Nella giornata di ieri, lunedì 30 dicembre, il Dipartimento del Tesoro degli Stati Uniti d’America (USDT) ha fatto sapere di aver subito un attacco informatico compiuto da un’agenzia di intelligence cinese. La Cina ha prontamente respinto le accuse relative all’attacco, risalente all’inizio di dicembre, che sarebbe l’ultimo di una serie di operazioni simili che negli ultimi tempi hanno messo in difficoltà l’intelligence americana, provocando conseguenze anche significative e vigenti.

L’attacco informatico al Dipartimento del Tesoro statunitense, et similia

Secondo quanto comunicato, gli hacker hanno ottenuto accesso ad alcuni “documenti non classificati”, ovvero non coperti da segreto, introducendosi nei computer di alcuni impiegati del Dipartimento del Tesoro, che ha definito l’attacco “una minaccia di alto livello alla sicurezza informatica degli Stati Uniti d’America”.

L’attacco, di cui il Dipartimento ha avuto notizia l’8 dicembre, è stato messo in atto sfruttando una falla nei sistemi di sicurezza di un fornitore di servizi software di terze parti, BeyondTrust, a cui è stata rubata la chiave per accedere a un servizio basato su cloud usato per fornire assistenza tecnica da remoto agli impiegati del Dipartimento del Tesoro. Accedendo con tale chiave, gli hacker sono stati in grado di bypassare le barriere del servizio e accedere in alcuni computer dei dipendenti.

CVE-2024-12356 è la vulnerabilità più grave rilevata, un cosiddetto command injection che permette al malintenzionato di eseguire comandi arbitrari sul sistema, una delle vulnerabilità più critiche nella sicurezza informatica perché può compromettere i sistemi affetti e metterne a rischio i dati relativi. Il Dipartimento del Tesoro ha scritto che il problema di sicurezza è stato tuttavia risolto, ma non ha fatto sapere quanti computer sono stati coinvolti né a quali documenti e informazioni gli hacker hanno avuto accesso, pur preannunciando il prossimo rilascio di maggiori dettagli al riguardo.

L’intelligence statunitense, intanto, ha accusato la Cina, reputandola responsabile dell’attacco informatico, la quale ha subito respinto le imputazioni, rimproverando viceversa gli Stati Uniti di fare accuse infamanti senza prove a sostegno. “La Cina si è sempre opposta a tutte le forme di attacchi informatici, e siamo ancora più contrari alla diffusione di false informazioni contro la Cina per scopi politici. Abbiamo dichiarato più volte la nostra posizione riguardo a queste accuse infondate e prive di prove” ha detto il portavoce del Ministero degli Esteri cinese Mao Ning.

Il Dipartimento del Tesoro è il ramo del Governo degli Stati Uniti d’America che si occupa delle politiche finanziarie del Paese gestendone molti dati sensibili e importanti, motivo per il quale non è raro venga attaccato dai criminali informatici, anche cinesi. Di recente sono infatti aumentati gli attacchi informatici provenienti dalla Cina, che oltre ad aver violato le email della segretaria al Commercio statunitense Gina Raimondo, ha effettuato degli attacchi informatici alla rete telefonica statunitense, riuscendo ad accedere a una grande quantità di dati rilevanti.

Salt Typhoon è il nome del gruppo di hacker coinvolto in quest’ultimo caso, gruppo legato all’intelligence cinese che è stata accusata di aver violato i sistemi di sicurezza di vari operatori telefonici come AT&T e Verizon, riuscendo ad avere accesso per diversi mesi alle conversazioni di oltre 150 politici e funzionari dell’intelligence statunitense, compresi il presidente eletto Donald Trump e il suo vice J. D. Vance.

A differenza dell’attacco contro il Dipartimento del Tesoro, questo di Salt Typhoon potrebbe non essere stato ancora arginato, tanto che la CISA, l’Agenzia per la sicurezza informatica e delle infrastrutture degli Stati Uniti che ha collaborato anche alle indagini per l’attacco al Dipartimento del Tesoro, ha condiviso negli scorsi giorni un documento esortativo in cui si legge che “le persone che ricoprono posizioni governative o politiche di alto livello dovrebbero rivedere e applicare immediatamente una serie di best practice sull’uso dei dispositivi mobili […] e di usare solo servizi di messaggistica con crittografia end-to-end come Signal e app simili”.

In altre parole, significa chiedere di evitare di effettuare le normali telefonate o di inviare SMS, perché potenzialmente monitorabili dagli hacker cinesi che sono riusciti a entrare nell’infrastruttura delle compagnie telefoniche coinvolte nell’attacco, nove secondo le ultime informazioni emerse.