160 miliardi. E’ il valore dei segreti industriali che ogni anno gli hackers trafugano alle imprese dei paesi occidentali. Ma secondo gli esperti della sicurezza informatica il danno è in realtà incalcolabile, poiché non si riflette solo sui prodotti e sui processi di produzione, ma anche sul livello di competitività delle imprese. Il che, in un epoca di estrema mobilità del capitale, si traduce in delocalizzazioni, perdita di entrate fiscali e di occupazione.

Per queste ragioni numerosi paesi hanno posto fra le loro principali priorità la difesa dei propri assets commerciali.

Uno dei casi più recenti di spionaggio industriale è quello subito dall’australiana CODAN, che produce tecnologie per le comunicazioni e la ricerca e prospezione mineraria. http://www.codan.com.au/

L’amministratore delegato della società capisce che qualcosa non va quando le vendite di uno dei prodotti di punta, un metal detector utilizzato per la scoperta di minerali, subiscono un drastico calo.

Il timore si trasforma in certezza con una scoperta eccezionale: un’ imitazione del prodotto realizzata in maniera molto meno curata e ad un prezzo molto più abbordabile, venduto in Africa, il principale mercato di minerali per i paesi emergenti.

La scoperta avviene casualmente quando uno dei metal detector taroccati viene spedito nella sede australiana in riparazione. Apparentemente sembrava uno di quelli prodotti dalla CODAN. Quando però viene aperto si scoprono componenti di bassa qualità, alcuni dei quali difettosi.

L’intervento degli agenti dell’Autorità per la sicurezza delle imprese australiane, l’Australian Security Intelligence Organization (ASIO), permette di ricostruire le modalità utilizzate dagli hacker per rubare il progetto; tutto era accaduto quando uno dei responsabili commerciali della CODAN, collegandosi alla rete WiFi durante il soggiorno in un albergo cinese, aveva permesso ad un applicativo di entrare nel suo PC e di rubare i disegni e gli schemi del meta detector. http://www.asio.gov.au/

Con l’aiuto della polizia cinese, grazie all’intervento dell’ambasciata australiana in Cina, i dirigenti della CODAN scoprono come la rete di contraffazione conduca a Dubai. Qui viene infatti ritrovata una grossa partita di metal detector contraffatti, pronti per essere spediti in Sudan, Guinea e Niger. I responsabili della truffa in Cina vengono arrestati, mentre quelli a Dubai sono solo costretti a pagare una multa. Per competere con le imitazioni la CODAN è costretta ad abbassare il prezzo sul mercato del meta detector, da 4.000-5.000 dollari australiani a 2.500. Solo in quell’anno, il 2014, la CODAN subisce un ribasso degli utili da 45 a 9.2 milioni di dollari australiani.

Questa vicenda mostra quali siano le ricadute sul medio lungo termine di un cyberattacco con furto di segreti industriali da parte di società cinesi specializzate nello spionaggio.

Sebbene negli ultimi anni le società che operano sui mercati internazionali abbiano adottato una serie misure di sicurezza per tutelarsi da questi rischi, nel 2014 le società di consulenza informatica come Price Waterhouse Coopers, hanno visto ridurre il loro fatturato di almeno quattro punti percentuali, fino a 4.1 milioni, a causa della crisi economica ancora in corso.

E questo nonostante il numero delle “intrusioni informatiche” sia salito di quasi il 50%, pari globalmente a 42.8 milioni.

Secondo gli esperti di sicurezza informatica della Fire Eye Inc la principale preoccupazione  delle imprese occidentali sarebbe la capacità delle società cinesi di copiare i prodotti.

In realtà il punto di forza delle imprese della Repubblica Popolare è dato dalla loro abilità nel rubate segreti industriali, militari e civili, proprio nella fase in cui i brevetti vengono sviluppati.

Nel giugno 2014 Fire Eye scopre una vera e propria campagna di hackeraggio condotta da un gruppo cinese, APT3, che aveva preso di mira società coinvolte in diversi settori industriali: aerospaziale, difesa, costruzioni e di ingegneria, high tech, telecomunicazioni e trasporti.  https://www.fireeye.com/

La tecnica utilizzata è sempre la stessa, ovvero il “phishing“, attraverso l’invio di email apparentemente innocue ai dipendenti delle società, mail che contengono indirizzi di siti internet che, una volta cliccati, avviano il download di programmi miranti al furto di informazioni riservate.

