Con una coordinazione inusuale, tutti i principali Governi occidentali oggi hanno
puntato il dito sulla Cina come attore responsabile degli attacchi portati avanti tempo sfruttando Microsoft Exchange. Lo hanno fatto con alcuni comunicati congiunti della
Casa Bianca, del
Consiglio Europeo e del
National Cyber Security Centre britannico. Tutti si riferiscono alla raffica di
attacchi dello scorso marzo, che ha cavalcato quattro vulnerabilità Exchange Server per mettere piede nelle reti di migliaia di organizzazioni. E, potenzialmente, esfiltrarne dati.
Si era ipotizzato sin dall'inizio che gli
attacchi fossero riconducibili al gruppo Hafnium, collegato al Governo cinese. Ora l'Amministrazione Biden e i suoi alleati
indicano esplicitamente che si è trattato di una attività di attacco e spionaggio sponsorizzata da Pechino. E che ha portato un significativo numero di hacker ostili ad avere accesso ai sistemi colpiti da vulnerabilità Exchange
anche sino a questi giorni. Un attacco che, secondo la UE, ha comportato "
rischi di sicurezza e perdite economiche significative" per le istituzioni e le imprese. Con "
effetti sistemici" per quanto riguarda sicurezza, economia, società.
E non c'è solo la questione vulnerabilità Exchange. Il Governo cinese, e nello specifico il Ministero per la Sicurezza dello Stato (MSS), è indicato come
sponsor delle attività criminali di spionaggio dei gruppi APT40 e APT31, anche noti come Leviathan e Zirconium. Si tratta di entrambi i casi di gruppi che erano già stati associati alla Cina, ma è la prima volta che vengono "esposti" da fonti governative così rilevanti.
Perché questa azione congiunta governativa? In parte per dare maggiore rilevanza alle minacce costituite dalle APT state-sponsored. Ma soprattutto, probabilmente, per
mettere pressione sulla Cina e spingere qualche gruppo di cyber criminali a scomparire. Almeno per un po'. Si pensa che proprio una pressione simile nei confronti della Russia abbia "convinto" una settimana fa circa il
gruppo REvil a scomparire dai radar del Dark Web.
Questa pressione, se porta risultati, ha un importante valore simbolico. Ma in concreto rischia di essere un'arma a doppio taglio. Ad esempio, con la scomparsa di REvil scompare anche la possibilità di acquistare le chiavi di decrittazione del suo ransomware.
Pagare un riscatto non è forse un bene, ma è una strada che
molti hanno seguito. E la scomparsa di una APT non rappresenta la sparizione dei suoi tool e delle sue piattaforme di attacco, che possono
passare ad un gruppo meno "politico".
Aggiornamento: il portavoce del ministero degli Esteri cinese, Zhao Lijian, ha risposto alle accuse affermando che "
Gli Stati Uniti si sono uniti ai loro alleati per lanciare accuse infondate contro la Cina sulla questione della sicurezza informatica. Questo atto è una diffamazione a scopo politico".
Zhao ha poi accusato gli USA di essere la più grande fonte al mondo di attacchi informatici, snocciolando le statistiche del National Computer Network Emergency Response Technical Team (CNCERT) cinese e ha ribadito che la Cina “
ha sempre sostenuto che gli attacchi informatici sono una minaccia comune contro la quale i Paesi dovrebbero cooperare e dialogare sulla base del rispetto, della fiducia e del vantaggio reciproci”.