Un’organizzazione di hacker cinesi sta prendendo di mira router prodotti da un grande azienda americana, sfruttando software e hardware datati per infiltrarsi e accedere alle reti informatiche.
Mandiant, controllata da Google e nota per aver smascherato hacker cinesi, ha dichiarato che l’organizzazione Unc3886, appoggiato dal regime cinese, ha colpito i router di Juniper Networks. L’azienda tech della Silicon Valley è un rivale diretto di Cisco, leader nel mercato Usa dei router. Molti prodotti Juniper sono fatti in Cina, ma i modelli di punta vengono assemblati in Nord America.
A metà 2024, Mandiant ha scoperto che gli hacker hanno usato un programma per entrare nei computer delle vittime, disattivando i sistemi di accesso. Una volta dentro, il software poteva agire in due modi: come backdoor, interferendo quindi in maniera diretta, oppure in maniera passiva, ascoltando e raccogliendo dati. Secondo Mandiant, queste backdoor si basavano su Tinyshell, un semplice programma open-source.
La falla che ha permesso gli attacchi? Router con hardware e software vecchi o fuori produzione, ha spiegato Mandiant.
UNA NUOVA TATTICA
Mandiant ha già segnalato nel 2022 e 2023 la violazione di server come VMware ESXi, Linux vCenter e le macchine virtuali Windows da parte di Unc3886. Le dichiarazioni di Mandiant parlano di «un’evoluzione delle tecniche» dell’organizzazione, con un occhio ai dispositivi che spesso mancano di sistemi di monitoraggio e sicurezza.
Compromettere i router è una nuova strategia di spionaggio, «perché offre un accesso prolungato alle infrastrutture di rete cruciali, con il rischio di ripercussioni distruttive».
Mandiant ha descritto l’organizzazione come molto abile a ottenere credenziali e usarle per agire senza farsi notare. Storicamente, l’organizzazione ha preso di mira dispositivi di rete e tecnologie di virtualizzazione con exploit “zero-day”, attacchi che sfruttano vulnerabilità sconosciute prima che i produttori possano chiuderle.
«Unc3886 mostra una conoscenza profonda delle tecnologie che attacca». L’analisi evidenzia il suo interesse per aziende militari, tecnologiche e di comunicazione in Usa e Asia.
IL SUPPORTO DEL’IA
L’analisi di Mandiant arriva dopo il “2025 CrowdStrike Global Threat Report” del 27 febbraio scorso, che segnala un aumento del 150% delle intrusioni in reti americane, guidate dall’intelligenza artificiale. Io studio di CrowdStrike punta sull’uso crescente dell’Ia negli attacchi informatici. Gli attacchi di “vishing” (phishing vocale), dove l’Ia assiste nelle telefonate, sono schizzati del 442% nel 2024. I settori finanziario, dei media e industriale americani hanno visto un aumento del 300% nelle intrusioni supportate dall’Ia.
Il crimine informatico è ormai un business: gli “access broker”, che vendono accessi alle reti, hanno incrementato i loro annunci pubblicitari del 50% nel 2024.
LA CACCIA AGLI HACKER CINESI
L’Fbi sta ricercando 12 freelance tech cinesi accusati di aver violato email, cellulari, server e siti web per conto di Pechino tra il 2016 e il 2023. Il 5 marzo scorso, il ministero della Giustizia ha dichiarato di aver fermato le attività di 12 cinesi, inclusi due membri del ministero della Pubblica Sicurezza cinese, assunti come freelance dall’azienda statale i-Soon.
I sospettati, tuttora latitanti, sarebbero stati pagati tra 10 mila e 75 mila dollari per ogni casella email violata, con l’azienda che chiedeva extra per analizzare i dati rubati. Tra le vittime: «una grande organizzazione religiosa negli Usa, critici e dissidenti della Repubblica Popolare Cinese, un’assemblea legislativa statale, agenzie governative, ministeri degli Esteri di vari governi asiatici e organi di stampa».
Anche Epoch Times Usa ha scoperto di essere tra le vittime della campagna di hacking. Il ministero degli Esteri ha poi offerto fino a 10 milioni di dollari per informazioni su entità che agiscono contro gli Usa per conto di governi stranieri.