Noto anche come Vanguard Panda, Brronze Silhouette, Dev-0391, UNC3236, Voltzite e Insidious Taurus, Volt Typhoon è un’operazione informatica cinese supportata dallo Stato che ha compromesso migliaia di dispositivi connessi a Internet.
The Guardian riporta il risultato di anni di indagini rese note in un rapporto pubblicato la scorsa settimana dalla CISA, National Security Agency e dall’FBI, che afferma che gli hacker del Volt Typhoon hanno mantenuto un accesso alle reti statunitensi e di altri paesi negli ultimi cinque anni e, sebbene abbia direttamente preso di mira solo le infrastrutture statunitensi, è probabile che l’infiltrazione abbia colpito anche Canada, Australia, Nuova Zelanda e Regno Unito.
“Funzionari dell’intelligence occidentale affermano che Volt Typhoon faceva parte di uno sforzo più ampio per infiltrarsi nelle infrastrutture critiche occidentali, inclusi porti navali, fornitori di servizi Internet, servizi di comunicazione e servizi pubblici.
Volt Typhoon funziona sfruttando le vulnerabilità di router, firewall e VPN di piccole dimensioni e fuori uso, spesso utilizzando credenziali di amministratore e password rubate o sfruttando tecnologie obsolete che non hanno ricevuto aggiornamenti di sicurezza regolari.”
L’uso di tecnologie obsolete ha avuto inizio molti anni fa, quando in Cina si lavorava a smantellare vecchi sistemi hardware dismessi dalle aziende di tutto il mondo, il processo prevedeva un reverse engineering completo e una riqualificazione dei materiali.
Molti villaggi furono coinvolti nel processo di smantellamento a mano dei pezzi, con conseguenze anche gravi sulla salute degli operai coinvolti. Da qui la vasta conoscenza delle strutture poi successivamente attaccate dall’esterno dal gruppo di hacker.
Volt Typhoon è attivo dalla metà del 2021, secondo un’indagine di Microsoft pubblicata lo scorso anno. Da allora ha semplicemente infiltrato a tutti i livelli le strutture prese di mira, con il fine presunto di intervenire in caso di conflitto. A gennaio la CISA ha ordinato alle istituzioni e alle risorse prese di mira dalla botnet ormai smantellata di disconnettere i dispositivi e i prodotti interessati, avviando un intenso e difficile processo di riparazione.
“Ciò era necessario dato il grado di presa di mira e di compromesso in tutto il mondo delle tre vulnerabilità attualmente sfruttate che colpiscono questi dispositivi”, ha detto a Risky Business Eric Goldstein, vicedirettore esecutivo della sicurezza informatica di CISA.
“Ogni organizzazione che utilizza questi dispositivi deve assolutamente assumersi il targeting e accettare compromessi.” riporta The Guardian.
Questa infiltrazione così capillare segnala un passaggio strategico dalle consuete tattiche di spionaggio informatico a un focus sul preposizionamento per potenziali attacchi informatici distruttivi in ??tempi di conflitto o crisi. L’avviso, firmato congiuntamente dalle agenzie di sicurezza informatica di Regno Unito, Australia, Canada e Nuova Zelanda, fa seguito a un avvertimento simile emesso dal direttore dell’FBI Christopher Wray solo una settimana prima.
Christopher Wray ha descritto al comitato della Camera dei Rappresentanti degli Stati Uniti i modi in cui Volt Typhoon è stato “la minaccia decisiva della nostra generazione” e ha affermato che il gruppo mira a “interrompere la capacità di mobilitazione delle nostre forze armate” nelle prime fasi di un conflitto previsto su Taiwan, che la Cina rivendica come suo territorio.
Jen Easterly, direttrice della Cybersecurity and Infrastructure Security Agency del Dipartimento per la sicurezza interna, ha condiviso questo punto di vista. “Una grave crisi in tutto il pianeta potrebbe mettere in pericolo la vita degli americani qui a casa attraverso l’interruzione dei nostri oleodotti, l’interruzione delle nostre telecomunicazioni, l’inquinamento delle nostre strutture idriche, la paralisi delle nostre modalità di trasporto con il fine di incitare il panico e il caos sociale e scoraggiare la nostra capacità (di organizzare una risposta sufficiente)” queste le sue affermazioni riportate da The Guardian.
La conferma di quello che finora era un fondato sospetto, dopo anni di allarmi e di scoperte vulnerabilità nei sistemi made in China in tutto il mondo, mette i paesi coinvolti nella difficile posizione di dover prendere provvedimenti più drastici per il controllo del cyberspazio, la posta in gioco non è mai stata così alta e la necessità di un’azione decisiva non è mai stata così urgente.
Scopri di più da InOltre
Abbonati per ricevere gli ultimi articoli inviati alla tua e-mail.
