Cracking, governo e spionaggio industriale: i black hats di Stato cinesi

Ogni sito internet appartenente all’alleanza deve provvedere all’insegnamento di tecniche di hacking ai propri membri, essere disponibile a condividere materiale informativo ed essere connesso con uno o più gruppi dell’alleanza

Sono le tre regole della Red Hacker Alliance, il network di gruppi black hats sviluppatosi in Cina sul finire degli anni Novanta. L’anno di nascita ufficiale è il 1998. L’evento che forma la prima ondata di black hats cinesi è un attacco informatico su ampia scala che porta alla violazione di vari siti indonesiani, seguiti l’anno successivo da una campagna politica contro la “teoria dei due Stati” promossa dall’allora presidente di Taiwan Lee Teng-hui e contro il mancato riconoscimento giapponese del “massacro di Nanchino”, il nome con cui sono noti i crimini di guerra giapponesi durante la seconda guerra con la Cina (1937-1938).

Il palazzo nella periferia di Shanghai che ospita il quartier generale dell'Unità 61398

Il palazzo nella periferia di Shanghai che ospita il quartier generale dell’Unità 61398

È il Green Army, forte dei tremila membri tra Shanghai e Pechino, a dettare legge in questa prima fase del hacking patriottico cinese, prima di frantumarsi per la diversa visione in merito al business della sicurezza informatica. Da quel momento, mentre si sviluppano gruppi indipendenti (guidati comunque da un forte patriottismo), il governo di Pechino inizia a valutare l’ipotesi di sfruttare il cracking come arma diplomatica.

UNIT 61398 – Hacking&Spionaggio industriale

Nella definizione dell’”Asse del Male digitale” statunitense, il primato dell’Iran – colpito nel 2006 dal virus Stuxnet che ne ha rallentato il programma nucleare – è minacciato dalla Cina, dove all’interno del People’s Liberation Army opera l’Unità 61398, composta da circa 2.000 persone e nota anche come “Comment Crew” o “Shangai Group”. Dal quartier generale poco fuori Shanghai, il gruppo si è reso artefice fin dal 2006 di attacchi contro varie agenzie governative e alcune tra le più grandi società private al mondo (con un interesse particolare per quelle statunitensi, tra cui Coca-Cola, Lockheed Martin, Chertoff Group) in un’operazione di hackeraggio e spionaggio informatico nota come “Byzantine Candor”, portata avanti tra il 29 giugno e il 21 luglio 2011 e che insieme a due operazioni simili, note come “Byzantine Anchor” e “Byzantine Foothold” fa parte di “Byzantine Hades”, un’ampia campagna realizzata tra il 2006 e il 2013 e che ha avuto tra gli obiettivi la rete informatica dell’Unione Europea, l’ex presidente del Consiglio europeo Herman Van Rompuy e altri undici funzionari operanti nei dipartimenti economia, sicurezza e affari internazionali del Consiglio.
A guidare la campagna è il Primo Ufficio di Ricognizione Tecnica (First Technical Reconnaissance Bureau, TRB), unità di spionaggio elettronico che come l’Unità 61398 fa parte del Terzo Dipartimento del PLA, che il think tank statunitense Project 2049 definisce come l’equivalente cinese dell’NSA.

Clicca sull'immagine per ingrandire

Clicca sull’immagine per ingrandire

L’interesse specifico verso l’economia statunitense si spiega anche all’interno della “guerra diplomatica” che ha avuto al centro Google e il Great Firewall of China, il sistema di controllo e censura di internet usato dal governo cinese. Secondo il senatore dem Charles Albert “Dutch” Ruppersberger – nel febbraio 2013 promotore della reintroduzione del Cyber Intelligence Sharing and Protaction Act – l’hackeraggio fatto dai black hats governativi contro le società statunitensi genera ogni anno un danno economico di 300 miliardi di dollari, colpendo soprattutto la proprietà intellettuale.

