Nome in codice Volt Typhoon: la campagna di hacking cinese che Microsoft aveva già scoperto

Voi sapete dove si trova Guam? È un’isola dell’Oceano Pacifico che è un territorio autonomo, ma non incorporato degli Stati Uniti d’America. La sua storia è indissolubilmente legata a quella del soldato giapponese Yokoi. Quest’ultimo si era rifugiato nelle profondità delle foreste dell’isola per sfuggire alla cattura dell’esercito americano, dopo la fine dell’occupazione giapponese del territorio di Guam. Scoprì della fine della seconda guerra mondiale soltanto 7 anni dopo la bomba di Hiroshima e rimase comunque nascosto fino al 1972, nutrendosi di ciò che la natura gli offriva e andando avanti con l’equipaggiamento da soldato che aveva a disposizione. Guam è un territorio indipendente, ma gli Stati Uniti hanno una forte influenza nell’area, offrendo la possibilità ai 3500 abitanti dell’isola di poter beneficiare della cittadinanza a stelle e strisce. Inoltre, sull’isola sono presenti delle basi militari strategiche dell’esercito americano. Qui, nel maggio del 2023, Microsoft ha avuto modo di scoprire una strana linea di codice nelle varie piattaforme digitali utilizzate dalle forze armate USA.

LEGGI ANCHE > Il malware cinese che potrebbe aver condizionato i flussi e gli approvvigionamenti dell’esercito USA

Microsoft a Guam scopre un codice che potrebbe essere traccia di un hacking cinese

La responsabilità è stata attribuita alla campagna di hacking Volt Typhoon. In seguito all’allarme lanciato da Microsoft, si erano messe in moto – già nella primavera scorsa – tutte le agenzie governative statunitensi con competenza nel settore della cybersicurezza (oltre che, in generale, nella sicurezza interna). «I partner del settore privato – avevano spiegato all’epoca – hanno identificato che questa attività influisce sulle reti in tutti i settori delle infrastrutture critiche degli Stati Uniti e le agenzie ritengono che l’attore potrebbe applicare le stesse tecniche contro questi e altri settori in tutto il mondo». Insomma, una vera e propria anticipazione di quella che il Congresso USA ha definito – secondo il report del New York Times di cui abbiamo parlato nel monografico di oggi – una sorta di bomba a orologeria legata alla cybersicurezza.

Nel maggio del 2023, anche per favorire un certo clima di distensione diplomatica tra Stati Uniti e Cina, Pechino aveva respinto al mittente qualsiasi responsabilità attribuita in questa vicenda. Tuttavia, alla luce dell’analisi che alcuni funzionari della Casa Bianca stanno facendo a proposito di un possibile malware cinese che, da tempo, avrebbe il compito di acquisire informazioni sugli Stati Uniti e di bloccare per un certo periodo di tempo alcune operazioni (a livello di fornitura elettrica, idrica e a livello di comunicazioni), si potrebbe pensare che quanto rilevato nell’isola di Guam fa parte dello stesso piano cybernetico cinese.

Il risultato dell’analisi di Microsoft

Proprio da Guam, infatti, partirebbe una controffensiva Usa nel caso di una invasione della Cina ai danni di Taiwan. E nell’ultimo periodo, dopo la fornitura esplicita di armi americane a Taiwan, i riflettori sono nuovamente puntati in quell’area del globo.

Microsoft aveva scoperto la stringa di codice sospetta all’interno degli apparati di comunicazione statunitensi attivi a Guam, individuando il problema in un web shell, ovvero uno script malevolo che permette un accesso da remoto a un server, rendendo fortemente vulnerabili i router domestici, soprattutto quelli che non erano aggiornati con i più moderni ritrovati di protezione. Il risultato dell’indagine di Microsoft era stato pubblicato nel mese di maggio e dal report sono emersi dettagli molto preoccupanti: «Emettono comandi tramite la riga di comando – sottolineava Microsoft – per raccogliere dati, comprese le credenziali dai sistemi locali e di rete, per inserire i dati in un file di archivio per prepararli all’esfiltrazione e quindi per utilizzare le credenziali valide rubate. Inoltre, Volt Typhoon cerca di integrarsi nella normale attività di rete instradando il traffico attraverso apparecchiature di rete SOHO (small office and home office) compromesse, inclusi router, firewall e hardware VPN. Sono stati anche osservati utilizzando versioni personalizzate di strumenti open source per stabilire un canale di comando e controllo».

A maggio, l’operazione di Volt Typhoon sembrava piuttosto essere una sorta di attività di controllo, non operativa, allo scopo di ottenere informazioni. Il passaggio successivo è stato quello di evidenziare la possibilità che, attraverso un malware, la Cina avrebbe la possibilità di bloccare alcune comunicazioni e l’accesso ad alcuni approvvigionamenti dell’esercito americano. All’inizio, il gruppo di hacker che aveva condotto questa campagna aveva provocato un certo scetticismo negli operatori di settore. Oggi, alla luce di quanto riferito al NY Times da alcuni membri del Congresso, l’attività del gruppo di hacker potrebbe essere considerata molto più pericolosa.