Per le agenzie di sicurezza americane le vulnerabilità dei sistemi di sicurezza delle grandi aziende tecnologiche, già note da anni, hanno permesso le violazioni degli hacker cinesi
Secondo un comunicato dei funzionari statunitensi, gli hacker hanno sfruttato le debolezze dell’hardware di rete di alcune grande aziende per ottenere il pieno accesso ai dispositivi di numerose strutture private e agenzie governative Usa. L’avviso non includeva i nomi delle persone colpite dagli attacchi organizzati, né riportava in dettaglio l’impatto che hanno avuto, ma i funzionari statunitensi hanno evidenziato quali fossero i sistemi di rete specifici, come router e switch, che presumibilmente gli hacker cinesi hanno preso di mira ripetutamente, sfruttando vulnerabilità gravi e ben note.
“Questi dispositivi non hanno difese informatiche di buon livello”, spiega il rapporto americano, “e si affidano a patch software di routine”. Il comunicato è l’ultimo esempio di un cambiamento radicale intervenuto tra le agenzie di intelligence statunitensi che hanno abbandonato una cultura del silenzio e della segretezza. Le organizzazioni ora parlano pubblicamente per fornire indicazioni sulla sicurezza informatica. Il nuovo documento è progettato per aiutare le vittime a rilevare ed espellere gli hacker che si sono infiltrati nelle loro reti da anni.
Alto rischio di attacco
Le aziende di telecomunicazioni sono obiettivi di altissimo valore per le agenzie di intelligence perché si appoggiano all’infrastruttura di Internet e a molte reti private in tutto il mondo. Attaccarle con successo può significare aprire le porte a un mondo ancora più grande di preziose opportunità di spionaggio.
Gli Stati Uniti hanno una propria storia documentata di tali attacchi. La National Security Agency, per esempio, una volta si è infiltrata in Huawei, il gigante cinese delle telecomunicazioni e di Internet, sia per spiare l’azienda stessa sia per sfruttare le conoscenze sui prodotti di rete e telecomunicazioni che Huawei vende in tutto il mondo. Ironia della sorte, quest’operazione è stata in parte provocata dai continui timori americani che Pechino potesse utilizzare l’hardware di Huawei per spiare gli interessi americani.
Nel documento attuale si segnala che gli hacker cinesi avrebbero sfruttato i dispositivi di rete di importanti fornitori come Cisco, Citrix e Netgear. Tutte le vulnerabilità erano pubblicamente note, incluso un difetto critico rilevato da almeno cinque anni nei router Netgear che consente agli aggressori di aggirare i controlli di autenticazione ed eseguire qualsiasi codice scelto, un’apertura che consente l’acquisizione completa del dispositivo e una finestra illimitata sulla rete della vittima.
Quanto successo è una conferma del pericolo che i difetti del software rappresentano anche anni dopo essere stati scoperti e resi pubblici. E’ opinione condivisa che gli attacchi zero-day, hack che sfruttano punti deboli precedentemente sconosciuti, richiedono attenzione, ma i difetti noti rimangono un problema serio perché le reti e i dispositivi possono essere difficili da aggiornare e proteggere con risorse, personale e denaro limitati.
Rob Joyce, un alto funzionario della National Security Agency, ha spiegato che l’avviso ha lo scopo di fornire istruzioni dettagliate su come trovare ed espellere gli hacker. “Per cacciare gli hacker cinesi, non possiamo fermarci al semplice accesso iniziale“, ha twittato, ma mantenere aggiornati i sistemi chiave, abilitare l’autenticazione a più fattori e ridurre l’esposizione delle reti interne a Internet.
Secondo l’avviso, lo spionaggio cinese è iniziato con gli hacker che utilizzavano strumenti di scansione open source come RouterSploit e RouterScan per esaminare le reti di destinazione e apprendere le marche, i modelli, le versioni e le vulnerabilità note dei router e dei dispositivi di rete.
Con questa conoscenza, gli hacker sono stati in grado di utilizzare vulnerabilità vecchie ma non corrette per accedere alla rete e, da lì, entrare nei server fornendo autenticazione e identificazione per le organizzazioni mirate. Hanno rubato nomi utente e password, riconfigurato router ed esfiltrato con successo il traffico di rete preso di mira e copiato sui propri computer. Con questi sistemi sono stati in grado di spiare praticamente tutto ciò che accade all’interno delle organizzazioni.
Gli hacker hanno quindi eliminato i file di registro su ogni macchina a cui hanno avuto accesso nel tentativo di distruggere le prove dell’attacco. I funzionari statunitensi non hanno spiegato come alla fine siano venuti a conoscenza degli hack nonostante i tentativi degli aggressori di coprire le loro tracce. Gli americani hanno anche omesso i dettagli su quali gruppi di hacker stanno accusando e sulle prove in loro possesso che indicano che il governo cinese è responsabile.
L’avviso è l’ennesimo allarme lanciato dagli Stati Uniti sulla Cina. Il vicedirettore dell’FBI Paul Abbate ha affermato in un recente discorso che la Cina “conduce più intrusioni informatiche di tutte le altre nazioni del mondo messe insieme”. Il governo cinese nega regolarmente di impegnarsi in qualsiasi campagna di hacking contro altri paesi. L’ambasciata cinese a Washington, DC, non ha risposto a una richiesta di commento.
Photo by Max Bender on Unsplash
(rp)