Il nome tecnico dell’Unità 61398 è “Secondo Ufficio del Terzo Dipartimento dello Stato Maggiore dell’Esercito di Liberazione Popolare cinese”. Il numero “61398” è il Military Unit Cover Designators (MUCD), un numero identificativo utilizzato per distinguere le unità nei rapporti ufficiali e su internet. Prima delle conferme ufficiali, il ministero della Difesa cinese sosteneva che Pechino non avesse mai supportato attività di hackeraggio, ma la correlazione sarebbe stata confermata anche da un dato inoppugnabile: la fornitura di connessioni in fibra ottica all’Unità da parte della società di Stato China Telecom. Inoltre, così come l’intero comparto militare, anche l’Unità è sottoposta al controllo del Partito Comunista che, è bene ricordarlo, è il partito unico di governo. ciò significa, che le campagne di spionaggio informatico dei black hats di Stato cinesi non partono senza l’avallo di (almeno) qualche alto dirigente del partito.
Lo stretto legame tra il gruppo e il governo è inoltre confermato anche dal programma di reclutamento fatto nelle Università, dove – dietro la promessa di un posto di lavoro una volta terminati gli studi – vengono arruolati studenti con spiccate abilità informatiche, nell’uso della lingua inglese, nelle scienze e nell’ingegneria, provenienti soprattutto dal college in scienze informatiche e tecnologia della Zheijang University e del’Harbin Institute of Technology.

Gli attacchi informatici dell’Unità – rientranti nell’ambito dell’Advanced Persistent Threat e realizzati spesso attraverso la tecnica dello spear-phishing, che colpisce uno specifico obiettivo e non una massa indefinita di target – hanno portato l’amministrazione Obama a richiedere una serie di incontri con gli alti vertici del governo di Pechino il quale, evidenziando attraverso il portavoce del ministero degli Esteri Hong Lei come «gli attacchi informatici siano transnazionali e anonimi» e abbiano colpito più volte la stessa Cina (500.000 attacchi nel 2011, di cui il 15% proveniente dagli Stati Uniti), ha definito prive di fondamento le accuse mosse da un rapporto sulla 61398 della società di sicurezza informatica statunitense Mandiant, la cui realizzazione ha richiesto sei anni di studio e, pare, l’impiego di ex esponenti del gruppo Anonymous come Hector “Sabu” Monsegur, ex leader del gruppo “fuoriuscito” di LulsZec noto per essere stato l’artefice dell’arresto dell’hacktivista Jeremy Hammond, reo di aver reso pubblici attraverso WikiLeaks più di cinque milioni di documenti della società d’intelligence Stratfor, e di Ross Ulbricht, accusato e condannato per essere l’ideatore di Silk Road, il più importante mercato della droga sulla darknet, la parte nascosta del Deep Web.

Un altro tipo di attacco che viene ricondotto all’Unità è l’inserimento di codici o commenti nascosti in pagine web (da qui il nome “Comment Crew”) usando gli stessi domini web, indirizzi Ip, tecniche e strumenti in tutti gli attacchi. L’analisi degli indirizzi Ip permette di identificare il quartier generale del gruppo come il punto di partenza di oltre il 90% degli attacchi. Una delle peculiarità delle loro operazioni è, peraltro, la consistente lunghezza. Sono state accertate da Mandiant almeno due attività di furto password e dati di varia natura – come progetti industriali, risultati di test clinici, documenti inerenti strategie di negoziazione commerciale – protrattesi rispettivamente per dieci mesi (6,5 terabyte di bottino) e un anno.

È interessante notare come alcuni attacchi informatici dell’Unità si siano sviluppati in periodi vicini ad accordi commerciali tra Cina e partner occidentali, come per l’attacco avvenuto durante l’acquisizione della società canadese Nexen Inc. da parte della China National Offshore Oil Corporation Ltd (CNOOC) del 25 febbraio 2013 o per il tentativo – fallito – di acquisto del China Huiyuan Juice Group da parte di Coca-Cola per 2,4 miliardi di dollari nel 2009, dove gli uomini della 61398 sarebbero stati coinvolti per l’acquisizione di informazioni sulla strategia di acquisizione della multinazionale statunitense. Allo stesso modo, una serie di attacchi realizzati dall’Unità si sono evidenziati nel momento in cui Pechino ha aperto agli investimenti nel settore bio-farmaceutico.
Molte delle società colpite in questi ultimi anni operano in alcuni dei settori inseriti nel Piano quinquennale di sviluppo della Cina 2011-2015, e dunque nei settori strategici per l’economia di Pechino.

