Da un decennio la Cina ha avviato una politica per diventare una superpotenza cibernetica. I risultati le stanno dando ragione
di Patrick Howell O’Neill
L’ultima scoperta è stata Daxin, il “pezzo di malware più avanzato” che gli hacker collegati alla Cina abbiano mai utilizzato in operazioni di spionaggio contro i governi di tutto il mondo per un decennio. Il messaggio è chiaro: i tentativi cinesi di diventare una superpotenza informatica stanno dando i loro frutti e gli hacker di Pechino, una volta noti per le semplici operazioni toccata e fuga, sono ora tra i più avanzati al mondo grazie al controllo centrale, ai grandi investimenti e a un’infrastruttura in grado di fornire strumenti di hacking al governo.
Questo cambiamento va avanti da anni, guidato dall’alto. Subito dopo essere salito al potere, il presidente Xi Jinping ha avviato una riorganizzazione dell’esercito e dell’agenzia di intelligence cinese, che ha dato la priorità alla guerra informatica e ha avviato una “fusione” di organizzazioni militari e civili orientate al potenziamento delle capacità informatiche della nazione.
I risultati si sono visti negli ultimi dieci anni. Per esempio, secondo la testimonianza del Congresso di Kelli Vanderlee, esperto di intelligence dell’azienda di sicurezza informatica Mandiant, gli hacker del governo cinese hanno sfruttato più di ogni altra nazione le vulnerabilità zero-day più potenti, vale a dire le debolezze tecnologiche precedentemente sconosciute per le quali non esiste una difesa nota. La ricerca mostra che Pechino nel 2021 ha sfruttato queste vulnerabilità sei volte di più rispetto al 2020.
Le capacità informatiche offensive della Cina sono alla pari con quelle degli Stati Uniti o forse le superano, ha affermato Winnona DeSombre, ricercatrice dell’Harvard Belfer Center, in una testimonianza al Congresso sulle capacità informatiche della Cina il 17 febbraio. “E le sue capacità di difesa informatica sono in grado di rilevare molte operazioni statunitensi, in alcuni casi ribaltando la situazione a sfavore dell’America”.
Strumenti potenti
Daxin funziona dirottando le connessioni legittime per nascondere le sue comunicazioni nel normale traffico di rete. Il risultato fornisce invisibilità e, su reti altamente sicure dove la connettività Internet diretta è impossibile, consente agli hacker di comunicare tra computer infetti. I ricercatori di Symantec, che l’hanno scoperto, lo confrontano con il malware che hanno visto collegato alle operazioni di intelligence occidentali, e risulta loro che è stato utilizzato almeno fino a novembre del 2021.
Nel febbraio dello scorso anno, un serio attacco di pirateria informatica contro Microsoft Exchange da parte di più gruppi cinesi, iniziato con exploit zero-day noti come vulnerabilità di ProxyLogon, ha mostrato la capacità di Pechino di coordinare un’offensiva su scala così ampia da sembrare caotica agli osservatori esterni. L’assalto ha effettivamente lasciato una porta spalancata su decine di migliaia di server di posta elettronica vulnerabili per consentire a qualsiasi hacker di passare.
Una campagna più silenziosa scoperta a maggio ha visto diversi gruppi di hacker cinesi utilizzare un’altra vulnerabilità zero-day per hackerare con successo obiettivi del settore militare, governativo e tecnologico negli Stati Uniti e in Europa. Il CEO di Qihoo 360, la più grande azienda di sicurezza informatica del paese, ha notoriamente criticato i ricercatori cinesi che lavorano fuori dal paese e li ha implorati di “rimanere in Cina” per realizzare il “valore strategico” delle potenti vulnerabilità del software utilizzate nelle campagne di spionaggio informatico.
Nel giro di pochi mesi, la sua azienda è stata collegata a una campagna di hacking contro la minoranza uigura del paese. È seguita un’ondata di normative più severe, che hanno rafforzato il controllo del governo sul settore della sicurezza informatica e dato la priorità alle agenzie di sicurezza e di intelligence dello stato su tutto il resto, comprese le aziende il cui software non è sicuro. “I cinesi hanno un sistema unico che riflette il modello autoritario del partito-stato“, afferma Dakota Cary, analista del Center for Security and Emerging Technology di Georgetown.
Ai cinesi è stato effettivamente vietato di partecipare a eventi e competizioni internazionali di hacking, tornei che un tempo dominavano. Un concorso di hacking mette alcuni dei migliori esperti di cybersecurity del mondo l’uno contro l’altro in una sfida per trovare e sfruttare potenti vulnerabilità nella tecnologia più popolare del mondo, come iPhone, Tesla o persino il tipo di interfacce uomo-macchina che aiutano a gestire le fabbriche moderne. Premi del valore di centinaia di migliaia di dollari incentivano le persone a identificare i difetti di sicurezza in modo da poterli correggere.
