Gli hacker cinesi Volt Typhoon hanno "preposizionato" attacchi informatici contro le infrastrutture critiche degli Stati Uniti per cinque anni
Il panorama della sicurezza informatica è stato scosso dalle rivelazioni riguardanti le attività clandestine di Volt Typhoon, un gruppo di hacking sponsorizzato dallo stato cinese. Secondo un recente avviso della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, Volt Typhoon si è infiltrato in numerose organizzazioni di infrastrutture critiche negli Stati Uniti e nei suoi territori, inclusa Guam.
A differenza delle tradizionali tattiche di spionaggio informatico, le operazioni di Volt Typhoon sembrano concentrarsi sul preposizionamento all’interno delle reti IT, aprendo potenzialmente la strada ad azioni dirompenti mirate alle risorse tecnologiche operative (OT).
L'avviso della CISA sottolinea la gravità della situazione, esortando i difensori a cercare ed eliminare in modo proattivo gli artefatti malware lasciati dagli hacker. L'agenzia ha inoltre fornito indicazioni tecniche dettagliate per rafforzare le difese contro tali minacce . Di particolare preoccupazione è la rivelazione che gli attori del Volt Typhoon hanno mantenuto l’accesso ad alcune reti di vittime per un massimo di cinque anni, sollevando timori di potenziali azioni dirompenti durante periodi di tensione geopolitica o conflitto militare.
L’urgenza della situazione è stata ulteriormente accentuata dalle recenti azioni intraprese dal Dipartimento di Giustizia degli Stati Uniti per smantellare una botnet utilizzata da Volt Typhoon per comunicazioni segrete. Questa botnet, composta da router Cisco e Netgear fuori uso, è servita da canale per attività dannose e ha sottolineato le capacità del gruppo di operare di nascosto all'interno delle reti prese di mira.
John Hultquist, capo analista di Mandiant Intelligence – Google Cloud, ha evidenziato la gravità della situazione, sottolineando l'attenzione di Volt Typhoon sull'infiltrazione e la raccolta di informazioni dai sistemi tecnologici operativi. Tali sistemi, che sono parte integrante del funzionamento delle infrastrutture critiche, potrebbero essere potenzialmente manipolati per causare interruzioni diffuse o addirittura condizioni pericolose.
Questi sviluppi servono a ricordare fortemente la natura in evoluzione delle minacce informatiche e la necessità di solide misure di sicurezza informatica per salvaguardare le infrastrutture critiche da avversari sofisticati come Volt Typhoon.