Cracking, governo e spionaggio industriale: i black hats di Stato cinesi

Processo all’Unità
Nel maggio 2014 cinque dirigenti dell’Unità sono stati rinviati a giudizio negli Stati Uniti – dove proprio la cyberwarfare è la minaccia più sentita dalla cittadinanza – per l’attività di hackeraggio contro le compagnie private statunitensi. Si tratta, come si legge nel documento redatto dalla Corte federale della Pennsylvania di Sun Kailiang, noto con l’alias di “Jack Sun”, di Wen Xinyu (“WinXYHappy”, “Win_XY” o “Lao Wen”), di Huang Zhenyu (hzy_lhx) ma soprattutto di Wang Dong (“Jack Wang” e “UglyGorilla”) e Gu Chunhui (“KandyGoo”). Al centro dell’accusa non c’è tanto l’attività di spionaggio in sé, quanto il fatto che le informazioni ottenute attraverso corpi d’intelligence pubblica vengano utilizzate per ottenere un chiaro vantaggio economico. Per bocca del Procuratore Generale Eric H. Holder Jr., l’Amministrazione Obama ha dichiarato che «non tollererà azioni da parte di alcuno Stato che cerchino di sabotare le imprese statunitensi e danneggino l’integrità della giusta competizione in operazioni di mercato»
La Cina ha però evidenziato come la multinazionale delle telecomunicazioni Huawei sia stata hackerata dagli Stati Uniti, così come rivelato anche dai documenti di Snowden. In questo caso, però, nessun rinvio a giudizio.

UglyGorilla” e “KandyGoo”, così come “SuperHard” e “DOTA” sono considerati tra i più capaci black hats di Stato cinesi.
Tra gli ispiratori della cyberstrategia d’attacco usata dai cinesi ci sarebbe il professor Zhang Zhaozong, ex-contrammiraglio dell’esercito e direttore del Dipartimento Tecnologia ed equipaggiamento militare della China’s National Defense University, autore di vari volumi sul sistema militare, la “network warfare” e l’”information war”. Attivo nel mondo dell’hacking di Stato fin dal 2004, ha scritto i malware noti come “Manitsme”, usati ancora oggi dalla 61398.
DOTA”, conosciuto anche con gli alias di “Rodnay” e “Raith” è noto – o nota, non essendo stata ad oggi confermata la sua identità – per creare serie di account mail usati per attività di ingegneria sociale e phishing.
SuperHard”, noto come “Mei Qiang” opera – anche a scopo di lucro e al di fuori della giurisdizione dell’Unità – nel campo della produzione di malware per sistemi Windows. È accertata la sua partecipazione nella creazione dei malware Auriga e Bangat, due backdoor in grado di aprire la porta dei terminali a keylogger, alla raccolta di password e informazioni o a modifiche del registro di sistema, inviando successivamente i dati raccolti ai server C&C.

AXIOM – Il cracking come strumento di politica estera

Negli ultimi quattro-cinque anni, gli esperti in sicurezza informatica stanno ponendo sempre maggior attenzione verso “Axiom”, gruppo di black hats ancor più sofisticato dell’Unità 61398 e, come quest’ultima, con forti legami con il governo cinese. Artefice di attacchi contro società private commerciali, agenzie governative, ong operanti nella difesa dell’ambiente e dei diritti umani, il gruppo è noto soprattutto per l’operazione “Aurora”, l’attacco informatico lanciato nel 2009 che ha colpito alcune tra le più importanti società statunitensi tra cui Adobe Systems, Dow Chemical e soprattutto Google, che ha rivisto anche per questo la sua politica commerciale verso la Cina.
Una delle “firme” con cui Axiom è divenuta nota è la capacità di nascondere in profondità i propri strumenti d’attacco, così che l’individuazione diventa difficile anche per gli esperti delle società di sicurezza informatica chiamati ad studiare l’attività del gruppo. Attività resa ancor più difficile per la quasi totale assenza di informazioni sui suoi componenti. Quel che è certo, comunque, è che l’operato di questo gruppo – così come quello della 61398 – riflette gli interessi nazionali strategici fissati dal governo cinese. Rubare dati in questo modo appare il modo più veloce per raggiungerle.
La preoccupazione maggiore degli esperti di sicurezza informatica è dettata proprio dall’uso “geopoliticamente strategico” che il governo di Pechino fa dei black hats, utilizzati tanto per lo spionaggio militare (nel quale rientra anche il monitoraggio dei dissidenti) quanto nello spionaggio commerciale, che appare essere la reale necessità alla base dello sviluppo del cracking cinese.

[4 – Continua]
[3 – Il cracking atlantico: Tao, Jtrig&Equation Group tra delazione e “interdiction”]
[2 – La diplomazia del virus informatico: figli di Stuxnet]
[1 – Stuxnet, i virus informatici di Stato e i prodromi del cyber-9/11]

  1. Pingback: Cracking, omertà&regole internazionali | Il Dettaglio - Il blog di Andrea Intonti

  2. Pingback: I nuovi attori del cracking mondiale | Il Dettaglio - Il blog di Andrea Intonti

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: