Il network spia di Chengdu

0
88

titleUna gang di hacker stanziati a Chengdu, capitale del Sichuan, ha avuto accesso per un anno alle email del Dalai Lama, ad altri documenti sensibili del governo Indiano, dei consolati e di altre compagnie e organizzazioni private nel mondo.

Questo è il secondo caso in cui un’università con forti contatti con il governo è implicata in un caso di cyber spionaggio. Il governo cinese nega di essere stato a conoscenza della gang, ma in questo momento tutti stanno puntando proprio chi avrebbe potuto guadagnarci più di tutti da questa intricata faccenda.

Ombre nelle nuvole

Un rapporto rilasciato lunedì scorso dalla Munk School of Global Affairs presso l’Università di Toronto chiamato “Shadows in the Cloud”, implica l’esistenza di un network spia dal nome di GhostNet con sede a Chengdu che per un anno circa ha svolto attività di cyber spionaggio. Nel mirino degli hacker c’erano il governo tibetano in esilio, il Dalai Lama e il governo indiano. Sebbene gli autori del rapporto non attribuiscano gli attacchi al governo centrale, esisterebbero delle indicazioni per suggerire che la University of Electronic Science and Technology (UESTC) abbia avuto dei contatti con gli hacker. Lo studio identifica uno degli hacker, con il nickname “lost33”, come un possibile apprendista di Glacier, il “Padrino dei Trojan cinesi” e come un ex studente dell’università. La sua presenza a Chengdu è stata confermata tracciando il suo indirizzo IP. Esperti di mezzo mondo si stanno ora focalizzando su questo gruppo di hackerche opera proprio nella città in cui vivo.

Da Shadows in the Cloud:

Dark Visitor ha determinato che questo individuo ha rapporti con i forum di Xfocus e Isbase (la Green Army), NSfocus e Eviloctal, così come con gli hacker Glacier e Sunwear. E’ nato il 24 luglio del 1982, vive a Chengdu nel Sichuan e frequenta la University of Electronic Science and Technology of China, anch’essa con sede a Chengdu” Dice il rapporto. “Gli assalitori hanno utilizzato account email di Yahoo per comandare e controllare i server, dai quali gli hacker hanno inviato le email conteneti malware contro i target già compromessi. Tutti gli indirizzi IP degli hacker per inviare queste email sono localizzabili a Chengdu, nel Sichuan”.

Dark Visitor, un blog che si focalizza sugli hacker cinesi, ha dichiarato in un recente post di avere avuto una conversazione tramite QQ con uno degli hacker coinvolti.

map
Le zone del mondo maggiormente colpite dagli attacchi di GhostNet

Storia del coinvolgimento del governo

ChengduLiving recentemente ha intervistato un laureando della UESTC che lavora nell’industria dei sistemi di informazione e secondo le sue affermazioni, l’Armata Popolare di Liberazione (APL) ogni anno indice sessioni di reclutamento per accaparrarsi esperti nella sicurezza dei computer. Il laureando, che ha richiesto l’anonimato per questo articolo, conosce ex compagni di scuola che lavorano per il governo e che sono forzati alla segretezza assoluta su quello a cui stanno lavorando.

“Quando ero a scuola, la APL reclutava molti di noi” ha detto il laureando. “Tutti quelli che accettavano erano costretti ad una doppia vita; una dove erano persone normali e l’altra come agenti per i militari. Non era concesso loro di parlare ai loro amici, alle loro mogli o a chiunque altro su quanto stavano facendo.”

UESTC è stata fondata nel 1956 come Chengdu Institute of Radio Engineering. Successivamente è diventata la UESTC moderna dopo che alcuni dipartimenti di elettronica della Shanghai Jiaotong University (anch’essa coinvolta nel clamoroso caso di spionaggio ai danni di Google), della Southeast University e della South China University of Technology si sono combinati per dare vita ad un nuovo prestigioso istituto. Sin dalla sua fondazione alla fine degli anni ’50, l’università ha giocato un ruolo molto importante per lo sviluppo tecnologico della Cina. Tra gli alunni che si sono formati possiamo citare il CEO di China Unicom, il capo di Huawei, il direttore del centro spaziale cinese e uno dei più celebri hacker del mondo, lost33.

