L’FBI e la Cybersecurity and Infrastructure Security Agency (CISA) hanno rivelato il 20 luglio con un comunicato congiunto che diverse società statunitensi di gas naturale e oleodotti sono state violate con successo da hacker cinesi per due anni a partire dal 2011.

Le agenzie hanno evidenziato che 13 società sono state violate con successo, tre sono stati descritti come “quasi incidenti” e altre otto sono state soggette a una “profondità sconosciuta di intrusione” che CISA e FBI hanno attribuito ad hacker sponsorizzati dallo stato cinese valutando che gli attacchi miravano probabilmente a sviluppare ulteriormente le capacità cyber offensive della Cina.

“La CISA e l’FBI valutano che questi attori stavano prendendo di mira specificamente l’infrastruttura degli oleodotti statunitensi allo scopo di comprometterla”, hanno scritto le agenzie.

“Inoltre, la CISA e l’FBI valutano che questa attività era in definitiva destinata ad aiutare la Cina a sviluppare capacità di attacco informatico contro le condutture statunitensi per danneggiarle o interromperne l’operatività”.

Secondo le due agenzie, le violazioni sono iniziate nel dicembre 2011, quando i dipendenti delle società prese di mira hanno ricevuto e-mail di phishing infette. Altri hanno ricevuto chiamate che chiedevano informazioni sulle pratiche di sicurezza informatica dell’azienda da individui che fingevano di provenire da una grande azienda di sicurezza informatica.

Gli hacker sono stati in grado di sottrarre elenchi del personale, nomi utente e password, informazioni, manuali di manutenzione e gestione dei sistemi e altre informazioni utili per consentire loro di “eseguire da remoto operazioni non autorizzate sulla pipeline con conseguenze fisiche.  Con questo accesso, gli hacker sponsorizzati dallo stato cinese avrebbero potuto impersonare operatori di sistema legittimi per condurre operazioni non autorizzate”.

Come evidenzia The Hill, il comunicato di FBI e CISA è stato reso noto lo stesso giorno in cui la Transportation Security Administration ha emesso la sua seconda direttiva in due mesi volta a rafforzare la sicurezza informatica delle aziende che gestiscono gli oleodotti e degli impianti.

Queste direttive sono state rilasciate sulla scia del devastante attacco ransomware a Colonial Pipeline del maggio scorso, che ha provocato carenza di gas in diversi stati degli USA per una settimana.

L’avviso di sicurezza è stato rilasciato anche il giorno dopo che gli Stati Uniti, il Regno Unito, l’Unione Europea e altre nazioni alleate hanno attribuito agli hacker collegati alla Cina gli attacchi alle vulnerabilità dell’Exchange Server di Microsoft hanno portato alla compromissione di migliaia di organizzazioni in tutto il mondo, tra cui il Parlamento norvegese e altre agenzie governative.

Il direttore esecutivo della CISA Eric Goldstein ha sottolineato la necessità di non sottovalutare le capacità cyber cinesi  rinnovando l’allarme per la minaccia posta dagli hacker di Pechino all’intero complesso delle infrastrutture critiche statunitensi.

“La minaccia cyber portata dalla Repubblica Popolare Cinese continua a evolversi e rappresenta un rischio reale per l’infrastruttura critica della nazione, nonché per le aziende e le organizzazioni di tutte le dimensioni in patria e in tutto il mondo“, ha scritto Goldstein.

“Stiamo assistendo ad una acutizzazione di episodi di attacco informatico ad istituzioni e infrastrutture critiche a livello globale.

Ci troviamo dinanzi a veri e propri scenari di guerra asimmetrica, quella cyber, una forma di conflitto ad armi impari, non dichiarata, nella quale l’attaccato è costretto a difendersi da un nemico spesso non identificabile e in condizione di palese svantaggio” commenta Emanuele Galtieri, amministratore delegato di CY4GATE  (nella foto a lato)., società italiana di punta nel settore cyber.

“È necessario maturare questa consapevolezza, per poter contrastare adeguatamente – a livello nazionale e come membri della comunità internazionale (UE e NATO) – la minaccia posta da armi che, ancorché cibernetiche, presentano un alto potenziale distruttivo.

La partita si gioca ora e l’Italia ha le opportunità: vincerà chi saprà assicurare un ruolo centrale nello sviluppo di tecnologie cyber nazionali, supportando quelle nicchie tecnologiche che potranno assicurare il pieno controllo sulle chiavi d’accesso ai sistemi posti a protezione dei confini cibernetici in senso ampio: istituzioni, infrastrutture critiche e aziende” ha concluso Galtieri.

 Una fonte autorevole in materia, contattata da Analisi Difesa, ma che ha chiesto l’anonimato, ha evidenziato come sia “necessario anche considerare la redditività di queste azioni criminali e l’inadeguatezza di molte strategie di cybersecurity.

Il riscatto medio chiesto ed ottenuto dagli hacker nel 2020 è stato di 300.000 dollari in Bitcoin, ma per le grandi imprese la somma è milionaria.

L’attacco alla Colonial Pipeline è stato possibile grazie alla compromissione di una sola password. Aspetto preoccupante visto che ormai la gran parte dei sistemi utilizza l’autenticazione a doppio fattore. È il caso, oramai frequentissimo nella vita di ognuno di noi, dell’inserimento combinato “password + PIN” (o token), un codice che il sistema genera contestualmente all’accesso e che viene spedito, generalmente via SMS o con una notifica, sullo smartphone di chi sta cercando di accedere”.