La particolare capacità del gruppo APT3 è stata quella di essere riuscita a nascondere a lungo la propria identità online, rendendo così difficile la sua scoperta.

http://www.reuters.com/article/china-cybersecurity-australia-pix-graphi-idUSL3N0ZB15O20150625


L’hackeraggio agli spioni australiani

Nel maggio del 2013 un’inchiesta giornalistica trasmessa dalla televisione australiana ABC rivela come degli hackers cinesi siano riusciti a rubare la pianta Top Secret del nuovo quartiere generale dell’Australia Security Intelligence Operation (ASIO), prima ancora della sua inaugurazione. La notizia è alquanto imbarazzante per il governo dell’ ex colonia britannica, tanto da spingerlo a minimizzare l’accaduto. Soprattutto per non compromettere le relazioni commerciali con la seconda economia mondiale. Il governo di Camberra si affretta a comunicare alla stampa come, ammesso che la notizia sia vera, essa non avrà “alcuna ripercussione con la partnership strategica ” che vede la Cina quale principale partner commerciale dell’Australia”. La Cina è il principale acquirente del minerale di ferro australiano: metà della produzione viene assorbita dalla Repubblica Popolare, così come il 25% del suo carbone.

Sugli autori del furto non ci sono dubbi: le investigazioni condotte dalla ASIO conducono ad un server con base in Cina. Il cyberattacco ha preso di mira anche alcuni dipartimenti governativi, tra i quali quelli della difesa e degli esteri, oltre ad alcune imprese australiane con sede in Cina.

Il ministro degli Esteri cinese Hong Lei respinge ogni accusa, dichiarando come il suo governo sia contrario agli attacchi informatici, e chiedendo alla rete televisiva autrice dell’inchiesta, la ABC, quali prove essa disponga per accusare il suo Paese.

http://www.ft.com/cms/s/0/5ed43574-c768-11e2-be27-00144feab7de.html


Ko informatico al Pentagono e ai suoi fornitori

Il 27 maggio 2013 il Washington Post pubblica un articolo nel quale si da conto di un report del Pentagono che denuncia l’intrusione informatica subita da parte di hacker cinesi. Nel comunicato si da cenno di come alcuni dei principali sistemi avanzati di difesa siano stati compromessi dall’hackeraggio. https://www.washingtonpost.com/world/national-security/confidential-report-lists-us-weapons-system-designs-compromised-by-chinese-cyberspies/2013/05/27/a42c3e1c-c2dd-11e2-8c3b-0b5e9247e8ca_story.html?hpid=z1

Tra i sistemi di difesa hackerati vi sarebbero: le nuove versioni dei missili Patriot Pac-3, il sistema usato dall’esercito per colpire missili balistici THAAD, il sistema radar navale Aigis, oltre ai caccia F/A18 e V-22 Osprey, gli elicotteri Black Hawk e l’unità navale Littoral Combat Ship.

Tra i progetti Top Secret hackerati vi è anche quello dell’ F 35, il più costoso progetto di caccia bombardiere mai costruito (1.400 miliardi), ed al quale hanno partecipato tutti i principali paesi membri dell’Alleanza atlantica. Per questioni di sicurezza il Pentagono non rivela se il furto sia stato subito dal suo sistema informatico o da quello di società contractor, come  Lockeed-Martin, Boeing, Raytheon e Northrop Grumman o subcontractor.

In ogni caso la gravità del danno subito è evidente, poiché ad essere messo in crisi non è solo il sistema di difesa statunitense, ma anche quello degli alleati in Asia, Europa e Golfo Persico che lo hanno in dotazione.

Solo poco tempo prima, nel mese di gennaio, un gruppo di consulenti sulla sicurezza informatica aveva scritto in un rapporto che in caso di cyberattacco su larga scala il Pentagono si sarebbe trovato impreparato.  http://www.acq.osd.mil/dsb/reports/ResilientMilitarySystems.CyberThreat.pdf

In un intervento al Congresso degli Stati Uniti, alcuni rappresentanti del Pentagono rendono noto per la prima volta come dietro gli attacchi informatici subiti dal Paese vi siano il governo e l’esercito della Repubblica Popolare Cinese. Secondo gli esperti militari statunitensi, il piano di sottrazione di segreti militari a stelle e strisce rientra in un programma di ammodernamento dei sistemi di arma delle forze armate cinesi, nel tentativo di recuperare un gap tecnologico di diversi anni (si parla di 25). https://www.washingtonpost.com/world/national-security/pentagon-chinese-government-military-behind-cyberspying/2013/05/06/f4851618-b694-11e2-b94c-b684dda07add_story.html

