Un gruppo di hacker cinesi noto come Salt Typhoon ha esteso le proprie operazioni fino ai Paesi Bassi, dopo aver compromesso con successo le maggiori compagnie di telecomunicazioni statunitensi e infiltrato le infrastrutture critiche di numerosi paesi occidentali.
L'allarme lanciato dalle agenzie di intelligence di 13 nazioni rivela come questo collettivo, collegato all'esercito cinese e ai servizi segreti di Pechino, stia ridefinendo i confini della guerra cibernetica moderna. La portata globale delle loro operazioni dimostra come le vulnerabilità delle reti di telecomunicazione rappresentino oggi una delle principali sfide per la sicurezza nazionale.
Le autorità olandesi hanno confermato che Salt Typhoon, conosciuto anche con i nomi in codice GhostEmperor, Operator Panda e RedMike, ha preso di mira piccoli fornitori di servizi internet e hosting nel paese. Questa scoperta arriva in un momento particolarmente delicato, subito dopo che Stati Uniti, Regno Unito, Canada, Australia, Nuova Zelanda, Finlandia, Germania, Italia, Repubblica Ceca, Giappone, Polonia, Spagna e Paesi Bassi hanno emesso un avviso congiunto sui rischi rappresentati dal gruppo.
A differenza degli attacchi condotti in territorio USA, dove erano state colpite le maggiori compagnie telefoniche, in Olanda i bersagli sono stati operatori di dimensioni più contenute. Le agenzie di intelligence locali, MIVD e AIVD, hanno precisato che non sono state rilevate prove di una penetrazione più profonda nelle reti interne delle aziende compromesse, limitandosi per ora all'accesso ai router.
Il modus operandi di un nemico invisibile
Quello che rende Salt Typhoon particolarmente pericoloso non è tanto l'utilizzo di tecnologie all'avanguardia, quanto piuttosto la capacità di sfruttare vulnerabilità già note ma non ancora riparate. Il gruppo si concentra su apparecchiature di sicurezza, router e server virtuali, puntando in particolare sui sistemi Ivanti Connect Secure e Policy Secure, Palo Alto Networks PAN-OS GlobalProtect, e Cisco IOS.
Una volta ottenuto l'accesso iniziale, gli hacker utilizzano le connessioni private affidabili tra fornitori di servizi o tra fornitori e clienti come trampolino di lancio per espandere la loro presenza in altre reti. Questa strategia gli permette di mantenere un accesso prolungato e persistente alle infrastrutture compromesse.
Un arsenale di dati strategici
Il gruppo si concentra sistematicamente su asset specifici di alto valore: password, contenuti degli utenti, registri clienti, configurazioni di apparecchiature, interfacce router e traffico di rete in transito. Particolarmente preoccupante è la loro capacità di intercettare protocolli di autenticazione e servizi RADIUS utilizzati per autorizzare utenti di rete remoti.
Secondo il Centro Nazionale per la Cybersecurity del Regno Unito, i dati sottratti attraverso queste operazioni forniscono ai servizi segreti cinesi la capacità di identificare e tracciare comunicazioni e movimenti di obiettivi specifici in tutto il mondo. Questa prospettiva trasforma ogni attacco da semplice violazione informatica a strumento di intelligence geopolitica.
Le indagini internazionali hanno rivelato che dietro Salt Typhoon non opera solo l'apparato statale cinese, ma un'intera rete commerciale. Tre aziende tecnologiche cinesi forniscono servizi "cyber" alle agenzie di intelligence di Pechino, facendo parte di un ecosistema più ampio che include società IT, broker di dati e hacker mercenari.
Questa struttura ibrida pubblico-privata rappresenta un modello innovativo di guerra cibernetica, dove le competenze del settore privato vengono messe al servizio degli obiettivi strategici nazionali. Dal 2021, il gruppo ha mantenuto una presenza costante nelle infrastrutture critiche globali, concentrandosi su telecomunicazioni, trasporti, governo e settore militare.
Una crisi climatica digitale
David Shipley, esperto di Beauceron Security, paragona la situazione attuale a una "crisi climatica tecnologica". "Il problema fondamentale è che le infrastrutture critiche, come i router principali, rimangono troppo facilmente penetrabili e controllabili", spiega l'analista. "I continui successi degli attacchi cinesi derivano da un'architettura che manca di sicurezza fin dalla fase di progettazione".
Secondo Shipley, le grandi aziende tecnologiche non hanno sufficienti incentivi per sviluppare sistemi di autenticazione robusta e resilienza strutturale. "Internet e le reti aziendali funzionano ancora con metodologie degli anni '90, inadeguate per servire come sistema nervoso digitale dell'economia e della società globali", conclude l'esperto, sottolineando come sia necessario un consenso internazionale per affrontare una minaccia che trascende i confini nazionali.
Le raccomandazioni delle autorità internazionali includono il monitoraggio sistematico delle configurazioni di rete, l'implementazione di processi rigorosi di gestione dei cambiamenti, il blocco delle connessioni esterne alle interfacce di gestione e l'adozione obbligatoria dell'autenticazione a chiave pubblica per i ruoli amministrativi. Tuttavia, resta da vedere se queste misure saranno sufficienti a contrastare una minaccia che ha già dimostrato di saper adattarsi e evolversi con inquietante efficacia.
