All'epoca in cui elaborò le proprie teorie su “L’arte della guerra”, Sun Tzu non avrebbe potuto certamente immaginare la realtà dei nostri giorni. Oggi, ormai, accanto ai tradizionali domini in cui si sviluppa la civiltà umana, si è aggiunta la cosiddetta infosfera1. È una dimensione che comprende anche lo spazio cibernetico, che a sua volta è una realtà artificiale, ossia creata dall'uomo, ma non virtuale, in quanto le informazioni che contiene riguardano il mondo reale e quindi il loro utilizzo può avere conseguenze concrete. Lo sa bene chi ha raccolto l'eredità del famoso filosofo e guerriero cinese e l’ha adattata al mondo d'oggi, includendo anche la dimensione cyber nel “campo di battaglia” idealizzato da Sun Tzu. E chi lo ha fatto, ha creato un'unità d’elite particolarmente efficiente, non un reparto militare qualunque.
Può una singola cellula cyber essere in grado di penetrare nei sistemi informatici di mezzo mondo e carpire informazioni riservate militari, politiche, finanziarie e soprattutto segreti industriali e proprietà intellettuali? Può tale unità mettere in ginocchio governi e danneggiare aziende fino a causarne la bancarotta? Ebbene sì, secondo alcune società di sicurezza informatica di fama mondiale, taluni servizi di intelligence e il Dipartimento di Giustizia USA, questa unità esiste eccome e occuperebbe un'anonima palazzina di dodici piani ubicata nella periferia di Shanghai. Nello specifico, si tratterebbe dell’Unità 61398 dell’Esercito cinese (People Liberation Army - PLA), nota anche come APT (Advanced Persistent Threat) 1 e, a buon titolo, può essere considerata una vera e propria “armata” di “guerrieri” cyber.
L’avvio delle attività di APT1, come successo per molti altri gruppi di hacker, risalirebbe ai primi anni 2000, ovvero agli anni in cui Internet ha iniziato a espandersi in tutto il globo ad un ritmo esponenziale. Tuttavia, è solo nel 2013 che sono state rese pubbliche le evidenze sulle attività della cellula cyber cinese, raccolte e analizzate negli anni dagli esperti del settore. In particolare, la società di sicurezza informatica Mandiant in febbraio pubblicò un articolato e accurato report, nel quale le attività illecite del gruppo battezzato APT1 venivano collegate all’intelligence cinese e, con precisione, alla citata unità del PLA. Sebbene a livello globale Mandiant abbia individuato altri gruppi di hacker cinesi, la società nel documento indicava APT1 quale cellula più “prolifica” in assoluto, capace di condurre campagne di cyber spionaggio imponenti e di accedere a quantità di informazioni non riscontrabili altrove. Nella sua analisi Mandian indicò di aver individuato con sicurezza tre operatori dell'unità 61398, che indubbiamente agivano sulla base di precisi ordini impartiti dai superiori. In realtà, in considerazione dell’estensione delle campagne di cyber spionaggio attribuite a APT1, il report concludeva con ragionevole certezza che si trattava di un gruppo costituito da decine o, più probabilmente, da centinaia di persone tra specialisti e ufficiali. Secondo il rapporto si tratterebbe quindi di una cellula che opera per conto di un governo che, da parte sua, ne supporta le campagne cyber sotto ogni aspetto (finanziario, logistico, selezione e formazione del personale, ecc.). In particolare, i dati riportati circa le attività di APT1 dal 2006 al 2013 impressionano per numero di:
- obiettivi colpiti (tra cui più 140 aziende), quasi tutti localizzati in paesi occidentali di lingua anglosassone (l’87%);
- infrastrutture di comando e controllo utilizzate per le operazioni cyber (almeno un migliaio di server);
- varianti di malware (circa 40 famiglie) sviluppate e impiegate per penetrare le difese degli obiettivi.
Tuttavia sono altri due aspetti a lasciare sbigottiti più degli altri, ossia:
- l’enorme mole di dati che il gruppo è in grado di trafugare in ogni operazione (ad esempio 6.5 terabytes di dati compressi, prelevati in 10 mesi di attività ai danni di una singola azienda);
- la capacità di condurre operazioni estremamente persistenti nel tempo. In particolare, l'unità sarebbe in grado di penetrare nelle reti e nei sistemi degli obiettivi e di compiere operazioni ininterrotte per un tempo medio di circa un anno. Il caso più eclatante è rappresentato da un'operazione che, nel complesso, si è sviluppata per ben 4 anni e 10 mesi prima di essere scoperta.
Nel 2014, anche sulla base del citato rapporto di Mandiant, le autorità USA hanno identificato e accusato cinque cittadini cinesi, ritenuti essere legati all’unità 61398, rei di aver commesso svariati gravi crimini informatici ai danni di società ed enti governativi nordamericani. Infatti, i cinque operatori di APT1 avrebbero commesso alcuni errori nell’ambito delle operazioni cyber, permettendo così agli inquirenti di risalire alle loro identità. Anche i migliori sbagliano. Tuttavia, Mr. Wen e gli altri colleghi restano tuttora ricercati dal Federal Bureau of Investigation.
Riportare una lista delle operazioni cyber di APT1 che sia anche solo lontanamente esaustiva, è estremamente complicato. Tuttavia, al fine di capire meglio fino a dove è in grado di spingersi la cellula cyber cinese e con quali effetti, giova esaminare le emblematiche storie di tre grandi aziende americane che, loro malgrado, sono state vittime dell'unità cyber in questione. Si tratta di Westinghouse, leader mondiale nello sviluppo e nella realizzazione di centrali nucleari, Solarworld, gigante della produzione di pannelli solari e ATI metals, grande azienda operante nel settore metallurgico. O meglio, erano tali fino a pochi anni fa. Infatti, tutte queste aziende sono state oggetto di operazioni di APT1 tra il 2011 e il 2014 con effetti disastrosi. Le prime due, a seguito della dichiarazione di bancarotta, nel giro di pochi anni sono sparite dal mercato, mentre la terza ha visto praticamente dimezzato il proprio valore. Come può essere successo tutto questo in così poco tempo? Un'indagine ha evidenziato che tutte le citate aziende sono state coinvolte nel prodigioso programma di sviluppo energetico cinese, volto ad abbattere drasticamente la dipendenza dai combustibili fossili. Westinghouse, ad esempio, avrebbe dovuto costruire ben 40 centrali nucleari in Cina, tuttavia il contratto fu rescisso improvvisamente dopo l'ultimazione della quarta centrale. Il motivo è tanto semplice quanto incredibile: l'industria locale cinese divenne in pochi mesi in grado di costruire le centrali in proprio e ciò accadde, secondo l'indagine, anche perché i segreti industriali dell’azienda americana furono trafugati alla società statunitense dall'unità 61398. La stessa sorte ha colpito Solarworld, il cui primato nel campo dei pannelli solari è stato strappato da un'azienda concorrente cinese che, in brevissimo tempo, ha acquisito fette di mercato sempre più ampie, fino a costringere a far dichiarare la bancarotta all’ex leader mondiale. Anche in questo caso, si è poi scoperto che nel periodo 2011-2014 l'azienda statunitense è stata oggetto di cyber spionaggio da parte di APT1. ATI metals, invece, pur riuscendo a salvarsi dal fallimento, ha dovuto cedere ad aziende concorrenti cinesi ingenti quote di mercato siderurgico mondiale, detenute in precedenza.
Una riflessione finale
Un articolo di qualche tempo fa del Wall Street Journal divideva le nazioni in tre categorie, sulla base del grado di sviluppo delle capacità cyber raggiunto, ossia nazioni che:
- le hanno consolidate da tempo e che le impiegano correntemente a supporto delle proprie strategie nazionali;
- le stanno ancora sviluppando in qualche forma (offensive, difensive o entrambe);
- non hanno ancora cominciato a svilupparle.
Come si può facilmente intuire, la Cina appartiene alla prima categoria da almeno una decina di anni e l’esistenza di unità quali APT1 ne sono una chiara dimostrazione. È semplice anche immaginare la triste sorte che molto probabilmente spetta a chi, invece, ricade nell’ultima categoria o a chi non si sta impegnando abbastanza al fine di implementare capacità cyber concrete. In entrambi casi, infatti, si rischia di soccombere nei confronti di chi ha avuto l’intelligenza e la lungimiranza di cogliere, nell’espansione dello spazio cibernetico, un’opportunità unica per supportare le proprie strategie più o meno aggressive.
Vicende come quelle di Westinghouse, Solarworld e ATI metals, sebbene siano emblematiche, non rappresentano certo casi isolati. In tale contesto, Paesi come il nostro, le cui economie, schiacciate dalla globalizzazione, si basano oramai quasi esclusivamente su produzioni “di nicchia”, dovrebbero tenere ben presenti gli insegnamenti del generale e filosofo cinese. Quindi dovrebbero “correre” più che mai al fine di realizzare capacità cyber proprie. D'altronde, tra le tante massime attribuite al citato Sun Tzu, ve n'è una che recita “Coloro che non sono del tutto consapevoli dei danni derivanti dall'applicazione delle strategie, non possono essere neppure consapevoli dei vantaggi derivanti dalla loro applicazione”!
1Termine coniato pochi anni fa nell'ambito della filosofia dell'informazione, per indicare la globalità dello spazio delle informazioni. Essa comprende, tra l'altro, Internet e i mezzi di telecomunicazione, nonché i media “classici” (libri, giornali, riviste, ecc.).
(foto: web / FBI)
Principali fonti:
https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-a...
https://www.telegraph.co.uk/news/worldnews/asia/china/10842093/China-hac...
https://amp.thehackernews.com/thn/2015/03/china-cyber-army.html?m=1
https://www.fbi.gov/wanted/cyber/wang-dong
https://www.countercept.com/our-thinking/apt1-what-happened-next
https://www.justice.gov/usao-wdpa/pr/us-charges-five-chinese-military-ha...
https://amp.thehackernews.com/thn/2015/03/china-cyber-army.html?m=1