Del resto già i Servizi americani avevano evidenziato in un rapporto come la Cina fosse dietro alla maggior parte degli attacchi informatici ed al correlato furto di segreti industriali a danno di importanti imprese commerciali statunitensi  https://www.washingtonpost.com/world/national-security/us-said-to-be-target-of-massive-cyber-espionage-campaign/2013/02/10/7b4687d8-6fc1-11e2-aa58-243de81040ba_story.html

Secondo una fonte che ha preferito restare anonima, ma che è riconducibile ad alti ufficiali del Pentagono, ciò che più desta preoccupazione non è tanto l’ammontare o l’importanza dei segreti militari trafugati, quanto il fatto che le vittime degli hacker hanno saputo di avere subito   un cyberattacco solo quando l’FBI è andata a bussare alla loro porta.

Oltre a quello dei sistemi di difesa, altri campi oggetto di intrusioni informatiche da parte degli hacker cinesi sono stati quello dei sistemi video dei droni, delle nanotecnologie, dei tactical data links e dei sistemi di guerra elettronica.

110211-O-XX000-001
The F-35C by Lockheed Martin
j-31_zhuhai_2014_0
J 31 by Aviation Industry Corporation of China
J-21_3view2
FC-31 by Aviation Industry Corporation of China

 

f35_variant_ctol

Snowden svela la gravità dei cyberattacchi cinesi

Nel gennaio 2015 il settimanale tedesco Der Spiegel pubblica alcune rivelazioni dell’ex analista della NSA, l’agenzia di sicurezza statunitense, Edward Snowden, sul furto di informazioni subito dalla società contractor del Pentagono, la Lockeed- Martin, in relazione al progetto del caccia bombardiere F35.

Malgrado sia il Pentagono che Lockeed-Martin abbiano cercato di minimizzare, dichiarando ufficialmente che nessun dato segreto era stato trafugato dagli hacker, Snowden rivela come la quantità di dati rubata dagli hacker cinesi fosse incredibilmente elevata: 50 Terabytes, l’equivalente di una libreria pari a sei volte quella del Congresso statunitense. In particolare tra i vari progetti trafugati, vi è anche quello dell’ F 35. Snowden rivela infatti come i cinesi abbiano copiato lo schema relativo al disegno del radar, il sistema utilizzato per raffreddare gli scarichi, le procedure iniziali e finali da parte del pilota, oltre allo schema dell’impianto di riscaldamento. http://www.spiegel.de/media/media-35687.pdf

La prova che i segreti militari trafugati siano stati impiegati dal governo cinese per realizzare un caccia bombardiere di prestazioni equivalenti o superiori a quelle dell’F 35, vengono fornite dagli stessi cinesi, secondo i quali il modello di caccia cinese J-31

sarebbe l’equivalente del cacciabombardiere in dotazione ai paesi alleati degli Stati Uniti.

La società produttrice del J 31, la Aviation Industry Corporation of China (AVIC), dichiara come il velivolo da lei prodotto, e la sua evoluzione l’FC-31, siano una valida alternativa

all’F 35, e di come alcuni esemplari siano stati acquistati da Iran e Pakistan.

http://economictimes.indiatimes.com/news/defence/america-says-chinas-fifth-generation-jet-fighter-j-31-stolen-from-its-f-35/articleshow/49762382.cms


Il rapporto Mandiant 

A partire dal 2004 la società di sicurezza informatica Mandiant, assorbita nel 2013 dalla Fire Eye Ltd, comincia ad investigare sulle attività di intrusione informatica ai danni di centinaia di imprese commerciali in tutto il mondo. Dall’analisi dei singoli casi Mandiant riesce a stabilire come la maggioranza dei cyberattacchi provenga dagli stessi attori, definiti in un rapporto redatto nel 2010 come “Advanced Persistant Threat” (Minaccia avanzata persistente) APT. http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf

Se nel 2010 Mandiant non era ancora in grado di stabilire da quale paese provenissero i cyberattacchi, e soprattutto se vi fosse dietro il supporto di qualche governo, tre anni dopo arrivano le prime certezze. Grazie allo studio di numerosi altri casi, nel complesso sono 150, appare evidente come la maggior parte delle intrusioni informatiche provenga dallo stesso paese, la Cina.

Mandiant riesce scoprire l’esistenza di oltre 20 APT, tutte residenti in Cina, oltre a monitoriate quelle più attive, la APT1, in termini di quantità di segreti industriali trafugati. A partire dal 2006, APT1 è infatti la responsabile della maggior parte delle intrusioni informatiche avvenute nei confronti di imprese americane, giapponesi ed europee.

Ma gli attacchi documentati dalla società di cyber security sono solo una piccola parte della complessa attività di spionaggio commerciale messa in atto negli anni. Le centrali di hackeraggio sono decine, tutte stanziate in Cina, e promosse dal governo di Pechino. Gli elementi di prova sono schiaccianti: tecniche impiegate, procedure seguite, strumenti utilizzati. Secondo Mendiant i network più attivi avrebbero sede a Shanghai, nella Pudong New Area, dove sorgerebbero le infrastrutture che avrebbero ospitato la maggior parte dei cyberattacchi.

Ma chi finanzia queste operazioni? L’unica entità in grado di sostenere economicamente un così lungo e continuato periodo di intrusioni non può che essere il governo cinese.

Confrontando il modus operandi di APT1 con quello dell’Unità 61398 del People’s Liberation Army (PLA’s) emergono analogie schiaccianti. Inclusa anche la localizzazione geografica, il Pudong district di Shanghai. Già in passato i servizi di sicurezza americani avevano documentato attacchi informatici ad imprese e installazioni governative statunitensi da parte del PLA. Ed il loro marchio di fabbrica era sempre riconoscibile.


Cronologia di una cyberguerra

Il primo attacco ufficiale ad una rete informatica è stato, nel 1988, il Morris worm, che in breve tempo si è diffuso in molti pc collegati alla rete. Il nome deriva da quello del suo autore, Robert Tapas Morris, il quale dichiarò che il suo scopo era quello di valutare quanto fosse grande la rete. Morris è stata la prima persona ad essere incriminata dal governo federale degli Stati Uniti per frode informatica. In seguito venne assunto al MIT.

Il worm è una particolare categoria di malware, che ha differenza degli altri è capace di riprodursi autonomamente senza il bisogno di legarsi a files da eseguire da parte dell’utente. Esso quindi si diffonde velocemente attraverso la posta elettronica o la rete.

Il warm Morris ha sfruttato le falle presenti nel sistema UNIX Noun 1, riuscendo a replicarsi regolarmente.

Nel dicembre del 2006 la NASA è a bloccare tutte le mail con allegati in entrata, prima di effettuare il lancio di un velivolo aerospaziale, per paura di un attacco di hacker.

In seguito un articolo pubblicato su Business Week ha raccontato come uno sconosciuto hacker fosse riuscito ad ottenere i piani per l’ultimo lancio nello spazio da parte della NASA.

Nell’aprile del 2007 le reti informatiche del governo estone vengono sottoposte ad un Denial of Service Attack (il più diffuso attacco hacker) da parte di uno sconosciuto. L’attacco viene portato subito dopo lo scontro diplomatico con la Russia a causa della rimozione del memoriale di guerra da parte del governo estone. Alcuni servizi online offerti dal governo vengono temporaneamente disabilitati e l’attività di banking online viene completamente disattivata.

Gli attacchi sembravano più una rivolta da parte di singole persone che il tentativo di creare un danno effettivo al Paese. La risposta del governo estone non si fa attendere, attraverso una sospensione dei servizi sulla rete.

Nel giugno 2007 la posta elettronica privata del Segretario della Difesa statunitense viene hackerata da sconosciuti, nell’ambito di una più vasta serie di attacchi destinati ad ottenere l’accesso e lo sfruttamento delle reti del Pentagono.

Ottobre 2007, il ministro per la Sicurezza di Stato Cinese dichiara che che attacchi informatici stranieri, dei quali il 42%  proverrebbero da Taiwan ed il 25% dagli Stati Uniti, avrebbero trafugato informazioni riservate importantissime.

Quando nel 2006 era stata controllata la rete intranet della China Aerospace Scioence & Industry Corporation (CAISC) vennero scoperti degli spywares, degli applicativi per lo spionaggio, nei pc di alcuni dipartimenti segreti e di alcune società leader di mercato.

Nell’estate del 2008 sia i database delle elezioni presidenziali del partito Democratico che quelli dei Repubblicani vengono hackerati e copiati da parte di sconosciuti.