La migrazione verso l’entroterra di Mao

Durante e successivamente la Seconda Guerra Mondiale, il Presidente Mao trasferì la maggior parte dell’equipaggiamento tecnologico nell’entroterra per slavarlo da attacchi nemici. Il Sichuan e in particolar modo Chengdu, divennero così un importante centro per l’elettronica, l’aeronautica, le tecnologie dell’informazione e spaziali cinesi. Una joint venture scientifica Sino-Pakistana ha sviluppato un nuovo jet fighter nella zona, il Jian-10 Multirole Fighter e la prima avventura spaziale cinese è partita proprio da qui, a Xichang, nel sud della provincia. Lo sviluppo di queste tecnologie ha determinato la creazione di corsi e programmi molto ambiziosi all’interno della UESTC. Intel, Alcatel e Symantec hanno aperto a Chengdu importanti centri di ricerca proprio per la relativa facilità di scovare talenti informatici. Alcune delle discipline scientifiche della UESTC sono supportate e finanziate direttamente dal Ministero dell’Educazione.

grafico
Il grafico rappresenta la classifica dei paesi più colpiti

Secondo il rapporto, i collegamenti di GhostNet al mondo hacker underground e alla UESTC sono indiscutibili, ma i rapporti tra la GhostNet e la APL sono tutti da dimostrare:

“L’infrastruttura di questo network è legata ad individui residenti a Chengdu, Sichuan. Almeno uno di loro ha legami con la comunità underground hacker cinese e alla UESTC. E’ interessante notare che la Honker Union of China, uno dei più grandi gruppi hacker cinesi è stata fondata nel 2005, il suo leader proveniva proprio dalla UESTC di Chengdu. Chengdu è anche la sede di uno degli uffici di ricognizione tecnica dell’APLcon il compito di raccolta di dati di intelligence. Mentre sarebbe ingenuo ignorare queste coincidenze, non sono sufficienti per determinare motivazioni e responsabilità. Ad ogni modo, collegamenti tra l’infrastruttura di comando e controllo e individui nella RPC forniscono una varietà di scenari che puntanto verso l’attribuzione di responsabilità”.

Colpire l’India e il Tibet

Gli hacker si sono focalizzati principalmente su computer e documenti appartenenti a tibetani in esilio e a ufficiali del governo indiano. Un anno di corrispondenza del Dalai Lama e di informazioni classificate del governo indiano inerenti il programma missilistico e l’applicazione dei visti per l’Afghanistan è stato rubato. Colpire il Dalai Lama sembra essere un gesto abbastanza naturale e patriottico per un hacker cinese alla ricerca di soldi e notorietà. Il dalai Lama sta invecchiando, ed entrambe le parti in causa si stanno muovendo per una fase di transizione che potrebbe portare ad una ulteriore radicalizzazione del conflitto, come Peter Lee scrive in Asia Times. La Cina non ha rapporti facili con l’India, che potrebbero aiutare a spegare perché gli hacker si siano focalizzati su queste informazioni.

Un altro corrispondente di Asia Times, MK Bhadrakumar, ha scritto a lungo sulle relazioni Sino-Indiane e Sino-Pakistane e secondo le sue analisi, le informazioni sui viaggi indiani in Afghanistan potrebbero essere importanti. Altri target come le università straniere e le compagnie private, potrebbero indicare un desiderio di rubare informazioni sulla sicurezza informatica dei sistemi. Di seguito una lista delle organizzazioni bersagliate dagli hacker, fornite dagli autori di Shadows in the Cloud:

* Honeywell, United States
* New York University, United States
* University of Western Ontario, Canada
* High Commission of India, United Kingdom
* Vytautas Magnus University, Lithuania
* Kaunas University of Technology, Lithuania
* National Informatics Centre, India
* New Delhi Railway station (*railnet.gov.in), India
* Times of India, India
* Petro IT, (reserved123.petroitg.com), India
* Federation of Indian Chambers of Commerce and Industry, India
* Commission for Science and Technology for Sustainable Development in the South, Pakistan

“Questo sembra proprio qualcosa che il governo avrebbe potuto fare” ha detto il laurendo della UESTC che abbiamo intervistato. Ogni volta che si scopre qualcosa del genere, bisogna sempre cercare di capire chi potrebbe trovarne giovamento e con queste informazioni che GhostNet stava rubando, chi avrebbe potuto beneficiarne?

copertinaNessuna prova definitiva del coinvolgimento governativo

Fino ad adesso, il governo cinese ha negato qualunque coinvolgimento con la GhostNEt. Il portavoce del Ministro degli Affari Esteri, Jiang Yu, ha rilasciato una dichiarazione rifuitando tutte le dichiarazioni che indicavano un qualche coinvolgimento del governo cinese con gli attacchi, citando la legge cinese che espressamente proibisce “tutti i crimini informatici, incluso l’hacking.”

“Non abbiamo trovato nessuna prova concreta di questi collegamenti con il governo cinese,” ha detto Nart Villeneuve, uno degli autori del rapporto durante una conferenza a Toronto. “In verità abbiamo avuto una salutare cooperazione con il team di risposte d’emergenza di informazione cinese, che stanno lavorando attivamente per capire ciò che abbiamo scoperto e hanno indicato che anche loro si stanno muovendo per risolvere il problema. E’ uno sviluppo molto incoraggiante.”

Sascha Matuszak è un commentatore e uno scrittore di politica e cultura internazionale. Ha vissuto a Chengdu per otto anni e attualmente risiede poco fuori la città di San Sheng Xiang
Fonte: ChengduLiving