Skip to content

Guam

Il ruolo di Guam nella guerra cyber Usa-Cina. Report Economist

Un gruppo di hacker cinesi, soprannominato Volt Typhoon, si è insinuato nei sistemi di comunicazione dell'isola di Guam, territorio fondamentale in caso di guerra tra Stati Uniti e Cina. L'approfondimento dell'Economist.

L’isola di Guam, un minuscolo territorio americano che si trova a più di 6.000 km a ovest delle Hawaii, sa da tempo che subirebbe un duro colpo in qualsiasi guerra sino-americana. I campi d’aviazione e i porti in espansione dell’isola servono da trampolino di lancio per navi, sottomarini e bombardieri americani. Nelle prime ore di un conflitto, questi sarebbero soggetti a ondate di missili cinesi. Ma un gruppo di attaccanti sembra essersi annidato silenziosamente nelle infrastrutture di Guam per anni. A metà del 2021 un gruppo di hacker cinesi, in seguito soprannominato Volt Typhoon, si è insinuato nelle profondità dei sistemi di comunicazione dell’isola. Le intrusioni non avevano un’utilità evidente per lo spionaggio. Erano destinate, come avrebbe concluso in seguito il governo americano, a “attacchi informatici dirompenti o distruttivi contro… le infrastrutture critiche in caso di crisi o conflitti gravi”. Un sabotaggio, insomma.

Non solo Guam: le intrusioni cyber di Volt Typhoon

Per molti anni, le schermaglie sino-americane nel dominio cibernetico hanno riguardato soprattutto il furto di segreti. Nel 2013 Edward Snowden, un contractor, ha rivelato che la National Security Agency (“NSA”), l’agenzia americana di spionaggio, aveva preso di mira aziende cinesi di telefonia mobile, università e cavi sottomarini. La Cina, a sua volta, ha trascorso decenni a rubare grandi quantità di proprietà intellettuale alle aziende americane, un processo che Keith Alexander, allora capo della nsa, ha definito “il più grande trasferimento di ricchezza della storia”.

Le intrusioni di Volt Typhoon, venute alla luce l’anno scorso, inizialmente grazie alla segnalazione del gigante tecnologico Microsoft, non erano limitate a Guam. Circa tre anni fa, racconta un funzionario americano, “abbiamo iniziato a trovare stranezze nelle infrastrutture critiche degli Stati Uniti”. Come ha annunciato a febbraio la Cybersecurity and Infrastructure Security Agency (“CISA”) americana, si è scoperto che gli aggressori cinesi avevano compromesso risorse nazionali critiche in tutti gli “Stati Uniti continentali e non continentali”. Si trattava di impianti di comunicazione e di energia, nonché di strutture di trasporto e idriche. In particolare, gli obiettivi non erano le infrastrutture più grandi e importanti, ma “un’ampia fascia” di piccole e medie imprese la cui interruzione avrebbe avuto effetti enormi.

Tastiere infuocate

La Cina avrebbe un “livello piuttosto alto” per distruggere queste cose, ha osservato Rob Joyce, allora alto funzionario dell’NSA, riflettendo sulle intrusioni a marzo. Paralizzare l’energia, l’acqua e i trasporti americani in tempo di pace sarebbe un ovvio atto di guerra. Ma immaginiamo che una guerra sia già iniziata, o stia per esserlo. ”

L’idea di penetrare nelle infrastrutture critiche con mezzi informatici allo scopo di sabotarle in tempo di guerra non è nuova.  L’attacco americano-israeliano “Stuxnet” che ha messo fuori uso un impianto nucleare iraniano alla fine degli anni Duemila ha mostrato cosa fosse possibile fare, così come il sabotaggio russo della rete elettrica ucraina nel 2015 e nel 2016. Già nel 2011 la Cina ha fatto il giro delle compagnie petrolifere e del gas americane. Nel 2012 i ricercatori hanno avvertito che gli hacker russi avevano preso di mira oltre 1.000 organizzazioni in più di 84 Paesi, compresi i sistemi di controllo industriale di turbine eoliche e impianti di gas.

Tempo burrascoso

Volt Typhoon sembra essere diverso. Per prima cosa è di portata più ampia. “Sembra essere la prima campagna preparatoria sistematica che getta le basi per un’interruzione diffusa”, afferma Ciaran Martin, che in passato ha diretto l’agenzia britannica per la sicurezza informatica. Ma si è anche sviluppata in un momento in cui la guerra tra America e Cina sembra più vicina e la guerra in Europa è palpabile. Il Gru, l’agenzia di intelligence militare russa, ha condotto attacchi informatici senza sosta contro le infrastrutture dell’Ucraina. Solo un enorme sforzo difensivo, sostenuto da aziende e alleati occidentali, ha protetto l’Ucraina dal peggio.

Le campagne cinesi e russe rompono con il passato anche in un altro modo. Gli attacchi informatici tradizionali sarebbero associati a una firma distintiva, come un particolare tipo di malware o un server sospetto. Questi potrebbero essere individuati da un difensore diligente. Sia Volt Typhoon che il Gru hanno utilizzato metodi più furtivi. Indirizzando gli attacchi attraverso normali router, firewall e altre apparecchiature utilizzate nelle case e negli uffici, hanno fatto sembrare la connessione legittima. Una rete cinese da sola ha utilizzato 60.000 router compromessi, dice una persona che ha familiarità con l’episodio. Si trattava di una delle decine di reti di questo tipo. Entrambi i gruppi hanno anche utilizzato tecniche “living-off-the-land” in cui gli aggressori riutilizzano le caratteristiche standard del software, rendendole più difficili da individuare. In alcuni casi, il Gru ha mantenuto l’accesso alle reti ucraine per anni, aspettando pazientemente il momento giusto per colpire.

Tutto ciò ha reso Volt Typhoon “incredibilmente difficile” da scovare, afferma John Hultquist di Mandiant, una società di sicurezza informatica che fa parte di Google. In risposta, l’America ha dato la caccia agli strumenti e alle infrastrutture degli hacker. A dicembre l’FBI ha messo fuori uso centinaia di router obsoleti costruiti da Cisco e Netgear, una coppia di aziende americane, che venivano utilizzati da Volt Typhoon per organizzare gli attacchi. Il mese successivo ha fatto lo stesso con centinaia di router utilizzati dal Gru.

La domanda più grande è se le operazioni informatiche ostili possano essere dissuase e, se sì, quali. Negli ultimi anni il termine “attacco informatico” è arrivato a comprendere praticamente ogni tipo di attività ostile all’interno delle reti informatiche. Il problema è che questo confonde la raccolta di informazioni di routine, lo spionaggio industriale, le operazioni informative e le campagne di disinformazione, le manovre prebelliche all’interno delle infrastrutture critiche (come Volt Typhoon) e le distruzioni in tempo di pace come Stuxnet.

I governi occidentali hanno cercato a lungo di creare norme di comportamento internazionali che mettessero fuori legge alcune di queste attività. Ma questo sforzo è stato infruttuoso e impantanato nella confusione. I funzionari americani, ad esempio, tendono a distinguere lo spionaggio politico da quello commerciale. Rubare segreti per aiutare la politica va bene, farlo per aumentare i profitti delle aziende locali no. In pratica, nemmeno gli alleati dell’America sono tutti d’accordo su questo punto; le spie francesi sono state famose per lo spionaggio commerciale.

Un tabù contro il sabotaggio sembrerebbe più semplice. Non lo è. “Il preposizionamento non è contrario alle norme”, riconosce il funzionario americano, “finché non si fa qualcosa”. Anche in quel caso, molti tipi di sabotaggio sono consentiti dalle leggi che regolano i conflitti armati. L’America ha bombardato la rete elettrica irachena nel 1991 e nel 2003 e quella serba nel 1999; produrre gli stessi effetti tramite codice non è intrinsecamente né migliore né peggiore. Non sorprende che ci siano indicazioni che l’America abbia frugato nelle infrastrutture dei suoi nemici. Sotto l’amministrazione Obama l’NSA si è preparata a disattivare i sistemi di comunicazione ed elettrici dell’Iran in caso di scontro. E nel 2019 il New York Times ha riferito che l’America ha piazzato “impianti” nella rete elettrica russa dal 2012.

Le norme informatiche rimangono confuse. Le leggi di guerra vietano gli attacchi – fisici o digitali – che hanno come unico scopo quello di provocare il panico. Ma ci possono essere ragioni militari legittime, una volta iniziato un conflitto, per interrompere le reti telefoniche civili e i porti che servono le truppe americane. Gli hacker del Pentagono ribatterebbero che le loro incursioni nelle infrastrutture russe e cinesi sono più oculate delle tentacolari intrusioni di Volt Typhoon e più responsabili degli attacchi sconsiderati di Gru agli impianti idrici. Molto dipende da come un Paese sceglie di utilizzare il proprio accesso alla rete. Il punto è che sia il sabotaggio buono che quello cattivo possono richiedere intrusioni in tempo di pace. “La realtà è che dobbiamo combattere la prossima guerra informatica adesso”, afferma Hultquist. “Quando arriverà la guerra vera e propria, sarà troppo tardi per farlo. Questa è la schermaglia iniziale”.

Torna su