Gli hacker cinesi violano la Guardia Nazionale degli Stati Uniti in un grande attacco informatico

Un memo riservato del Dipartimento della Sicurezza Nazionale (DHS) rivela che la rete informatica della Guardia Nazionale dell’Esercito di uno stato degli Stati Uniti è stata infiltrata da un gruppo di hacker legato allo stato cinese, noto come “Salt Typhoon”.

Il memo, riportato per la prima volta da NBC, è stato ottenuto tramite una richiesta di Freedom of Information Act (FOIA) presentata dall’organizzazione no-profit per la trasparenza nella sicurezza nazionale, Property of the People.

Esso afferma inoltre che gli hacker “hanno compromesso ampiamente la rete della Guardia Nazionale dell’Esercito di uno stato degli Stati Uniti” per nove mesi, da marzo a dicembre 2024, rimanendo non rilevati. Questa violazione segna una delle più grandi campagne di cyber-spionaggio contro le infrastrutture militari americane negli ultimi tempi.

Cosa è Salt Typhoon

Salt Typhoon è un attore di minaccia persistente avanzata (ATP) ritenuto operato dal Ministero della Sicurezza dello Stato cinese (MSS). È noto per condurre campagne di cyber spionaggio di alto profilo, in particolare contro gli Stati Uniti. Il gruppo di hacker si concentra sulla raccolta di informazioni e sull’ottenimento di accesso persistente a reti in vari settori, come difesa, energia e comunicazioni.

Cosa è stato esposto nella violazione

Tra marzo e dicembre 2024, il gruppo di hacker ha esfiltrato mappe interne e diagrammi del traffico di rete, descrivendo i flussi di comunicazione tra le unità della Guardia Nazionale in tutti i 50 stati e quattro territori degli Stati Uniti.

Ha anche rubato credenziali di amministratore e 1.462 file di configurazione di rete con accesso a 70 entità governative statunitensi e infrastrutture critiche che coprono 12 settori, tra cui energia, comunicazioni, trasporti, acqua e settori delle acque reflue, che potrebbero essere utilizzati per violare le reti della Guardia Nazionale e del governo in altri stati.

Inoltre, sono state compromesse anche informazioni personali identificabili (PII) dei membri del servizio e le posizioni del personale di cybersicurezza statale in più stati.

“Tra marzo e dicembre 2024, Salt Typhoon ha compromesso ampiamente la rete della Guardia Nazionale dell’Esercito di uno stato degli Stati Uniti e, tra le altre cose, ha raccolto la sua configurazione di rete e il suo traffico dati con le reti dei suoi omologhi in ogni altro stato degli Stati Uniti e in almeno quattro territori degli Stati Uniti, secondo un rapporto del DOD,” recita il memo.

“Questi dati includevano anche le credenziali di amministratore di queste reti e diagrammi di rete—che potrebbero essere utilizzati per facilitare ulteriori attacchi di Salt Typhoon a queste unità.”

Secondo il memo, Salt Typhoon ha una storia di utilizzo di topologie di rete rubate e dati di configurazione per violare agenzie governative statunitensi e sistemi di infrastrutture critiche.

“Salt Typhoon ha precedentemente utilizzato file di configurazione di rete esfiltrati per abilitare intrusioni informatiche altrove. Tra gennaio e marzo 2024, Salt Typhoon ha esfiltrato file di configurazione associati ad altre entità governative statunitensi e infrastrutture critiche, inclusi almeno due agenzie governative statali degli Stati Uniti. Almeno uno di questi file ha successivamente informato la loro compromissione di un dispositivo vulnerabile sulla rete di un’altra agenzia governativa degli Stati Uniti,” ha aggiunto il memo.

Perché è importante

Salt Typhoon non è nuovo: ha precedentemente violato importanti aziende di telecomunicazioni statunitensi, tra cui AT&T, Verizon e T-Mobile, principalmente attraverso una vulnerabilità di Cisco, così come sistemi satellitari come Viasat e altri fornitori di servizi sia negli Stati Uniti che a livello internazionale.

Reazione e risposta del governo

Il Bureau della Guardia Nazionale ha confermato la violazione ma insiste sul fatto che le missioni non sono state interrotte. È in corso un’indagine per valutare l’entità completa dell’intrusione.

“Anche se non possiamo fornire dettagli specifici sull’attacco o sulla nostra risposta, possiamo dire che questo attacco non ha impedito alla Guardia Nazionale di portare a termine le missioni statali o federali assegnate, e che il NGB continua a indagare sull’intrusione per determinarne l’intero ambito,” ha dichiarato un portavoce del Bureau della Guardia Nazionale.

Inoltre, la CISA, il DHS e il Pentagono stanno coordinando gli sforzi per contenere la violazione e stanno considerando misure di sicurezza potenziate, tra cui firewall più robusti, crittografia migliorata, controlli di accesso più rigorosi e una più ampia implementazione dell’architettura Zero Trust.

Nel frattempo, un portavoce dell’ambasciata cinese a Washington non ha negato la campagna di hacking, ma ha sostenuto che gli Stati Uniti non hanno prodotto prove concrete che collegano la Cina agli attacchi informatici di Salt Typhoon.

“Gli attacchi informatici sono una minaccia comune affrontata da tutti i paesi, Cina inclusa,” ha affermato il portavoce, aggiungendo che gli Stati Uniti “non sono stati in grado di produrre prove conclusive e affidabili che il ‘Salt Typhoon’ sia collegato al governo cinese.