Potrebbe essere una delle operazioni di cyber-spionaggio più clamorose di sempre. L’attacco che secondo il Washington Post avrebbe coinvolto “decine di operatori nel settore delle telecomunicazioni” ha ancora molti aspetti oscuri, ma rappresenta qualcosa al cui confronto, secondo il Senatore Mark R. Warner, i casi SolarWinds e Colonial Pipeline sarebbero “giochi da ragazzi”.  

L’attacco portato dal gruppo Salt Typhoon, legato secondo molte società di sicurezza e il governo Usa alla Repubblica Popolare Cinese, avrebbe consentito di accedere ai sistemi dei provider statunitensi per mesi, arrivando a violare addirittura il sistema di intercettazioni usato da FBI, NSA e soci. Un attacco che avrebbe messo a rischio i dati personali di milioni di comuni cittadini e almeno 150 esponenti politici di primo piano, sia repubblicani che democratici. In un periodo, tra l’altro, caratterizzato dalle elezioni presidenziali USA che hanno visto affermarsi Donald Trump in una competizione elettorale che vedeva il rischio di interferenze cyber come uno spauracchio che ne ha fortemente caratterizzato la vigilia. 

Il gruppo Salt Typhoon

Salt Typhoon, conosciuto anche con il nome di GhostEmperor e FamousSparrow, è un gruppo APT (Advanced Persistent Threat) individuato per la prima volta nel 2021 dalla società russa di cybersicurezza Kaspersky. Si tratta di un attore che opera, secondo diverse società di cybersicurezza, per conto del governo cinese e che appare essere specializzato in attacchi ai sistemi di telecomunicazioni. Le prime operazioni attribuite a Salt Typhoon avevano come obiettivo organizzazioni nel Sud-est asiatico e in Africa. Anche in quell’occasione, il gruppo era riuscito a infiltrarsi nei sistemi di numerose compagnie di telecomunicazioni, passando inosservato per almeno 8 mesi.
Stando a un report pubblicato da ESET, nel 2021 il gruppo avrebbe condotto anche una campagna di attacchi che sfruttavano una vulnerabilità in Microsoft Exchange e  avrebbe colpito organizzazioni governative e strutture alberghiere in Brasile, Burkina Faso, Sud Africa, Canada, Israele, Francia, Guatemala;, Lituania, Arabia Saudita,Taiwan, Thailandia e Regno Unito.

L’operazione negli Stati Uniti ricalcherebbe in buona parte quelle già registrate in passato, anche se i dettagli riguardanti gli strumenti e le tecniche di attacco non sono ancora stati resi pubblici. È la prima volta che Salt Typhoon viene collegato a un’operazione su territorio statunitense.

L’impatto dell’intrusione 

L’attacco ha preso di mira esclusivamente operatori di telecomunicazioni, cioè un punto di accesso privilegiato che avrebbe permesso agli attaccanti di ottenere dati su milioni di persone. All’elenco delle “big” coinvolte nell’attacco, che in un primo momento comprendeva Lumen Technologies, Verizon e AT&T, si è aggiunta in seguito T-Mobile. Per comprendere la portata di una simile intrusione basti considerare che, secondo i dati di Statista, Verizon, AT&T e T-Mobile detengono il 98,97% del mercato della telefonia mobile negli USA. Per quanto riguarda le connessioni Internet, solo Lumen Technologies, Verizon e AT&T servono complessivamente 25 milioni di utenti. 

In questo quadro, Salt Typhoon ha avuto potenzialmente accesso a una enorme mole di dati, prima di tutto quelli relativi a tutti i clienti degli operatori telefonici coinvolti. La raccolta dei metadati, che ricalca quanto denunciato nel 2013 da Edward Snowden nel caso Datagate, consentirebbe di ricostruire l’attività di ogni singolo utente. 

Secondo quanto riportato dal New York Times, gli hacker avrebbero sfruttato l’accesso ai sistemi degli operatori telefonici per tracciare l’attività di politici di primo piano, tra cui Donald Trump, il suo vice JD Vance e l’attuale vice presidente degli Stati Uniti (e rivale di Trump nelle elezioni presidenziali) Kamala Harris. 

A tutto questo, però, si aggiunge un altro aspetto. L’attenzione dell’opinione pubblica, infatti, si è spostata rapidamente quando è emersa la possibilità che l’attacco abbia coinvolto le piattaforme statunitensi per la gestione delle intercettazioni telefoniche. Un’ipotesi confermata da un comunicato congiunto pubblicato da FBI e CISA (Cybersecurity and Infrastructure Security Agency) in cui si parla espressamente della sottrazione di informazioni relative a “richieste delle forze dell’ordine statunitensi in seguito a ordinanze del tribunale”. Secondo molti commentatori, quello legato alla violazione del sistema di intercettazione delle comunicazioni era però un disastro annunciato.  

Come funzionano le intercettazioni telefoniche negli USA

Alla base del sistema c’è il Communications Assistance for Law Enforcement Act (CALEA), una legge che prevede l’obbligo per le aziende operanti nella telecomunicazione di consentire alle agenzie governative USA l’intercettazione di telefonate e messaggi. 

A peggiorare la situazione, in questo caso specifico, c’è il fatto che la legge non prevede l’uso di una piattaforma unica gestita attraverso processi pubblici e trasparenti. Al contrario: ogni singolo operatore è libero di adottare una piattaforma proprietaria o utilizzare software di terze parti. In buona sostanza, come sottolineò EFF nei suoi appelli alla vigilia dell’aggiornamento di CALEA, le intercettazioni sono state affidate a soggetti privati, con pochi elementi di controllo. Sia gli operatori telefonici, sia eventuali partner tecnologici, inoltre, sono coinvolti direttamente nelle intercettazioni. 

Gli attaccanti, di conseguenza, avrebbero avuto la possibilità di accedere a tutti i dati relativi alle richieste, comprese quelle della Foreign Intelligence Surveillance Court (FISA Court) che si occupa di autorizzare le intercettazioni delle agenzie di intelligence statunitensi. In altre parole: a Pechino avrebbero un elenco completo delle operazioni di spionaggio in atto attraverso intercettazioni telefoniche.  

In attesa di comprendere meglio le conseguenze dell’attacco, l’impatto politico è significativo. In una lettera inviata alla Federal Communications Commission (FCC), il senatore Ron Wyden sottolinea come, nella vicenda, “le compagnie di telecomunicazioni sono responsabili della loro scarsa sicurezza informatica e del mancato rafforzamento dei propri sistemi, ma gran parte della colpa ricade anche sul governo”.

L’ombra delle intercettazioni 

Il dubbio, a questo punto, riguarda la possibilità che gli attaccanti abbiano potuto utilizzare i sistemi di intercettazione per spiare eventuali bersagli. Se le indiscrezioni riguardanti Donald Trump, JD Vance e Kamala Harris parlano di “tentativi di accesso”, c’è però un caso in cui le fonti si sono sbilanciate un po’ di più.

Il bersaglio, in questo caso, sarebbe Todd Blanche, avvocato a cui Donald Trump ha affidato la sua difesa in alcune delle cause che lo vedono a processo. Secondo quanto riporta ABC News, infatti, l’FBI avrebbe avvisato Blanche che il suo telefono sarebbe stato compromesso e che i cyber-spioni sarebbero riusciti a ottenere “registrazioni vocali” e messaggi. Le fonti citate da ABC News collegano direttamente la violazione del telefono di Todd Blanche all’attacco attribuito a Salt Typhoon.

Il comunicato congiunto di FBI e CISA, nel riassumere i contorni dell’attacco, parla di “furto di dati relativi ai registri delle chiamate dei clienti, compromissione delle comunicazioni private di un numero limitato di individui principalmente coinvolti in attività governative o politiche e la copia di alcune informazioni oggetto di richieste delle forze dell’ordine statunitensi in base a ordini giudiziari”. Quel riferimento alla “compromissione delle comunicazioni private” potrebbe riferirsi proprio a intercettazioni vocali.

Quel poco che sappiamo dell’attacco

Al momento, sui dettagli dell’attacco vige una certa omertà. Microsoft, che ha individuato la presenza dei presunti hacker di stato cinesi sui sistemi delle compagnie di telecomunicazioni a causa di alcune “attività anomale” registrate negli scorsi mesi, è abbottonata.  

Le poche indiscrezioni riguardanti il cyber-attacco che ha colpito gli operatori statunitensi parlano genericamente di attacchi che avrebbero preso di mira “sistemi obsoleti” utilizzati dalle aziende per gestire i loro sistemi di telecomunicazioni. 

Un settore, quello delle telco, che in questi mesi sembra essere particolarmente vulnerabile agli attacchi da parte dei gruppi APT attribuiti alla Repubblica Popolare Cinese. Lo scorso 19 novembre, Crowdstrike ha pubblicato per esempio un report riguardante l’attività di un ulteriore gruppo sospettato di essere cinese, battezzato con il nome di Liminal Panda, che avrebbe preso di mira numerose infrastrutture di telecomunicazioni situate (ancora una volta) in paesi asiatici e africani.

Negli attacchi precedenti, però, Salt Typhoon non aveva fatto leva direttamente sulle infrastrutture di telecomunicazione. Stando a quanto emerge dai rapporti pubblicati online da Kaspersky, aveva utilizzato diversi strumenti di attacco nei confronti di sistemi esposti su Internet, sfruttando un rootkit (un particolare software che agisce a livello del kernel per offuscare un processo malevolo – ndr) chiamato Demodex. 

Se gli attacchi riportati da Kaspersky risalgono al 2021, più recentemente il gruppo è stato individuato dai ricercatori di Sygnia, che a fine 2023 hanno segnalato l’utilizzo di una variante di Demodex in un attacco informatico attribuito, anche in questo caso, a Salt Typhoon- GhostEmperor. L’arsenale informatico di Salt Typhoon, come riporta Trend Micro in un report pubblicato a fine novembre, comprende però una varietà di strumenti in grado di sfruttare vulnerabilità note.

Al momento, però, siamo in una fase in cui gli esperti di sicurezza stanno ancora cercando di capire se Salt Typhoon possa in qualche modo avere mantenuto una presenza all’interno dei sistemi compromessi. Un’ipotesi che sembra confermata anche dalle recenti dichiarazioni dei responsabili della Casa Bianca. Insomma: per conoscere i dettagli operativi e i vettori di attacco utilizzati dovrà passare un po’ di tempo. Quello che è certo, è che verrà ricordato come una delle più clamorose intrusioni mai subite negli Stati Uniti.