Gli hacker cinesi hanno compromesso le reti di telecomunicazioni statunitensi e di altri Paesi da mesi, e le autorità americane faticano a risolvere la situazione. FBI e CISA hanno pubblicato linee guida per contrastare tali minacce.

L'articolo completo su Agenda Digitale

Le intrusioni informatiche nelle reti statunitensi da parte di hacker cinesi hanno dato il via a indagini approfondite, ma nonostante il tempo trascorso, il problema persiste. Secondo fonti di intelligence USA, anche le reti di altri Paesi – non specificati – sono state colpite.

L’attacco di Salt Typhoon alle reti
Per la prima volta, funzionari statunitensi hanno confermato che gli hacker cinesi noti come Salt Typhoon, sostenuti dal governo di Pechino, hanno ottenuto accesso persistente a infrastrutture critiche USA. La campagna di spionaggio, iniziata mesi fa, aveva l’obiettivo di infiltrarsi nelle reti di alcuni fornitori internet americani (ISP) per raccogliere dati sensibili o preparare attacchi dannosi.
Tra le aree più colpite, vi è stata la zona metropolitana di Washington, con violazioni che hanno riguardato messaggi di testo e telefonate. Tuttavia, i funzionari non hanno rivelato i nomi dei fornitori coinvolti. A ottobre, Reuters aveva ipotizzato che Verizon, il principale fornitore di banda larga negli Stati Uniti, fosse stato compromesso, insieme ad AT&T e Lumen. Gli hacker avrebbero cercato di intercettare comunicazioni legate alle campagne elettorali di Kamala Harris e Donald Trump durante le presidenziali.

T-Mobile e la resistenza agli hacker
T-Mobile ha dichiarato di essere stata bersaglio di un tentativo di intrusione nei propri sistemi, ma di aver impedito la violazione. Jeff Simon, responsabile della sicurezza dell’azienda, ha riferito che il team ha rilevato utenti non autorizzati che tentavano di accedere ai dispositivi di rete. Gli attacchi sembravano sfruttare la rete di un altro provider per introdursi in quella di T-Mobile, senza però accedere ai dati sensibili dei clienti. Nonostante ciò, T-Mobile non ha confermato se l’attacco fosse legato a Salt Typhoon o ad altri gruppi hacker.

Rafforzare le reti di comunicazione
La CISA e l’FBI hanno recentemente pubblicato una guida per migliorare la sicurezza delle reti di comunicazione contro le minacce sponsorizzate dalla Cina. Questa guida, sviluppata anche con il contributo di Cisco e Google Cloud Security, offre raccomandazioni fondamentali come mantenere registri delle attività di rete, tenere un inventario aggiornato dei dispositivi e modificare le password predefinite delle apparecchiature.

Uscita nella sua versione definitiva il 4 dicembre scorso, questa guida, dal titolo “Enhanced Visibility and Hardening Guidance for Communications Infrastructure”, ossia Linee guida per una maggiore visibilità e un rafforzamento delle infrastrutture di comunicazione, include misure di base come il mantenimento dei registri delle attività sulla rete, la tenuta di un inventario di tutti i dispositivi nell’ambiente delle telecomunicazioni e la modifica delle password predefinite delle apparecchiature.

Nell’introduzione, si sottolinea che attori della Repubblica Popolare Cinese hanno compromesso le reti di importanti fornitori globali, avviando una campagna di spionaggio informatico. La guida mira a fornire indicazioni pratiche per aiutare le organizzazioni a proteggere meglio le proprie infrastrutture.

Implementazione delle migliori pratiche di sicurezza
La guida si sviluppa in diverse sezioni: “Rafforzare la visibilità”, “Rafforzamento dei sistemi e dei dispositivi”, “Guida specifica di Cisco”, “Segnalazione degli incidenti”, “Security by Design”.

Partendo dal rafforzamento della visibilità, viene subito specificato che per “visibilità” si intende la “capacità delle organizzazioni di monitorare, rilevare e comprendere le attività all’interno delle loro reti. Alta visibilità significa avere una visione dettagliata del traffico di rete, dell’attività degli utenti e del flusso di dati, consentendo ai difensori della rete di identificare rapidamente minacce, comportamenti anomali e vulnerabilità. La visibilità è fondamentale per i tecnici e i difensori di rete, in particolare per l’identificazione e la risposta agli incidenti”. In merito al rafforzamento di sistemi e dispositivi, per limitare i potenziali punti di ingresso per le minacce informatiche affiliate alla RPC e di altro tipo è importante ridurre le vulnerabilità, migliorare le abitudini di configurazione sicura e rispettare le best practice. Seguono indicazioni su protocolli e processi di gestione e si arriva alla guida specifica di Cisco, che include una serie di migliori pratiche da applicare a tutti i sistemi operativi Cisco, tra le maggiori vittime di minacce informatiche della RPC.

Infine, la guida include istruzioni su come segnalare incidenti a livello internazionale e promuove l’adozione dei principi di Security by Design nello sviluppo software.

Fonte:  Agenda Digitale