Esclusiva MIT Technology Review. Un gruppo di ricerca svela il pericolo di una semplice campagna dal budget limitato
Un gruppo di hacker legato alla Cina ha trascorso gli ultimi tre anni prendendo di mira organizzazioni per i diritti umani, gruppi di riflessione, mezzi di informazione e agenzie di diversi governi stranieri. Lo rivela un nuovo rapporto della società di sicurezza informatica Recorded Future.
Condiviso esclusivamente con MIT Technology Review, il rapporto offre nuovi indizi su come appaltatori privati e società di facciata dotati di risorse anche limitate possono condurre con successo operazioni di hacking a lungo termine contro obiettivi di alto valore, sfruttando tattiche rozze ma efficaci.
Secondo gli esperti, scegliendo di avvalersi di hacker del settore privato, il governo cinese avrebbe sviluppato la capacità di colpire diversi obiettivi spionistici, riservando risorse interne delle agenzie di intelligence e militari per le operazioni di hacking più complesse. Il fatto che un’operazione del genere sia efficace rivela l’incapacità diffusa e persistente delle istituzioni più vulnerabili nell’allestire le più basilari misure di sicurezza.
Questi hacker, noti come RedAlpha, hanno preso di mira organizzazioni come Amnesty International, la Federazione Internazionale per i Diritti Umani, Radio Free Asia, il Mercator Institute for China Studies e altri gruppi di esperti, governativi e umanitari in tutto il mondo. Quale impatto riescano ad avere gli hacker rimane poco chiaro, ma a giudicare dalla durata della campagna, gli analisti si aspettano che lo queste operazioni di spionaggio digitale debbano, in generale, avere avuto successo.
I ricercatori di Recorded Future sono “fortemente” convinti del fatto che il gruppo RedAlpha sia sponsorizzato dal governo cinese, in quanto gli obiettivi “rientrano tra i [suoi] interessi strategici”, afferma Jon Condra, direttore della squadra di ricerca team per sulle minacce strategiche dell’organizzazione.
Non dovrebbe sorprendere il fatto che, negli ultimi anni, il gruppo di hacker sia stato particolarmente interessato alle organizzazioni di Taiwan, tra cui il Partito Democratico Progressista e l’American Institute di Taiwan, di fatto l’ambasciata degli Stati Uniti tra le piccole isole. Il governo di Pechino rivendica Taiwan come parte del territorio cinese.
RedAlpha è attivo almeno dal 2015, sebbene non sia stato identificato pubblicamente fino al 2018, in un rapporto di Citizen Lab. RedAlpha attacca regolarmente gruppi che il Partito Comunista Cinese chiama i “cinque veleni”: tibetani, uiguri, taiwanesi, attivisti che sostengono democrazia e il Falun Gong.
Tutti gruppi tra cui si trovano dissidenti e personaggi che, per vari motivi, criticano e sfidano lo stretto controllo del Partito Comunista sulla Cina. Gruppi accomunati anche da visibilità e supporto internazionali.
I ricercatori di Citizen Lab furono i primi a far luce sulla campagna condotta da RedAlpha contro la comunità tibetana, le agenzie governative e svariati media. Da allora, Recorded Future ha identificato numerose altre campagne informatiche contro il popolo tibetano e ancora l’anno scorso, un rapporto pubblicato da PricewaterhouseCoopers ha rivelato come il gruppo di hacker stia espandendo il proprio raggio d’azione a precisi individui, gruppi etnici vulnerabili, organizzazioni della società civile e un numero crescente di agenzie governative.
L’aspetto interessante di queste rivelazioni è il fatto che RedAlpha operi da anni con le stesse (vecchie) tattiche e lo stesso budget. La più recente lista di operazioni di spionaggio, per esempio, è stata collegata a campagne precedenti proprio perché il gruppo ha riutilizzato molti degli stessi domini, indirizzi IP, tattiche, malware e persino informazioni sulla registrazione di domini che sono stati pubblicamente identificai già anni fa.
“Squadra vincente, non si cambia“, spiega Condra. Le tattiche di RedAlpha sono così semplici e dirette che Condra ne descrive le operazioni come spionaggio probabilmente “a basso reddito”, ma almeno in questo caso, proprio la semplicità che le caratterizza sembra essere la chiave del loro successo. “Riteniamo probabile che non si tratti di un gruppo particolarmente ricco di risorse”, dice. “Prendono ogni scorciatoia possibile e risparmiano sugli spiccioli evitando di registrare nuovi domini o servizi di hosting. Se le tattiche adottate funzionano nonostante l’esposizione pubblica, non hanno motivo di cambiare. Funziona ed è conveniente”.
Più in particolare, RedAlpha ha creato e armato centinaia di domini falsi e dannosi travestiti da obiettivi nel tentativo di rubare nomi utente e password. “Sono disposto a scommettere che si tratta di una tattica piuttosto efficace per loro”, dice Condra. Secondo i ricercatori, l’efficacia di queste operazioni dipende dal fatto che gli obiettivi, nonostante i tanti attacchi, continuino a non adottare quelle misure di sicurezza di base che potrebbero proteggerli.
“Molte organizzazioni che non hanno ancora implementato l’autenticazione a più fattori“, aggiunge Condra. “Questo fatto è ancora particolarmente vero nel caso dei governi di paesi meno digitalizzati, dai budget più ridotti e tra cui si incontra più resistenza istituzionale al cambiamento. RedAlpha avrebbe cambiato tattica se non continuasse ad essere efficace”.
L’autenticazione a più fattori è una tecnologia di sicurezza informatica che impedisce agli hacker di impossessarsi di un account anche se hanno rubato una password; è ampiamente consigliata e relativamente facile da implementare, ma spesso viene messa da parte per altre priorità.
Secondo gli analisti, a fronte delle tensioni crescenti tra Stati Uniti e Cina sull’argomento Taiwan, è probabile che gli hacker stiano conducendo attività di spionaggio per ottenere informazioni di valore politico. Il gruppo ha anche impersonato agenzie governative di India, Brasile, Vietnam e Portogallo.
La Cina è considerata una delle potenze informatiche più attive ed efficaci del mondo, tanto quanto gli Stati Uniti. Sebbene abbia arruolato hacker nelle sue agenzie di intelligence e militari, la Cina avrebbe anche utilizzato appaltatori privati come RedAlpha per condurre operazioni di spionaggio informatico, secondo diverse sentenze statunitensi.
Indizi significativi confermerebbero l’esistenza di connessioni tra RedAlpha e importanti gruppi statali. I dettagli condivisi sulla registrazione di domini dannosi collegano il gruppo a un individuo che una volta disse di essere un membro di Green Army, il primo gruppo di hacker clandestino della Cina, risalente al 1997.
A tutti gli effetti, Green Army è uno dei gruppi di hacker più importanti della storia cinese. L’organizzazione è un’alleanza di diverse migliaia di hacker nazionalisti cinesi che hanno preso di mira siti Web stranieri. Da essa sono emersi alcuni dei più importanti hacker del paese. Oggigiorno, sezioni del gruppo si sono evolute in importanti società di sicurezza informatica del settore privato e sono ancora attive.
Un indirizzo e-mail utilizzato per registrare molti dei domini dannosi di RedAlpha è stato collegato a una società cinese che collabora apertamente con numerose società governative, oltre che con la People’s Liberation Army University of Science and Technology, istituzione d’élite operata dal governo cinese per la ricerca e lo sviluppo di capacità militari ad alta tecnologia. Ora nota come Jiangsu Cimer Information Security Technology Co., l’azienda fornisce prodotti di sicurezza informatica difensivi e offensivi. Jiangsu Cimer non ha risposto a una richiesta di commento.
“Questa strategia consente [al governo cinese] di delegare ad altri le operazioni più semplici eppure sempre necessarie”, spiega Condra. “Si evita di così di coinvolgere gli operatori cinesi più professionali. Non c’è nessun bisogno di bruciare gli strumenti più preziosi e avanzati su campagne di basso livello“.
Contattato per un commento, un portavoce del governo cinese ha affermato che il paese si oppone agli attacchi informatici e “mai li incoraggerà mai, sosterrà o vi sarà coinvolto”.
Image by Pete Linforth from Pixabay
