Salt Typhoon: Anatomia dell’attacco cibernetico e del sospetto coinvolgimento cinese

Un vento tempestoso soffia nel cyberspazio, scuotendo infrastrutture critiche e aziende strategiche in tutto il mondo. È l’Operazione “Salt Typhoon”, un attacco informatico senza precedenti attribuito a un gruppo di cybercriminali cinesi. Questi hacker, legati al Ministero della Sicurezza di Stato cinese, hanno dimostrato una precisione e una complessità che mettono in discussione la sicurezza globale, rendendo il cyberspazio un terreno di scontro tra superpotenze. La vicenda non è solo una questione di tecnologia, ma il riflesso di una lotta geopolitica sempre più intensa.

Salt Typhoon: Un attacco orchestrato con precisione chirurgica

La struttura dell’attacco, così come ricostruita dalle analisi di threat intelligence e rappresentata nello schema allegato, appare quasi come una mappa di guerra. Al centro di questa rete si trova un nodo principale, definito “Suspected China-based threat actor”. Questo elemento centrale agisce come il cervello dell’operazione, orchestrando ogni movimento e dirigendo i flussi di dati verso destinazioni strategiche. Dal nodo principale si dipartono numerose connessioni, veri e propri fili invisibili che collegano il gruppo di hacker agli obiettivi disseminati in tutto il mondo.

Il diagramma rivela la complessità dell’attacco. Ogni collegamento non è casuale: i flussi diretti verso i server, gli hash di file dannosi e le tecniche utilizzate per compromettere i target mostrano un piano studiato nei minimi dettagli. Si tratta di un’opera ingegneristica del crimine informatico, dove nulla è lasciato al caso. Gli hacker hanno sfruttato indirizzi IP (come il 149.28.154.23) per il controllo remoto e l’esfiltrazione dei dati, mentre strumenti avanzati e tattiche di offuscamento hanno permesso loro di passare inosservati per mesi.

Gli obiettivi: colpire il cuore delle infrastrutture globali

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Ma chi sono stati i bersagli di questa operazione? La scelta degli obiettivi rivela molto sulle intenzioni degli attaccanti. Non si tratta solo di raccogliere informazioni, ma di destabilizzare e acquisire un vantaggio strategico in settori chiave. Tra i principali bersagli troviamo:

1. Colossi delle telecomunicazioni come AT&T, Verizon e T-Mobile. Queste aziende rappresentano la spina dorsale delle comunicazioni globali. Comprometterle significa accedere a dati sensibili, intercettare conversazioni e monitorare le comunicazioni di figure chiave.
2. Campagne politiche di alto profilo. Gli attaccanti hanno mirato a personalità di rilievo della scena politica statunitense, come membri dello staff delle campagne presidenziali di Kamala Harris e Donald Trump. L’obiettivo? Ottenere informazioni strategiche e, potenzialmente, manipolare le dinamiche politiche.
3. Infrastrutture critiche come il settore energetico e della difesa. Questi obiettivi sono stati scelti per la loro importanza strategica, con la possibilità di preparare azioni di sabotaggio o semplicemente per rubare informazioni classificate.

La cassetta degli attrezzi degli hacker

Dietro questo attacco si cela una vera e propria “cassetta degli attrezzi” digitale, piena di strumenti sofisticati e tecniche avanzate. Gli hacker di “Salt Typhoon” hanno utilizzato un mix di approcci che dimostrano la loro abilità tecnica e la capacità di eludere i sistemi di sicurezza più avanzati. Tra le tattiche principali si distinguono:

• DLL-sideloading: una tecnica che sfrutta vulnerabilità nei file di sistema per caricare malware mascherati da componenti legittimi.
• Living off the land: l’arte di utilizzare strumenti già presenti nei sistemi compromessi, come PowerShell o strumenti di amministrazione remota, per evitare di essere rilevati.
• Server di comando e controllo (C2): gli indirizzi IP indicati nello schema (ad esempio 149.28.154.23) sono stati utilizzati per inviare istruzioni ai malware e raccogliere dati esfiltrati.

Questi strumenti sono stati arricchiti da tecniche di offuscamento, come la firma digitale contraffatta, che hanno reso i malware difficili da identificare anche per i software di sicurezza più avanzati. Inoltre, l’uso di hash univoci, come 23221b6f59b9e3b164a7021f2ac86c1df88a0fa78822f8500357eefaff0, ha permesso agli attaccanti di nascondere la propria presenza e mantenere un accesso persistente alle reti compromesse.

