.

I-Soon ha dichiarato di aver costruito una tecnologia in grado di soddisfare le richieste interne della polizia cinese, compreso un software in grado di monitorare il sentimento pubblico sui social media all’interno della Cina. Un altro strumento, realizzato per colpire gli account su X, potrebbe estrarre indirizzi e-mail, numeri di telefono e altre informazioni identificabili relative agli account degli utenti e, in alcuni casi, aiutare a violare tali account.

Negli ultimi anni, le forze dell’ordine cinesi sono riuscite a identificare attivisti e critici del governo che avevano postato su X utilizzando account anonimi dall’interno e dall’esterno della Cina. Spesso hanno usato minacce per costringere gli utenti di X a rimuovere i post che le autorità ritenevano eccessivamente critici o inappropriati.

Anche se la fuga di notizie ha coinvolto solo uno dei numerosi fornitori di servizi di hacking della Cina, gli esperti hanno affermato che l’enorme quantità di dati potrebbe aiutare le agenzie e le aziende che lavorano per difendersi dagli attacchi cinesi.

“Questa rappresenta la più significativa fuga di dati legata a un’azienda sospettata di fornire servizi di cyber-spionaggio e di intrusione mirata per i servizi di sicurezza cinesi”, ha dichiarato Jonathan Condra, direttore delle minacce strategiche e persistenti presso Recorded Future, una società di cybersicurezza.

Tra le informazioni violate vi era un ampio database della rete stradale di Taiwan, un’isola democratica che la Cina rivendica da tempo e minaccia di invadere. I 459 gigabyte di mappe provengono dal 2021 e mostrano come aziende come I-Soon raccolgano informazioni che possono essere militarmente utili, hanno detto gli esperti. Lo stesso governo cinese ha da tempo considerato sensibili i dati di navigazione della guida cinese e ha posto limiti severi a chi può raccoglierli.

Altre informazioni comprendevano servizi di posta elettronica interni o accessi intranet per diversi ministeri governativi del Sud-Est asiatico, tra cui i ministeri degli Esteri e della Difesa della Malesia e l’agenzia nazionale di intelligence della Thailandia. Secondo i documenti, anche i dati sull’immigrazione provenienti dall’India, che riguardavano i dettagli dei voli e dei visti di passeggeri nazionali e stranieri.

I-Soon ha avuto accesso a dati di aziende private come le società di telecomunicazioni in Kazakistan, Mongolia, Myanmar, Vietnam e Hong Kong.

Le rivelazioni ottenute sugli attacchi cinesi confermeranno probabilmente i timori dei politici di Washington, dove i funzionari hanno lanciato ripetuti avvertimenti negativi su questo tipo di attacchi. Lo scorso fine settimana, a Monaco di Baviera, il direttore del Federal Bureau of Investigation, Christopher A. Wray, ha dichiarato che le operazioni di hacking dalla Cina sono ora dirette contro gli Stati Uniti su “una scala superiore a quella che abbiamo visto prima” e le ha classificate tra le principali minacce alla sicurezza nazionale dell’America.

È stato uno dei primi funzionari di alto livello a parlare apertamente di Volt Typhoon, il nome di una rete cinese di hacker che ha inserito un codice nelle infrastrutture critiche, provocando allarmi in tutto il governo. I funzionari dell’intelligence ritengono che il codice fosse destinato a inviare un messaggio: che in qualsiasi momento la Cina potrebbe interrompere le forniture elettriche, idriche o le comunicazioni.

Alcuni codici sono stati trovati vicino a basi militari americane che dipendono dalle infrastrutture civili per funzionare, in particolare quelle che sarebbero coinvolte in una risposta rapida a un attacco a Taiwan.”È la punta dell’iceberg”, ha concluso Wray.