Quali erano i principali bersagli di questa campagna di spionaggio?

La campagna ha preso di mira giornalisti, attivisti uiguri e tibetani e funzionari governativi di Taiwan. Questi gruppi hanno un filo conduttore comune: le autorità cinesi hanno forti motivazioni politiche a monitorarli.

Come hanno condotto gli attaccanti la loro operazione di phishing?

Gli attaccanti hanno utilizzato messaggi generati dall'intelligenza artificiale per produrre comunicazioni di phishing altamente convincenti su larga scala, inducendo i bersagli a cedere i propri nomi utente e password. Una volta ottenute le credenziali, gli attaccanti potevano accedere silenziosamente alle caselle di posta elettronica, raccogliere elenchi di contatti e leggere file sensibili.

Campagna di spionaggio sostenuta dalla Cina prende di mira giornalisti e attivisti

Hacker sponsorizzati dallo Stato cinese prendono di mira giornalisti e gruppi della società civile

I ricercatori di Citizen Lab e dell'International Consortium of Investigative Journalists (ICIJ) hanno smascherato un'operazione di spionaggio digitale su larga scala collegata alla Cina, che ha preso di mira sistematicamente giornalisti, attivisti uiguri e tibetani e funzionari governativi di Taiwan. La campagna ha utilizzato più di 100 domini malevoli e messaggi di phishing generati dall'intelligenza artificiale, progettati per sottrarre credenziali di accesso e ottenere accesso non autorizzato a account e-mail, file ed elenchi di contatti.

La portata e la sofisticazione di questa operazione la collocano tra le campagne di sorveglianza sponsorizzate da uno Stato più significative documentate negli ultimi anni. Solleva inoltre serie interrogativi sulla vulnerabilità dei gruppi della società civile, delle organizzazioni di media indipendenti e delle comunità di minoranze etniche che operano abitualmente sotto la pressione statale.

Come ha funzionato l'attacco

Gli attaccanti si sono affidati principalmente al phishing, un metodo che induce i bersagli a cedere i propri nomi utente e password impersonando servizi o contatti fidati. Ciò che rende questa campagna degna di nota è il presunto utilizzo di messaggi generati dall'intelligenza artificiale, che consentono agli attaccanti di produrre comunicazioni altamente convincenti e grammaticalmente corrette su larga scala, abbassando una delle barriere tradizionali al phishing efficace.

Una volta ottenute le credenziali, gli attaccanti potevano accedere silenziosamente alle caselle di posta elettronica, raccogliere elenchi di contatti e leggere file sensibili senza generare alert evidenti. Questo tipo di accesso è particolarmente dannoso per i giornalisti investigativi, le cui comunicazioni con le fonti e i documenti non pubblicati possono essere esposti, e per gli attivisti i cui network di contatti potrebbero essere identificati e messi a rischio.

L'utilizzo di oltre 100 domini malevoli suggerisce un'operazione dotata di risorse considerevoli. Distribuire l'infrastruttura su molti domini rende più difficile per i team di sicurezza bloccare la campagna prendendo di mira una singola fonte, e consente agli attaccanti di ruotare rapidamente se i singoli domini vengono segnalati.

Chi è stato preso di mira e perché è importante

I bersagli di questa campagna hanno un filo conduttore comune: sono tutti gruppi che le autorità cinesi hanno forti motivazioni politiche a monitorare. L'ICIJ è meglio conosciuto per aver pubblicato grandi inchieste finanziarie, tra cui i Panama Papers e i Pandora Papers. Le comunità uigure e tibetane sono da tempo soggette a sorveglianza digitale, con Citizen Lab che ha documentato molteplici campagne precedenti contro entrambi i gruppi. I funzionari governativi di Taiwan rappresentano un bersaglio geopoliticamente sensibile, date le continue tensioni nello Stretto.

Non si tratta di un episodio isolato. Citizen Lab, con sede all'Università di Toronto, ha documentato nel corso degli anni decine di campagne che prendevano di mira dissidenti, giornalisti e gruppi minoritari con legami con la Cina. Ciò che questo ultimo caso illustra è che i metodi si stanno evolvendo. L'incorporazione di strumenti di intelligenza artificiale nelle operazioni di phishing suggerisce che anche i bersagli digitalmente cauti potrebbero trovare sempre più difficile distinguere i messaggi malevoli da quelli legittimi.

Per le organizzazioni della società civile, le implicazioni vanno oltre i singoli account. Quando la casella di posta di un giornalista viene compromessa, le fonti possono essere identificate. Quando l'elenco di contatti di un attivista viene raccolto, un'intera rete diventa visibile a un attore statale ostile. Il danno raramente rimane circoscritto alla persona direttamente attaccata.

Cosa significa per te

Se lavori nel giornalismo, nell'attivismo o in qualsiasi campo in cui le comunicazioni sensibili sono routine, questa campagna è un chiaro promemoria che il furto di credenziali è uno degli strumenti più efficaci a disposizione degli attaccanti sponsorizzati da uno Stato. Non è necessario essere un bersaglio di alto profilo per essere coinvolti in una rete di sorveglianza capillare.

Diversi passaggi pratici possono ridurre significativamente la tua esposizione:

Utilizza chiavi di sicurezza hardware o l'autenticazione a due fattori basata su app. Gli attacchi di phishing che sottraggono le password sono molto meno efficaci quando è richiesto un secondo fattore per completare un accesso. Le chiavi hardware in particolare sono altamente resistenti al phishing.
Sii scettico riguardo a prompt di accesso imprevisti. I messaggi di phishing generati dall'intelligenza artificiale possono sembrare convincenti, ma la richiesta in sé — chiederti di verificare le credenziali o accedere tramite un link non familiare — è il segnale d'allarme.
Utilizza strumenti di comunicazione crittografati per le conversazioni sensibili. La posta elettronica è intrinsecamente difficile da proteggere. Le applicazioni di messaggistica con crittografia end-to-end offrono una protezione significativamente più robusta per le comunicazioni con le fonti e il coordinamento sensibile.
Controlla regolarmente l'accesso ai tuoi account. Verifica quali dispositivi e applicazioni hanno accesso alla tua posta elettronica e al tuo archivio cloud. Revoca qualsiasi accesso non familiare.
Considera l'utilizzo di una VPN quando accedi ad account sensibili su reti pubbliche o non affidabili. Una VPN non previene il phishing, ma protegge il tuo traffico dall'intercettazione a livello di rete, il che è importante quando il tuo modello di minaccia include attori a livello statale.

Le campagne di phishing sponsorizzate da uno Stato come questa sono progettate per essere invisibili. Le credenziali vengono sottratte, l'accesso viene mantenuto in modo silenzioso e i bersagli spesso non sanno di essere stati compromessi fino a quando non si è già verificato un danno significativo. Capire come funzionano queste operazioni è il primo passo verso la protezione di sé stessi e della propria rete.

Per i giornalisti, gli attivisti e chiunque il cui lavoro li metta nel mirino di un avversario motivato, la sicurezza digitale non è un ripensamento tecnico. È una parte fondamentale dell'operare in modo sicuro. Rivedere le proprie pratiche di autenticazione e le abitudini di comunicazione ora, prima che si verifichi un incidente, è la difesa più efficace disponibile.

Hacker sponsorizzati dallo Stato cinese prendono di mira giornalisti e gruppi della società civile

Come ha funzionato l'attacco

Chi è stato preso di mira e perché è importante

Cosa significa per te

// FAQ

// Correlati