Lo schema dell’attacco di Salt Typhoon: una guida visiva alla complessità

L’immagine che accompagna questa analisi racconta molto più di quanto le parole possano fare. Mostra come i flussi dell’attacco si ramifichino dal nodo centrale, “Suspected”, verso una serie di obiettivi altamente strategici. Ogni flusso rappresenta un’azione: l’invio di un comando, la trasmissione di dati rubati, o il collegamento a un server remoto.

Gli indirizzi IP rappresentati nella parte inferiore dello schema sono i punti di raccolta per l’esfiltrazione dei dati, mentre gli hash colorati identificano specifici file dannosi utilizzati per penetrare i sistemi. È come osservare una rete neurale, dove ogni collegamento è un’operazione pensata per massimizzare il danno e raccogliere informazioni preziose.

Le conseguenze: una minaccia globale

L’impatto di questo attacco è stato devastante. Le aziende colpite devono affrontare non solo i costi diretti per il ripristino della sicurezza, ma anche la perdita di fiducia da parte di clienti e partner. A livello geopolitico, l’Operazione “Salt Typhoon” ha intensificato le tensioni tra Stati Uniti e Cina, alimentando accuse di spionaggio e ingerenza.

La risposta internazionale

Di fronte a un attacco di questa portata, gli Stati Uniti hanno reagito rapidamente, formando una task force multi-agenzia per indagare sull’incidente e rafforzare le difese cibernetiche. Gli esperti di sicurezza hanno condiviso gli indicatori di compromissione (IOC) individuati, nella speranza di prevenire ulteriori attacchi e contenere i danni.

Tuttavia, l’incidente solleva domande più ampie sulla resilienza delle infrastrutture globali e sull’urgenza di una maggiore collaborazione internazionale per combattere le minacce informatiche.

Un monito per il futuro

L’Operazione “Salt Typhoon” non è solo un attacco informatico: è un campanello d’allarme per un mondo sempre più interconnesso. Ogni azienda, ogni governo, e ogni individuo deve comprendere che la sicurezza nel cyberspazio è una responsabilità collettiva. Investire in tecnologia, formazione e consapevolezza sarà fondamentale per affrontare le sfide di un futuro digitale dove la linea tra spionaggio e guerra diventa sempre più sottile.

Questo attacco è un promemoria: nel cyberspazio, nessuno è al sicuro, e la prossima vittima potrebbe essere chiunque.

Un’operazione di spionaggio cibernetico senza precedenti ha fatto emergere tutta la vulnerabilità delle infrastrutture critiche globali. L’Operazione “Salt Typhoon”, attribuita a un gruppo di cybercriminali cinesi legati al Ministero della Sicurezza di Stato cinese, rappresenta un esempio lampante di quanto sofisticati possano essere oggi gli attacchi informatici. Con obiettivi che spaziano dalle telecomunicazioni alle campagne politiche, l’attacco dimostra come il cyberspazio sia ormai il campo di battaglia preferito per conflitti geopolitici e spionaggio internazionale.

Un’operazione pianificata nei minimi dettagli

Secondo le analisi di threat intelligence, “Salt Typhoon” è operativo dal 2020 e ha colpito obiettivi strategici in Nord America e nel Sud-Est asiatico. L’attacco in questione, avvenuto tra aprile e agosto 2024, è stato condotto con una precisione chirurgica, compromettendo diverse infrastrutture critiche e raccogliendo dati sensibili. Un’immagine dettagliata dello schema d’attacco mostra come tutto sia stato meticolosamente orchestrato.

Al centro dell’operazione c’è un nodo principale, etichettato come “Suspected”, che funge da centro nevralgico per la distribuzione di malware e l’esfiltrazione dei dati. Da questo nodo si diramano numerosi collegamenti verso obiettivi specifici, ognuno dei quali rappresenta un elemento chiave del piano. Non si tratta di un’azione casuale: ogni bersaglio è stato scelto con cura per massimizzare l’impatto strategico.

