Da studenti Cisco a cyber-spie di Stato: la vera origine di Salt Typhoon

Un recente studio condotto da SentinelLabs getta nuova luce sulle radici del gruppo di hacker noto come “Salt Typhoon“, artefice di una delle più audaci operazioni di spionaggio degli ultimi dieci anni.

Identificata per la prima volta a settembre 2024, la campagna di attacchi ha compromesso numerose reti. Un avviso recente ha segnalato che il gruppo di hacker è riuscito a infiltrarsi in oltre 80 società di telecomunicazioni a livello mondiale.

Di conseguenza, sono stati raccolti dati sensibili, tra cui chiamate e messaggi di testo non protetti, provenienti da personaggi di spicco come aspiranti alla presidenza degli Stati Uniti e specialisti di Washington.

Grazie alla formazione acquisita partecipando a gare di networking, i membri del gruppo, riporta il rapporto di SentinelOne, inizialmente semplici studenti appassionati di networking Cisco, sono stati in grado di utilizzare le loro competenze per sferrare un attacco e mettere a rischio l’infrastruttura globale delle telecomunicazioni.

Dietro la tastiera di questa “tempesta geopolitica” ci sono due individui identificati come Yuyang (余洋) e Qiu Daibing (邱代兵). Lungi dall’essere figure oscure e sconosciute, sono comproprietari di aziende esplicitamente nominate negli avvisi di sicurezza informatica: Beijing Huanyu Tianqiong e Sichuan Zhixin Ruijie.

I due hanno una lunga e documentata storia di collaborazione, lavorando a stretto contatto per “depositare brevetti e orchestrare gli attacchi”.

La cosa più allarmante è che il gruppo non si è limitato a intercettare le comunicazioni, ma ha anche violato i sistemi progettati per le forze dell’ordine. Il rapporto osserva che “anche i sistemi integrati nelle società di telecomunicazioni, che facilitano l’intercettazione legale delle comunicazioni dei criminali, sono stati violati da Salt Typhoon”.

Il percorso del duo verso l’hacking sponsorizzato dallo stato non è iniziato in un bunker militare, ma in un’aula scolastica. Tredici anni prima di essere citati in un avviso di sicurezza statunitense, Yuyang e Qiu Daibing erano studenti della Southwest Petroleum University (SWPU), un’istituzione regionale Cinese con “pochi riconoscimenti per i suoi programmi di sicurezza informatica e sicurezza informatica “.

Nonostante la modesta reputazione della loro scuola, la coppia si distinse. Nella Cisco Network Academy Cup del 2012, in rappresentanza della SWPU, la squadra di Yu Yang si classificò seconda nel Sichuan, mentre la squadra di Qiu Daibing si aggiudicò il primo premio e si assicurò infine il terzo posto a livello nazionale.

Il rapporto traccia un toccante parallelo con le rivalità classiche, osservando che questa storia di spionaggio ad alta tecnologia “nasconde una storia antica come il tempo: un maestro esperto addestra un apprendista… l’apprendista usurpa il maestro”. Paragona la loro traiettoria a celebri litigi, come “la faida di Gordon Ramsay con Marco Pierre White” e “l’ascesa di Anakin sotto Obi-Wan Kenobi”.

La rivelazione evidenzia una vulnerabilità critica nelle iniziative di formazione tecnologica globali. La Cisco Network Academy, che ha aperto i battenti in Cina nel 1998, ha formato gli studenti proprio sugli stessi prodotti – Cisco IOS e ASA Firewall – che Salt Typhoon ha poi sfruttato.

Sebbene l’accademia abbia formato oltre 200.000 studenti in Cina, il successo di Yuyang e Qiu sottolinea una lezione da “Ratatouille” per il mondo della sicurezza informatica: “Chiunque può cucinare”. Due studenti di un’università poco stimata hanno utilizzato la formazione aziendale standard per sviluppare una capacità offensiva in grado di rivaleggiare con quella degli stati nazionali.

L’incidente rappresenta un duro monito per le aziende tecnologiche occidentali che operano in zone geopolitiche calde. Il rapporto suggerisce che “le capacità offensive contro i prodotti IT stranieri probabilmente emergono quando le aziende iniziano a fornire formazione locale”, favorendo inavvertitamente la ricerca offensiva estera.

Sebbene tali iniziative abbiano trainato le vendite per decenni, il panorama è cambiato. Come conclude il rapporto, “Mentre la Cina cerca di eliminare l’IT made in USA dal suo parco tecnologico, queste iniziative potrebbero presentare più rischi che benefici”.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks