Un attacco che ha preso di mira i dispositivi Apple è stato utilizzato per “monitorare” la minoranza musulmana cinese e i funzionari statunitensi affermano che è stato sviluppato durante la principale competizione di hacking del paese.
di Patrick Howell O’Neill
Nel marzo del 2017, un gruppo di hacker dalla Cina è arrivato a Vancouver con un obiettivo: trovare punti deboli nascosti nelle tecnologie più popolari al mondo. Il browser Chrome di Google, il sistema operativo Windows di Microsoft e gli iPhone di Apple erano tutti nel mirino, anche se nessuno stava infrangendo la legge. Si trattava di Pwn2Own, una delle competizioni di hacking più prestigiose al mondo.
Era il decimo anniversario di Pwn2Own, un concorso che attira hacker d’élite da tutto il mondo con il richiamo di grandi premi in denaro se riescono a sfruttare le vulnerabilità del software precedentemente sconosciute, note come zero-day. Una volta individuato un difetto, i dettagli vengono consegnati alle aziende coinvolte, dando loro il tempo di risolverlo. L’hacker, nel frattempo, ottiene in cambio una ricompensa finanziaria e la “celebrità”.
Per anni, gli hacker cinesi sono stati le forze dominanti in eventi come Pwn2Own, guadagnando milioni di dollari in premi e affermandosi tra le élite. Ma nel 2017 tutto è cambiato.
Uno dei membri dell’élite cinese ha violato un iPhone. Praticamente dall’oggi al domani, l’intelligence cinese ha usato la vulnerabilità come arma contro un gruppo etnico minoritario assediato, colpendo prima che Apple potesse risolvere il problema. Era un atto deliberatamente provocatorio eseguito sotto gli occhi di tutti.
In una dichiarazione inaspettata, Zhou Hongyi, il miliardario fondatore e CEO del gigante cinese della sicurezza informatica Qihoo 360, una delle più importanti aziende tecnologiche in Cina, ha criticato pubblicamente i cittadini cinesi che si sono recati all’estero per partecipare a competizioni di hacking.
In un’intervista al sito di notizie cinese Sina, il dirigente ha affermato che un buon risultato in tali eventi rappresentava solo un successo “immaginario”. Zhou ha avvertito che una volta che gli hacker cinesi mostravano le vulnerabilità nelle competizioni all’estero, non potevano più “essere utilizzate”. Invece, ha sostenuto, gli hacker e le loro conoscenze dovrebbero “rimanere in Cina” per sfruttare il “valore strategico” delle vulnerabilità del software.
Pechino ha accettato. Ben presto, il governo cinese ha vietato ai ricercatori di cybersecurity di partecipare a competizioni di hacking all’estero. Pochi mesi dopo, una nuova competizione è spuntata in Cina per prendere il posto dei concorsi internazionali. La Tianfu Cup, come è stata chiamata, offriva premi che ammontavano a oltre un milione di dollari.
L’evento inaugurale si è tenuto a novembre del 2018. Il primo premio di 200.000 dollari è andato a Qixun Zhao, un ricercatore di Qihoo 360 , che ha mostrato una notevole catena di exploit che gli hanno permesso di prendere il controllo facilmente e in modo affidabile anche degli iPhone più nuovi e aggiornati . Da un punto di partenza all’interno del browser web Safari, ha trovato un punto debole nel cuore del sistema operativo dell’ iPhone, il suo kernel.
Il risultato? Un utente malintenzionato remoto potrebbe assumere il controllo di qualsiasi iPhone che ha visitato una pagina Web contenente il codice dannoso di Qixun. È il tipo di hack che può essere potenzialmente venduto per milioni di dollari sul mercato aperto per dare ai criminali o ai governi la possibilità di spiare un gran numero di persone. Qixun lo ha chiamato “Chaos”.
Due mesi dopo, nel gennaio del 2019, Apple ha rilasciato un aggiornamento che ha risolto il difetto. C’era poco clamore, solo un breve ringraziamento a coloro che l’hanno scoperto. Ma nell’agosto di quell’anno, Google ha pubblicato un’analisi di una campagna di hacking che si diceva “sfruttasse gli iPhone in massa”. I ricercatori hanno sezionato cinque distinte catene di exploit, tra cui quello che ha fatto vincere a Qixun il primo premio a Tianfu, che secondo loro era stato scoperto anche da un “aggressore” senza nome.