Nell’Agosto del 2008 la rete informatica della Georgia viene hackerata ad opera di sconosciuti  in corrispondenza con il periodo nel quale il governo georgiano era entrato in conflitto con quello russo. Nei siti governativi della Georgia compaiono alcuni graffiti. Anche sei servizi informatici della Georgia non vengono danneggiati dall’attacco informatico, l’effetto che questo ha sul governo della ex repubblica sovietica è di una forte pressione politica, apparentemente coordinata con il dispiegamento di azioni militari da parte della Russia.

Gennaio 2009, nel corso dell’offensiva militare contro la Striscia di Gaza, le infrastrutture della rete internet israeliane subiscono un pesante attacco informatico. L’attacco hacker, che ha come obiettivo i siti web del governo della stella di David, viene portato da almeno 5 milioni di pc.Gli inquirenti israeliani ritengono che l’attacco sia stato condotto da un’organizzazione criminale con base nell’ex Unione Sovietica, e finanziata da Hamas o da Hezbollah.

Un gruppo che si fa chiamare “Iranian Cyber Army” manomette il servizio del popolare motore di ricerca cinese Baidu. Gli utenti che si connettono vengono reindirizzati ad una pagina che mostra un messaggio politico da parte dell’Iran. nel corso del mese precedente gli stessi responsabili del cyberattacco erano riusciti a penetrare alcuni account su Twitter, scrivendo messaggi simili.

Ottobre 2010, nei sistemi informatici di alcuni impianti industriali in Iran, Indonesia ed altri paesi viene individuato il malware Stuxnet, un applicativo studiato per interferire con il sistema industriale di controllo Siemens. Il malware lascia intendere come esso fosse stato usato quale arma governativa destinata a rallentare il programma nucleare iraniano.

Nel gennaio 2011 il governo canadese subisce il più pesante cyberattacco della sua storia; a farne le spese sono alcune agenzie governative, inclusa la Defence Research and Development Canada, un’agenzia di ricerca del dipartimento Nazionale della Difesa.

L’attacco colpisce anche il Dipartimento delle Finanze e quello del Tesoro, le principali agenzie economiche del Paese, che vangano disconnesse dalla rete.

Luglio 2011, durante un discorso nel quale viene illustrata la cyber strategia del Dipartimento della Difesa statunitense, il Segretario della Difesa racconta di come un contractor del Dipartimento avesse subito un attacco informatico e di come gli fossero stati sottratti illegalmente 24 mila files di proprietà del Dipartimento stesso.

Nell’ottobre del 2012 la società russa Kaspersky scopre un attacco informatico internazionale, denominato “Ottobre Rosso”, attivo a partire dal 2007. Gli hacker informatici sono riusciti a sottrarre informazioni importanti attraverso le vulnerabilità di alcuni programmi Microsoft, Word ed Excel. I primi paesi rimasti vittime dell’attacco sono quelli dell’Europa dell’est, l’ex Unione Sovietica e l’Asia Centrale, anche se i Paesi occidentali ed il Nord America sono anche loro tra le vittime.

Il virus impiegato raccoglie informazioni attraverso le ambasciate dei vari governi, le società di ricerca, le installazioni militari, le società produttrici di energia, le infrastrutture nucleari ed altri impianti ugualmente sensibili.

Marzo 2012, le istituzioni finanziarie della Corea del Sud, assieme all’emittente radiotelevisiva YTN subiscono un grave attacco informatico: le loro reti vengono infettate da un virus secondo modalità che sembrano somigliare a precedenti attacchi subiti da parte della Corea del Nord.

Nel loro primo incontro del 4 giugno 2013 dedicato alla Cyber difesa, i ministri della Difesa dei Paesi NATO concordano sul fatto che le per l’autunno dello stesso anno le loro capacità di difesa da attacchi informatici devono essere pienamente operative, ed estendere la loro protezione a tutte le reti appartenenti o utilizzate dall’Alleanza.

Per la fine del 2013 il sistema di cyber difesa posto in essere dai paesi NATO, il Computer Incident Response Capability (NCIRC), il cui costo è di 58 milioni di euro, viene terminato. Questa “pietra miliare” del sistema di cyber difesa consentirà alla NATO di proteggere le sue reti dal crescente numero di cyber attacchi conto i sistemi informatici dei paesi Alleati.

Ma anche la NATO non è rimasta a guardare. Solo nel 2012 il sistema informatico dell’Alleanza è stato sottoposto ad oltre 2.500 cyber attacchi di rilevante intensità. Anche se nessuno di questi è riuscito a violare il suo sistema di difesa.

Fonte: http://www.nato.int/docu/review/2013/cyber/timeline/EN/index.htm

 

 

 

 

Annunci