Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Palo Alto Networks ha attenuato il tono del suo rapporto su una vasta campagna di cyberspionaggio che la collegava direttamente alla Cina, nonostante inizialmente avesse tratto tale conclusione, secondo quanto riportato da Reuters.
La scelta è stata effettuata a causa della preoccupazione che un’attribuzione eccessivamente rigorosa avrebbe potuto scatenare reazioni negative da parte di Pechino, arrecando pregiudizio all’azienda e ai suoi utenti.
Tutto questo è collegato ad un’operazione su larga scala scoperta la scorsa settimana dall’Unità 42, un’unità di intelligence sulle minacce. La versione pubblicata del rapporto identificava il gruppo di attacco come un “attore legato alla nazione che opera dall’Asia”. Secondo alcune fonti, la bozza del documento menzionava esplicitamente il collegamento con la Cina, ma è stata riscritta prima della pubblicazione.
Ciò è avvenuto poco dopo la notizia che le autorità cinesi avevano vietato l’uso di software di circa 15 aziende di sicurezza informatica americane e israeliane, tra cui Palo Alto Networks, citando preoccupazioni per la sicurezza nazionale.
Fonti affermano che i ricercatori dell’Unità 42 erano certi delle origini cinesi della campagna e si basavano su un ampio corpus di prove tecniche e indiziarie. Tuttavia, l’azienda stessa ha dichiarato ai giornalisti che identificare un Paese specifico era “irrilevante”. In commenti successivi, Nicole Hockin, responsabile delle comunicazioni globali, ha sottolineato che la formulazione del rapporto non era correlata alle normative cinesi sugli appalti e ha liquidato come speculazioni qualsiasi ipotesi contraria. Ha affermato che il linguaggio scelto era necessario per avvertire e proteggere in modo più accurato le agenzie governative dalla minaccia.
L’ambasciata cinese a Washington ha dichiarato di opporsi a qualsiasi attacco informatico. Ha aggiunto che identificare la fonte degli attacchi informatici è un compito tecnico complesso e ha esortato a basarsi sulle prove piuttosto che su supposizioni e accuse.
Il rapporto afferma che il gruppo, denominato TGR-STA-1030, è stato osservato per la prima volta all’inizio del 2025. La campagna, denominata “The Shadow Campaigns”, ha interessato quasi tutto il globo. Gli aggressori hanno condotto ricognizioni di reti in diversi Paesi e sono riusciti a infiltrarsi in strutture governative e infrastrutture critiche in almeno 37 Paesi.
Sebbene la Cina non sia nominata nel testo, il rapporto fornisce dettagli che suggeriscono indirettamente una possibile connessione. L’attività ha coinciso con l’orario di lavoro nel fuso orario GMT+8, che include la Cina. Descrive anche le operazioni contro i sistemi governativi cechi poco dopo l’incontro tra il presidente del paese e il Dalai Lama, che Pechino considera una figura politicamente sensibile. Un altro attacco ha colpito la Thailandia alla vigilia di una visita diplomatica e, solo una settimana dopo, il re thailandese ha effettuato una visita di Stato a Pechino.
I ricercatori indipendenti che hanno esaminato i dati tecnici della campagna hanno affermato di aver osservato tecniche e infrastrutture simili in operazioni precedentemente collegate ai servizi segreti statali cinesi .
La situazione evidenzia la difficile posizione in cui si trovano le grandi aziende internazionali di sicurezza informatica. Rendere pubblico il nome dello Stato che sta dietro a un’operazione di spionaggio attira l’attenzione e ne rafforza la reputazione. Tuttavia, una mossa del genere potrebbe portare a ritorsioni, soprattutto se l’azienda ha dipendenti e uffici nel Paese in questione.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