Le vittime di Salt Typhoon: chi è finito nel mirino

Tra i bersagli principali ci sono stati:

• Colossi delle telecomunicazioni: AT&T, Verizon e T-Mobile, compromessi per intercettare comunicazioni sensibili e raccogliere dati preziosi.
• Campagne politiche statunitensi: Tra gli obiettivi figurano personalità di rilievo, tra cui membri dello staff delle campagne presidenziali di Kamala Harris e Donald Trump.
• Infrastrutture critiche: Settori energetici, reti di trasporto e persino organizzazioni di difesa, con l’obiettivo di acquisire informazioni strategiche o preparare potenziali sabotaggi.

L’intrusione si è protratta per mesi, con gli attaccanti che hanno ottenuto accesso persistente ai sistemi compromessi grazie all’uso di tecniche avanzate e sofisticate.

Il “kit degli attrezzi” di Salt Typhoon

L’attacco ha messo in mostra un arsenale tecnologico all’avanguardia. Tra le tecniche utilizzate spiccano:

• DLL-sideloading: Una tecnica che sfrutta file di sistema Windows per caricare malware mascherati da componenti legittimi, eludendo i sistemi di sicurezza.
• Living off the land: Gli attaccanti hanno utilizzato strumenti già presenti nei sistemi colpiti, come PowerShell e comandi di amministrazione, per evitare di essere rilevati.
• Server di comando e controllo (C2): Gli indirizzi IP individuati nello schema (es. 149.28.154.23) sono stati utilizzati per inviare istruzioni ai malware e raccogliere dati esfiltrati.
• Offuscamento e firma digitale contraffatta: Malware progettati per nascondere la loro natura malevola, sfruttando tecniche avanzate di offuscamento.

Dallo schema emerge chiaramente una serie di hash univoci che identificano i file dannosi utilizzati nell’attacco, come 23221b6f59b9e3b164a7021f2ac86c1df88a0fa78822f8500357eefaff0. Questi hash, insieme ai log di connessione verso i server C2, hanno permesso agli esperti di tracciare le attività del gruppo.

Il disegno strategico di Salt Typhoon

La scelta degli obiettivi non è stata casuale. Le telecomunicazioni rappresentano un’infrastruttura critica che consente di monitorare le comunicazioni in tempo reale, sia a livello privato che istituzionale. Le campagne politiche, invece, offrono informazioni preziose per influenzare decisioni strategiche o prevedere le mosse di avversari geopolitici.

Ogni nodo nello schema rappresenta un preciso tassello del piano complessivo: un’operazione altamente coordinata e pianificata con cura. Questo livello di precisione indica chiaramente che dietro l’operazione ci sono risorse significative e competenze avanzate.

Le conseguenze dell’attacco

L’Operazione “Salt Typhoon” ha avuto un impatto devastante su più fronti:

1. Danni immediati: Dati sensibili sottratti, sistemi compromessi e costi enormi per ripristinare la sicurezza.
2. Erosione della fiducia: Le aziende colpite devono affrontare non solo danni economici ma anche una perdita di reputazione, mentre i cittadini temono per la sicurezza dei propri dati.
3. Tensioni geopolitiche: Gli attacchi attribuiti a “Salt Typhoon” intensificano le già fragili relazioni tra Stati Uniti e Cina, alimentando le accuse di spionaggio.

La risposta internazionale

Gli Stati Uniti hanno immediatamente formato una task force multi-agenzia per affrontare la minaccia e proteggere le infrastrutture critiche. Gli esperti di sicurezza hanno condiviso gli indicatori di compromissione (IOC) individuati, come gli indirizzi IP e gli hash dei file malevoli, nella speranza di contenere l’impatto e prevenire ulteriori attacchi.

Tuttavia, l’incidente solleva interrogativi più ampi sulla necessità di rafforzare le difese cibernetiche globali e investire in tecnologie di rilevamento più avanzate.

Conclusioni: un campanello d’allarme per il futuro

L’Operazione “Salt Typhoon” è un monito per governi e aziende: il cyberspazio è diventato un campo di battaglia dove si giocano le sfide del futuro. Gli attacchi non riguardano più solo furti di dati o interruzioni temporanee, ma rappresentano una minaccia diretta alla sicurezza nazionale e alla stabilità globale.

Mentre i responsabili sono ancora attivi e il rischio di nuovi attacchi persiste, è chiaro che la cooperazione internazionale e una maggiore consapevolezza saranno fondamentali per proteggere il nostro mondo sempre più interconnesso.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore