Salt Typhoon: La Minaccia Cibernetica Cinese che Ha Colpito le Telecomunicazioni Americane

Inva Malaj : 18 Novembre 2024 17:49

Salt Typhoon è il nome attribuito da Microsoft a un gruppo di hacker sponsorizzato dalla Cina, ritenuto responsabile di una serie di attacchi informatici sofisticati contro aziende di telecomunicazioni negli Stati Uniti. Questo gruppo, attivo dal 2020, è associato al Ministero della Sicurezza dello Stato cinese (MSS) e si concentra principalmente su obiettivi governativi e infrastrutture critiche in Nord America e Asia.

Il nome segue la convenzione di Microsoft, che utilizza “Typhoon” per indicare le minacce cibernetiche legate alla Cina, e un elemento descrittivo, in questo caso “Salt”, per rappresentare la specificità delle loro operazioni mirate.

Salt Typhoon si è distinto per aver attaccato compagnie leader come T-Mobile, AT&T, Verizon e Lumen Technologies. Gli obiettivi degli attacchi includono:

1. Accesso ai Metadati delle Comunicazioni: Registri di chiamate e messaggi non crittografati.
2. Sistemi di Sorveglianza Legale: Dati legati alle richieste di intercettazione autorizzate dai tribunali americani.
3. Informazioni su Figure di Alto Profilo: Comunicazioni di funzionari governativi e personalità politiche di alto livello.

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il gruppo ha utilizzato avanzate tecniche di “living off the land” (LotL) , sfruttando strumenti integrati nei sistemi compromessi per evitare il rilevamento. Si è anche servito di vulnerabilità nei router Cisco, benché l’azienda abbia negato compromissioni dirette delle sue apparecchiature.

Implicazioni e Risposte

Gli attacchi hanno suscitato preoccupazioni per la sicurezza nazionale, in quanto Salt Typhoon ha dimostrato la capacità di penetrare sistemi di telecomunicazione critici, sollevando interrogativi sulla vulnerabilità delle infrastrutture utilizzate per sorveglianze legali e comunicazioni governative. Ron Wyden, senatore degli Stati Uniti, ha sottolineato come queste falle possano minare la fiducia del pubblico nei sistemi di sorveglianza e sicurezza del governo.

Il governo degli Stati Uniti ha risposto attivando un Cyber Unified Coordination Group (Cyber UCG) per mitigare i rischi e avviare indagini approfondite. Inoltre, il Cyber Safety Review Board (CSRB) sta esaminando le vulnerabilità sfruttate dagli hacker e delineando strategie per prevenire futuri attacchi.

T-Mobile ha confermato di essere stata colpita dalla campagna di Salt Typhoon. Tuttavia, l’azienda ha dichiarato di non aver riscontrato impatti significativi sui suoi sistemi o evidenze di esfiltrazione di dati sensibili dei clienti.

• In una dichiarazione al Wall Street Journal, T-Mobile ha descritto l’attacco come “industriale”, sottolineando il costante monitoraggio dei suoi sistemi e la collaborazione con le autorità competenti.
• Fonti anonime suggeriscono che i dati compromessi potrebbero includere metadati delle comunicazioni e messaggi, con implicazioni significative per la privacy e la sicurezza.

Conclusione e Raccomandazioni

Il caso Salt Typhoon sottolinea la crescente sofisticazione delle minacce cibernetiche sponsorizzate dallo stato e la necessità di:

• Rafforzare le difese delle infrastrutture critiche.
• Aggiornare normative per ridurre vulnerabilità strutturali.
• Potenziare la collaborazione pubblico-privato per identificare e risolvere le falle di sicurezza.

Mentre le indagini proseguono, il caso rappresenta un importante monito per la comunità internazionale sulla necessità di investire nella cyber-resilienza per contrastare future operazioni di questa scala.

Inva Malaj
Studente con una solida formazione in gestione delle minacce di sicurezza informatica, intelligenza artificiale, etica dell'AI e trasformazione digitale. Attualmente impegnata in uno stage curriculare di 800 ore in Security Threat Management presso TIM, che è parte integrante del corso di formazione "Digital Transformation Specialist" presso l'ITS Agnesi a Roma. Ho completato il corso di Dark Web - Threat Management e sono parte attiva del Team DarkLab di Red Hot Cyber.

Lista degli articoli