Negli ultimi mesi, il panorama della sicurezza digitale è stato caratterizzato da una serie di preoccupanti rapporti relativi ad attacchi informatici sponsorizzati dal governo cinese contro aziende di telecomunicazioni statunitensi. E forse anche europee. Fino a poco tempo fa, questi episodi sembravano essere notizie marginali, spesso oscurate da altre questioni geopolitiche più urgenti.
Tuttavia, la situazione ha assunto contorni più nitidi a inizio dicembre, quando Anne Neuberger, vice consigliere per la sicurezza nazionale degli Stati Uniti, ha rilasciato dichiarazioni allarmanti. Secondo la sua testimonianza, almeno otto importanti aziende di telecomunicazioni americane sono state vittime di intrusioni informatiche riconducibili a gruppi vicini al governo cinese.
In tutto questo c’è un aspetto decisamente sorprendente: funzionari dell’FBI e della CISA (Cybersecurity and Infrastructure Security Agency), nel confermare che il grave attacco hacker cinese è iniziato alla fine della primavera, stanno esortando fortemente gli americani a utilizzare comunicazioni criptate: come dire Signal, o Telegram, dopo uno scambio di chiavi di crittografia avvenuto di persona.
L’attacco
Martedì 3 dicembre 2024, funzionari federali statunitensi hanno rivelato dettagli inquietanti su una massiccia intrusione informatica nei sistemi di telecomunicazioni globali, confermando che l’attacco, originariamente individuato nella tarda primavera, è tuttora in corso e probabilmente più esteso di quanto inizialmente stimato.
Il gruppo di hacker cinesi noto come “Salt Typhoon”, collegato alle agenzie governative di Pechino, è stato identificato come responsabile dell’operazione. L’obiettivo dell’attacco era particolarmente insidioso: penetrare le reti di decine di aziende di telecomunicazioni negli Stati Uniti e nel mondo, con lo scopo di ottenere accesso a informazioni riservate sui leader politici e sulla sicurezza nazionale.
Jeff Greene, direttore esecutivo della cybersicurezza presso il CISA, e un alto funzionario dell’FBI hanno sottolineato la complessità della situazione. “Non possiamo essere certi di aver completamente estromesso gli aggressori“, ha dichiarato Greene, ammettendo l’inquietante possibilità che l’intrusione sia ancora in corso.
Le dimensioni dell’attacco sono scioccanti: si stima che fino a 80 aziende di telecomunicazioni e provider internet siano state infiltrate, inclusi colossi come AT&T, Verizon e T-Mobile.
La dimensione internazionale dell’allarme è confermata dal fatto che CISA, FBI, NSA e le agenzie di intelligence di Nuova Zelanda, Australia e Canada hanno diramato un comunicato congiunto. Sebbene i dettagli specifici siano ancora riservati, è emerso che i server utilizzati per condurre l’attacco sono distribuiti in diversi Paesi.
I target
Sono stati identificati tre distinti gruppi di vittime colpiti dall’intrusione. Il primo gruppo comprende un numero non precisato di vittime concentrate prevalentemente nella “regione della capitale degli Stati Uniti“. Questi soggetti hanno subito il furto di registri telefonici da parte delle aziende di telecomunicazioni, compromettendo potenzialmente comunicazioni riservate.
Il secondo gruppo è più circoscritto ma altrettanto significativo: un limitato numero di individui con legami politici o governativi, già avvisati dalle autorità. Sebbene i dettagli specifici non siano stati resi pubblici, fonti precedenti avevano già menzionato che tra le vittime figuravano i telefoni del presidente eletto Donald Trump e del vice presidente eletto JD Vance, in entrambi i casi prima delle elezioni nazionali.
Capacità sofisticate
Gli hacker cinesi hanno dimostrato una capacità di intrusione particolarmente sofisticata. Non solo hanno intercettato i contenuti vocali e testuali delle conversazioni telefoniche, ma hanno anche acquisito e copiato ordini giudiziari statunitensi attraverso il programma CALEA (Communications Assistance for Law Enforcement).
Il programma CALEA consente alle agenzie di intelligence e alle forze dell’ordine di sottoporre ordini giudiziari per la raccolta di intelligence presso i provider di telecomunicazioni. Quando è stato chiesto se i pirati informatici fossero riusciti ad accedere agli ordini giudiziari relativi alle indagini del Foreign Intelligence Surveillance Act (FISA), un funzionario dell’FBI ha eluso la domanda, limitandosi a confermare che l’ambiente CALEA include effettivamente ordini giudiziari per le indagini FISA.
Comunicazioni crittografate
Ormai è chiaro: le conversazioni veicolate dai carrier di telecomunicazioni internazionali non possono più considerarsi al sicuro dall’intercettazione di attori con capacità di minaccia persistente. Non stiamo parlando solo di metadati, ma dei contenuti integrali delle comunicazioni.
Un aspetto particolarmente ironico emerge dalle raccomandazioni degli stessi funzionari governativi. Greene ha esortato i cittadini americani a “utilizzare comunicazioni crittografate ovunque possibile“. Un consiglio che va contro tutto quanto indicato da queste agenzie, che hanno sempre richiesto le famose “backdoors”, delle specie di passpartout per poter leggere liberamente ogni comunicazione crittata.
Questi eventi ufficialmente riconosciuti demoliscono qualsiasi argomentazione contro la libera implementazione di sistemi di crittografia veramente sicuri per gli utenti delle reti pubbliche. Argomentazioni portate avanti da quasi tutti i governi del mondo, quasi sempre con la facile scusa della lotta alla pedofilia.
La situazione richiama un paragone illuminante con internet: una rete pubblica che, di per sé, non è sicura. Proprio come abbiamo aggiunto un layer di crittografia TLS autenticata per garantire la sicurezza delle comunicazioni punto-punto su internet (il famoso https che usiamo per Amazon o per il sito della nostra banca) lo stesso approccio dovrebbe essere adottato per le nostre comunicazioni via app e via l’ormai obsoleto “telefono”. Senza che i vari governi pretendano di poter mettere il naso nella nostra posta privata.