I ricercatori di Google hanno sottolineato somiglianze tra gli attacchi che hanno scoperto mentre venivano usati nel mondo reale e il Chaos. Ciò che hanno omesso, tuttavia, sono state le identità delle vittime e degli aggressori: i musulmani uiguri e il governo cinese.
Una campagna di oppressione
Negli ultimi sette anni, la Cina ha commesso violazioni dei diritti umani contro il popolo uiguro e altri gruppi minoritari nella provincia occidentale dello Xinjiang. Aspetti ben documentati della campagna includono campi di detenzione, sterilizzazione obbligatoria sistematica, tortura e stupro organizzati, lavoro forzato e uno sforzo di sorveglianza senza precedenti. I funzionari di Pechino sostengono che la Cina sta agendo per combattere “terrorismo ed estremismo”, ma gli Stati Uniti, tra gli altri paesi, hanno definito genocidio questo tipo di azioni.
Gli abusi si sommano a una politica di oppressione high-tech senza precedenti che domina le vite degli uiguri, basandosi in parte su campagne di hacking mirate aggressive ed estese ben oltre i confini del paese. Si rivolgono a giornalisti, dissidenti e chiunque sollevi i sospetti di insufficiente verso Pechino.
Poco dopo che i ricercatori di Google hanno notato gli attacchi, i resoconti dei media hanno ricostruito i fatti: gli obiettivi della campagna che ha utilizzato l’exploit del chaos erano gli uiguri e gli hacker erano collegati al governo cinese. Apple ha pubblicato un raro post sul blog che ha confermato che l’attacco è avvenuto nell’arco di due mesi: cioè, il periodo che inizia immediatamente dopo che Qixun ha vinto la Tianfu Cup e si estende fino a quando Apple non ha emesso la patch.
“MIT Technology Review” ha appreso che la sorveglianza del governo degli Stati Uniti ha individuato in modo indipendente l’exploit del Chaos usato contro gli uiguri e ha informato Apple. Gli americani hanno concluso che i cinesi hanno sostanzialmente seguito il piano del “valore strategico” stabilito da Zhou Hongyi di Qihoo, nel senso che l’exploit scoperto alla Tianfu Cup era stato rapidamente consegnato all’intelligence cinese, che poi l’ha usato per spiare gli uiguri.
L’analisi approfondita di Google ha poi rilevato quanto siano strutturalmente simili l’ exploit utilizzato per gli uiguri e quello della Tianfu Cup. Gli Stati Uniti hanno informato privatamente Apple, che aveva già monitorato l’attacco da sola ed era giunta alla stessa conclusione: l’hack di Tianfu e l’hack uiguro erano la stessa cosa. L’azienda ha dato la priorità a una patch difficile.
Quando abbiamo contattato Qixun Zhao tramite Twitter, ha negato con forza il coinvolgimento, anche se ha detto che non ricordava chi fosse entrato in possesso del codice di exploit. In un primo momento, ha suggerito che l’exploit esercitato contro gli uiguri fosse stato probabilmente utilizzato “dopo il rilascio della patch”. Al contrario, sia Google che Apple hanno ampiamente documentato come questo exploit è stato utilizzato prima del gennaio 2019. Ha anche sottolineato che il suo exploit “Chaos” condivideva il codice di altri hacker.
In effetti, all’interno dei servizi interni di Apple e degli Stati Uniti, la conclusione è stata a lungo che questi exploit non sono semplicemente simili, ma sono la stessa cosa. Sebbene Qixun abbia scritto l’exploit, nulla suggerisce che sia stato coinvolto personalmente in ciò che è accaduto dopo l’evento di Tianfu (la legge cinese richiede ai cittadini e alle organizzazioni di fornire supporto e assistenza alle agenzie di intelligence del paese ogni volta che gli viene chiesto). Con le patch, Tianfu aveva raggiunto il suo obiettivo.