Ora, però, se i ricercatori cinesi vogliono partecipare a concorsi internazionali, richiedono l’approvazione, che raramente viene concessa. E devono sottoporre tutto in anticipo alle autorità governative, inclusa qualsiasi conoscenza delle vulnerabilità del software che potrebbero aver intenzione di sfruttare. Nessun altro paese esercita un controllo così stretto su una classe così vasta e talentuosa di esperti di sicurezza.
Questo mandato è stato ampliato con una regolamentazione in cui è previsto che tutte le vulnerabilità della sicurezza del software vengano segnalate prima al governo, fornendo ai funzionari cinesi la possibilità di usare questa conoscenza per operazioni di hacking difensivo o offensivo. Ma si è vista un’eccezione a questa regola: un dipendente del colosso cinese del cloud computing Alibaba ha segnalato la famosa vulnerabilità di Log4j agli sviluppatori di Apache invece di consegnarla prima alle autorità governative cinesi. Il risultato è stata una punizione pubblica di Alibaba e un avvertimento implicito per chiunque altro pensasse di fare una mossa simile.
Nell’ultimo decennio, il programma “bug bounty” ha fornito milioni di dollari per costruire un ecosistema globale di ricercatori che trovano vulnerabilità della sicurezza del software e sono pagati per segnalarle. Diverse aziende americane ospitano mercati in cui qualsiasi azienda tecnologica può mettere a disposizione i propri prodotti per un esame approfondito in cambio di ricompense per i ricercatori.
In base a qualsiasi misurazione, la Cina è al primo posto o vicino al primo posto per allertare le aziende americane in merito alle vulnerabilità nei loro software. Nella sua testimonianza al Congresso della scorsa settimana, Cary ha affermato che una grande azienda americana gli aveva rivelato che i ricercatori cinesi hanno ricevuto 4 milioni di dollari nel 2021. Se i ricercatori segnalano un bug, le aziende possono intervenire. Questo sistema di caccia all’errore è cresciuto di popolarità da un decennio.
Tuttavia, poiché il governo cinese rafforza il controllo, questo ecosistema multimilionario sta ora fornendo un flusso costante di vulnerabilità del software alle autorità cinesi, finanziato in modo efficace dalle aziende e senza alcun costo per Pechino. “La politica cinese secondo cui i ricercatori devono presentare le vulnerabilità al Ministero dell’Industria e della Tecnologia dell’Informazione crea una pipeline incredibilmente preziosa di capacità software per lo stato”, afferma Cary.
I robot entrano nel mondo dell’hacking
Nel 2016, una potente macchina chiamata Mayhem, un potente sistema automatico di ForAllSecure, un’azienda di Pittsburgh, ha vinto la Cyber Grand Challenge, una competizione sulla sicurezza informatica indetta dalla US Defense Advanced Research Projects Agency. Le possibilità difensive e offensive di questa tecnologia sono state immediatamente ovvie a tutti, compresi i funzionari cinesi. Non a caso il Pentagono la sta utilizzando in tutti i comparti militari.
Ma DARPA non ha più preso iniziative simili dal 2016 mentre la Cina ha organizzato almeno sette concorsi, i cosiddetti Robot Hacking Games, dal 2017, secondo la ricerca di Cary. Le squadre accademiche, militari e del settore privato cinesi sono state tutte attratte dalle competizioni supervisionate dall’esercito cinese. I documenti ufficiali collegano la scoperta automatizzata delle vulnerabilità del software direttamente agli obiettivi nazionali della Cina.
“Chiunque padroneggi la tecnologia di rilevamento automatico di vulnerabilità avrà la prima opportunità di attaccare e difendere la rete“, ha affermato il CEO di Qihoo 360. I Robot Hacking Games sono un esempio del modo in cui i funzionari cinesi al più alto livello sono stati in grado di fare proprio un successo americano. “Di volta in volta, la Cina ha studiato il sistema statunitense, ne ha copiato le caratteristiche migliori e in molti casi ne ha ampliato la portata”, afferma Cary.
Mentre la rivalità USA-Cina continua a essere considerata come la relazione geopolitica che definisce il XXI secolo, il cyber avrà un ruolo enorme in quella che i leader cinesi chiamano giustamente una “nuova era”. Tocca tutto, dalla concorrenza commerciale al progresso tecnologico e persino alla guerra. In questa nuova era, l’obiettivo dichiarato di Xi è quello di rendere la Cina una “superpotenza informatica”. E sembra avercela fatta.