La Cina ha formato un esercito di hacker al servizio del governo
L’attuale leader cinese Xi Jinping ha promosso la formazione di migliaia di esperti
Quando acquisti tramite i link sul nostro sito, potremmo guadagnare una commissione di affiliazione.Ecco come funziona
Fin dai primi anni 2000 gli “hacker cinesi” sono il terrore di governi e grandi gruppi industriali. Nell’ultimo ventennio, i pirati informatici della RPC hanno sottratto database governativi, proprietà intellettuali e progetti militari a enti pubblici e aziende multinazionali del calibro di Marriott eEquifax.
Con l’evolversi della digitalizzazione, le nazioni sono sempre più connesse tra loro e dipendenti dai sistemi informatici, motivo per cui, come stiamo vedendo nella guerra tra Russia e Ucraina, avere un buon team di hacker al proprio servizio può rivelarsi un’arma potentissima.
Lo sa bene il presidente cinese Xi Jinping, che dopo il suo insediamento nel 2013 ha posto grande attenzione al tema della cybersecurity, rendendola di fatto un affare di stato. Per chiarire da subito le sue intenzioni, il presidente cinese hainvestito capitali enormisulla ricerca e sulla formazione di nuovi “talenti” da arruolare tra le sue fila e utilizzare in caso di necessità.
Durante il mandato di Xi Jinping, lo Stato cinese ha sistematizzato la formazione di esperti in cybersecurity, alimentato l’accesso degli studenti alle attività pratiche, promosso gare di hacking e, in questo contesto, ha raccolto vulnerabilità da utilizzare negli attacchi informatici rivolti ai competitor esteri.
Oggi, dopo anni di finanziamenti e formazione, le squadre di hacker cinesi rappresentano una seriaminaccia alla sicurezza informatica mondiale,racconta Cyberscoop. Le schiere di esperti di cyber sicurezza al servizio del governo costituiscono a tutti gli effetti un esercito informatico composto da centinaia di migliaia di esperti formati nelle università cinesi.
Dalla scoperta dei primi “talenti” al reclutamento universitario
Il reclutamento è iniziato negli anni 2000, quando gli hacker erano pochi e difficili da trovare. In quegli anni, un politico cinese paragonò la ricerca di “nuovi talenti” a “trovare dei fiori in un campo di grano”.
Tra questi “fiori” possiamo citareTan Dailin del gruppo APT41. Cominciò la sua attività di “hacker patriottico” negli anni 2000, quando operava dalla sua stanza nel dormitorio di Sichuan. Prima di diventare un hacker al servizio della Repubblica Popolare Cinese, Tan fondò ilNetwork Crack Program Hacker, ponendo così una base allo sviluppo dell’hacking in terra cinese.
Tuttavia, la Cina voleva di più. A pochi mesi dalla nomina, il presidente Xi affermò che “la competizione nel cyberspazio è, in ultima analisi, una competizione per il talento”. Nel2014, il governo cinese fondò il Cybersecurity and Informatization Leading Small Group; in seguito, il Ministero dell’Istruzione ricevette l’ordine di standardizzare i contenuti per i diplomi universitari in materia di cybersicurezza.
Il programma prese ispirazione dal National Initiative for Cybersecurity Education degli Stati Uniti e fu redatto da un comitato di accademici provenienti dalle principali università cinesi. Al suo interno veniva indicato un elenco di competenze fondamentali necessarie per conseguire una laurea in cybersicurezza nelle università cinesi.
Nel2015, il Ministero dell’Istruzione diffuse gli standard a livello nazionale. Subito dopo, nel 2016, Xi promosse il suoLeading Small Group(originariamente concepito come una sorta di comitato temporaneo) a Comitato per la sicurezza informatica e l’Informatizzazione del Comitato Centrale del PCC (CIC). All’epoca era solo uno dei 25 comitati facenti parte del nucleo centrale del Partito e Xi ne assunse la guida.
Sempre nel 2016, Xi lanciò un’agenzia governativa chiamataCyberspace Administration of China(CAC), allo scopo di istituzionalizzare il lavoro della CIC agli occhi di governi e imprese. Questa mossa consentì di far passare le decisioni prese dal Comitato centrale del PCC come azioni intraprese da un’agenzia di regolamentazione governativa.
Tra i primi atti del CAC ci fu la pubblicazione di unaStrategia Nazionale di Sicurezza Informaticaper la Cina. Questa portò al passaggio dalla ricerca alla coltivazione dei talenti tramite9 punti strategiciche andavano dall’aumento della consapevolezza della cybersicurezza ai metodi formativi.
Il documento non fu redatto in forma restrittiva per consentire ai governi provinciali di contribuire all’innovazione delle strategie.
I primi modelli formativi per le università
In seguito alla pubblicazione della Strategia Nazionale per la Sicurezza Informatica furono proprio due modelli regionali a prendere il sopravvento. Ilprimoè quello dellaNational Cybersecurity Talent and Innovation Basecinese, situata nella tristemente nota città diWuhan, in prossimità di due linee ferroviarie che la rendono facilmente accessibile.
In quest’area sorge un campus di circa 40 km quadrati, di cui un quarto interamente dedicato alla Scuola Nazionale di Cybersecurity, al Laboratorio di Difesa Offensiva, all’Istituto di Ricerca Combinata sulla Cybersecurity e alle strutture di supporto per il calcolo, l’archiviazione dei dati e il poligono informatico.
Ilsecondoè ilBig Data Cyber RangediGuiyang, nato come progetto provinciale nel 2015 e divenuto il teatro prediletto per le gare di cybersicurezza a livello nazionale. Proprio come accaduto per il centro di Wuhan, i politici di Pechino hanno nazionalizzato la struttura con il nome diGuiyang National Big Data Cyber Rangenel 2017.
Nel 2017, la Cina divulgò delle riforme per le sue lauree in cyber sicurezza ispirate all’Iniziativa nazionale statunitense e iniziò a designare gli istituti meritevoli con il titolo di World-Class Cybersecurity Schools (WCCS).
La designazione WCCS non fu collegata ad alcun finanziamento o risorsa aggiuntiva, ma ebbe lo scopo di dare prestigio ai singoli istituti. Il titolo prese ispirazione dalla certificazione Center for Academic Excellence-Cyber Operations assegnata dalle agenzie statunitensi, tra cui la National Security Agency e il Department of Homeland Security. La prima tranche di premiati della Cina nel 2017 comprendeva sette università.
In quel periodo, la RPC organizzava delle competizioni nazionali annuali di Hacking per reclutare nuovi studenti. Nel 2016, i migliori hacker cinesi viaggiavano il mondo per partecipare a competizioni simili e spesso portavano a casa il primo posto. Oggi è la Cina ad ospitare centinaia di gare di cybersicurezza alle quali partecipano migliaia di team.
Aumentare il numero di competizioni nazionali permise alla Cina di ottenere unflusso costante di nuove vulnerabilitàda utilizzare nelle operazioni di hacking. Non a caso i maggiori esponenti del settore, come il fondatore dell’azienda di sicurezzaQihoo360, dichiararono che le vulnerabilità del software rappresentavano una “risorsa nazionale”, al pari di legname e carbone.
Nel 2017, il Ministero della Pubblica Sicurezza cinese impose un limite a questo tipo di attività qualora fossero svolte all’estero: da quel momento in poi, i ricercatori di vulnerabilità software cinesi potevano recarsi all’estero per partecipare alle competizioni solo con l’esplicita approvazione del ministero.
Il PCC voleva che i migliori hacker del Paese mostrassero le loro abilità in patria e ispirassero altri a fare lo stesso. Per attirare gli studenti universitari, nel 2016 il Ministero dell’Istruzione intraprese una collaborazione con il China Information Technology Security Evaluation Center (il 13° Ufficio del Ministero della Sicurezza di Stato, responsabile di alcune operazioni di hacking dell’MSS) per creare una competizione nazionale chiamataInformation Security Ironman. La gara che si svolge con cadenza annuale si estende a tutte le province della Cina, coinvolgendo centinaia di università selezionate in base al merito.
Per creare delle realtà simili a quelle delle competizioni estere alle quali gli informatici cinesi non potevano più partecipare (come Pwn2Own), la comunità cinese di infosec lanciò laTianfu Cupnel2018. In seguito nacquero altre competizioni mirate allo sfruttamento automatizzato delle vulnerabilità simili allaCyber Grand ChallengedellaDARPA.
Per aiutare i team di hacker cinesi, il governo chiese ai ricercatori didivulgare le vulnerabilitàtrovateentro 48 oredalla scoperta.
Secondo il Digital Defense Report 2022 diMicrosoft, questa politica ha portato la RPC a raccogliere e distribuireun numero enorme di 0-days.
Le politiche per impedire che i ricercatori partecipino a competizioni estere, l’obbligo di rivelare le vulnerabilità al governoentro 48 ore e gli ingenti investimenti in tecnologie per trovare automaticamente le vulnerabilità fanno tutti parte di un piano ben studiato e molto lineare.
Lo stato delle cose
Il rapporto redatto da alcune delle università premiate con il titolo di World-Class Cybersecurity Schools in collaborazione con l’Accademia delle Scienze cinese, il Ministero dell’Istruzione e l’azienda di cybersecurity Beijing Integrity Technology, ci da un’idea abbastanza chiara del panorama attuale.
Secondo gli autori, al momento, la Cina ha un deficit di esperti in cybersicurezza che dovrebbe scendere a 370.000 entro il 2027. Anche se sembra un numero enorme, bisogna considerare che il report del 2017 indicava un deficit di circa 1,4 milioni. I dati indicano la formazione di 30.000 nuovi esperti di cybersicurezza all’anno.
Del resto, l’obiettivo principale della ricerca è di definire il cosiddetto “Metodo 4+3"per le competenze e lo sviluppo del confronto informatico, un approccio pensato per armonizzare i precedenti sette anni di politiche pubbliche in Cina.
Il “4” rappresentaquattro competenze chiaveper i professionisti della sicurezza informatica: confronto reale, scoperta delle vulnerabilità del software, “valutazione dell’impatto del combattimento” (probabilmente un eufemismo per la valutazione della sicurezza) e capacità di ingegneria e sviluppo.
Il “3” rappresentatre metodiper dimostrare le 4 capacità: competizioni di cybersecurity (confronto, esercitazioni difensive e scoperta delle vulnerabilità), “pratiche di confronto” (esercitazioni al poligono informatico e confronto effettivo con la rete) e “crowd testing e risposta agli incidenti” (test di sicurezza aperti, premi per le vulnerabilità del software, competizioni di sicurezza e condivisione della tecnologia).
Il Metodo 4+3 citato dal rapporto servirà alla formazione della nuova massa di hacker che Xi mirava ad arruolare da quando è salito al potere nel 2013. Ciò significa che le squadre di hacker cinesi, se considerate nel loro complesso, non saranno più dominate da singole personalità come Tan Dailin, bensìtotalmente asservite al governo cinese.
Nonostante l’impegno profuso dalla Cina in questa attività, le verità fondamentali sulle dinamiche di conflitto nel dominio cibernetico ne limitano il dominio assoluto. Un esempio? Lo sfruttamento di una vulnerabilità può avere un impatto maggiore su un Paese rispetto a un altro: basti pensare all’esposizione del governo statunitense alla compromissione di Solar Winds rispetto a quella della Cina per lo stesso sistema.
Inoltre, le dipendenze condivise, come l’uso diffuso di Windows, possono limitare alcune operazioni. Non a caso il governo cinese spinge da diversi anni per la creazione di un sistema operativo competitivo per il mercato cinese. Al momento non ci sono esempi utili allo scopo, ma se si pensa a quello che sta cercando di fare Huawei dopo l’esclusione dai serviziGoogleè facile immaginare che nei prossimi anni la Cina investirà parecchio in quest’ambito.
Se la Cina riuscisse a realizzare un ecosistema informatico più autonomo, il panorama internazionale potrebbe cambiare drasticamente. Con un sistema operativo autonomo e svincolato da eventuali contraccolpi, le operazioni potrebbero aumentare in velocità e persistenza offrendo alla Cina un campo di gioco molto più ampio e meno rischioso da attraversare.
Non è passato nemmeno un decennio da quando Xi è salito al potere ma il suo piano di incrementare le capacità informatiche cinesi sta dando i suoi frutti e presto potrebbe diventarel’arma più potente nelle mani della Repubblica Popolare Cinese.
Get the best Black Friday deals direct to your inbox, plus news, reviews, and more.
Sign up to be the first to know about unmissable Black Friday deals on top tech, plus get all your favorite TechRadar content.
Marco Silvestri è un Senior Editor di Techradar Italia dal 2020. Appassionato di fotografia e gaming, ha assemblato il suo primo PC all’età di 12 anni e, da allora, ha sempre seguito con passione l’evoluzione del settore tecnologico. Quando non è impegnato a scrivere guide all’acquisto e notizie per Techradar passa il suo tempo sulla tavola da skate, dietro la lente della sua fotocamera o a scarpinare tra le vette del Gran Sasso.
Google testa la ricerca vocale interattiva con risultati in tempo reale
Nokia conferma la violazione dei dati, ma i suoi sistemi sono al sicuro
OpenAI semplifica l’accesso a ChatGPT con un nuovo dominio