“La decisione originale di non consentire agli hacker di partecipare alle competizioni all’estero sembra essere motivata dal desiderio di mantenere le vulnerabilità scoperte all’interno della Cina”, afferma Adam Segal, esperto di politica di sicurezza informatica cinese presso il Council for Foreign Relations. La misura inoltre ha anche tagliato fuori i migliori hacker cinesi da altre fonti di reddito “in modo da costringerli a un collegamento più stretto con lo stato e le aziende consolidate”, ha continuato.
Una sottile linea di collegamenti
Oggi, la Tianfu Cup sta per entrare nel suo terzo anno ed è sponsorizzata da alcune delle più grandi aziende tecnologiche cinesi: Alibaba, Baidu e Qihoo 360. Ma i funzionari americani e gli esperti di sicurezza sono sempre più preoccupati per i legami tra coloro che sono coinvolti nella competizione e l’esercito cinese.
Qihoo, che ha un valore di oltre 9 miliardi di dollari, è stata una delle decine di aziende cinesi aggiunte a una lista nera commerciale dagli Stati Uniti nel 2020 dopo una valutazione del Dipartimento del Commercio degli Stati Uniti secondo cui l’azienda potrebbe supportare l’attività militare cinese.
Altri coinvolti nell’evento hanno lanciato allarmi anche a Washington. Secondo alcuni funzionari statunitensi, l’azienda di Pechino Topsec, che aiuta a organizzare Tianfu, presumibilmente fornisce formazione, servizi e reclutamento di hacking per il governo e ha impiegato hacker nazionalisti.
L’azienda è collegata a campagne di cyber-spionaggio tra cui l’hack del 2015 del gigante assicurativo statunitense Anthem, una connessione che è stata accidentalmente scoperta quando gli hacker hanno utilizzato lo stesso server per tentare di entrare in un appaltatore militare statunitense e per ospitare una competizione di hacking dell’università cinese.
Altri organizzatori e sponsor includono NSFocus, che è nata direttamente dal primo movimento di hacker nazionalista cinese chiamato Green Army, e Venus Tech, un prolifico appaltatore militare cinese che è stato collegato all’offensiva di hacking.
Un altro organizzatore di Tianfu, il Chinese Electronics Technology Group di proprietà statale, ha una sussidiaria di sorveglianza chiamata Hikvision, che fornisce “analisi sugli uiguri” e strumenti di riconoscimento facciale al governo cinese. È stato aggiunto a una lista nera commerciale degli Stati Uniti nel 2019.
“Penso che l’evento non sia solo un luogo per mostrare le vulnerabilità zero day, ma sia anche un luogo di reclutamento”, afferma Scott Henderson, analista del team di spionaggio informatico di FireEye, una delle principali aziende di sicurezza con sede in California.
I collegamenti di Tianfu alla sorveglianza e al genocidio degli uiguri dimostrano che ottenere un accesso anticipato ai bug può essere un’arma potente. In effetti, l’attacco spericolato che i gruppi cinesi hanno lanciato contro Microsoft Exchange all’inizio del 2021 presenta alcune sorprendenti somiglianze con questa vicenda.
In quel caso, un ricercatore taiwanese ha scoperto i difetti di sicurezza e li ha passati a Microsoft, che li ha poi condivisi privatamente con i partner di sicurezza. Ma prima che una correzione potesse essere rilasciata, i gruppi di hacker cinesi hanno iniziato a sfruttare la falla in tutto il mondo. Microsoft, che è stata costretta a trovare una soluzione due settimane prima del previsto, sta indagando sulla possibilità che il bug sia trapelato.
Questi bug sono incredibilmente preziosi, non solo in termini finanziari, ma nella loro capacità di creare una finestra aperta per lo spionaggio e l’oppressione.
Il ricercatore di Google Ian Beer lo ha scritto nel rapporto originale che descriveva dettagliatamente la catena di exploit. “Non entro in una discussione sul fatto che questi exploit costino 1 o 20 milioni di dollari, ma faccio notare che in ogni caso i prezzi sembrano bassi rispetto alla capacità di indirizzare e monitorare le attività private di intere popolazioni in tempo reale”.
Foto: Ms Tech / Getty
