“Unità 61398”

La storia del palazzo di 12 piani a Shanghai da cui - sembra - partono i grandi attacchi informatici contro siti Internet e società americane

Nel corso degli ultimi anni, molte società statunitensi hanno segnalato di avere subito attacchi informatici provenienti dalla Cina, tesi a sottrarre informazioni sui loro prodotti, sugli assetti societari e sui loro segreti industriali. Il fenomeno negli ultimi mesi si è ulteriormente intensificato e ha interessato anche le reti interne di alcuni grandi giornali, come il Wall Street Journal e il New York Times, che di recente ha pubblicato un articolo per raccontare ai propri lettori un’intrusione molto estesa nei propri sistemi informatici. Le autorità statunitensi sono consapevoli dei continui attacchi e altrettanto lo sono molte società specializzate in sicurezza informatica, a partire da Mandiant, che martedì 19 febbraio ha pubblicato un rapporto molto dettagliato sui principali sospettati per gli attacchi informatici dalla Cina verso diversi paesi occidentali, soprattutto verso gli Stati Uniti.

Come racconta in un lungo articolo il New York Times, che nei giorni scorsi ha avuto la possibilità di vedere in anteprima il rapporto e di fare alcuni controlli incrociati, nella periferia di Shanghai c’è un edificio di dodici piani in cui si sospetta sia operativa una unità di hacker dell’esercito cinese. Il palazzo viene chiamato “Unità 61398” ed è di proprietà dell’Esercito Popolare di Liberazione, il nome ufficiale delle forze armate in Cina. Questa particolare divisione è ormai una vecchia conoscenza dell’intelligence statunitense: secondo il rapporto di Mandiant e diversi altri esperti di sicurezza, i suoi componenti sarebbero stati gli autori dei recenti attacchi informatici contro le società statunitensi.

Mandiant non può dire con assoluta certezza che gli hacker cinesi operino dal palazzo di 12 piani poco fuori Shanghai, ma ha comunque raccolto prove indirette sulla base della provenienza di diversi attacchi informatici analizzati negli ultimi anni. Per il suo amministratore delegato, Kevin Mandia, ci sono comunque pochi dubbi: «O gli attacchi arrivano dall’interno dell’Unità 61398, oppure coloro che gestiscono le reti collegate a Internet più controllate del mondo non sono in grado di rendersi conto che da questo singolo posto partono migliaia di attacchi informatici». Anche altre società di sicurezza informatica hanno raccolto elementi che sembrano confermare che gli hacker siano sovvenzionati dall’esercito cinese.

L’Unità 61398 non è molto presente nei documenti ufficiali dell’Esercito Popolare di Liberazione. Gli esperti di intelligence e gli analisti informatici la conoscono comunque da tempo e già un paio di anni fa fu collegata a diversi attacchi contro gli Stati Uniti e il Canada. Nel 2008, il Dipartimento di Stato espresse la propria preoccupazione per le attività informatiche provenienti da quella zona della Cina, che avevano portato ad alcuni attacchi contro i siti governativi del Dipartimento della Difesa e dello stesso Dipartimento di Stato. Furono identificate email contenenti particolari allegati (malware), che una volta aperti dagli ignari dipendenti governativi avevano consentito agli hacker di intrufolarsi nelle reti informatiche interne e sottrarre una grande quantità di dati.

Il gruppo che materialmente si occupa degli attacchi viene chiamato “Comment Crew” (letteralmente “Squadra Commenti”), nome derivante dall’abitudine dei suoi membri di inserire contenuti nascosti o commenti nel codice che serve per realizzare le pagine web. Il gruppo sarebbe responsabile di migliaia di attacchi contro siti statunitensi e canadesi. Il 90 per cento delle operazioni informatiche rilevate da Mandiant sono riconducibili all’Unità 61398 di Shanghai.

Uno dei primi attacchi rilevati fu eseguito nel 2006, l’attività proseguì con un numero limitato di operazioni negli anni seguenti, mentre negli ultimi due la quantità di attacchi risulta essere aumentata considerevolmente. Ogni attacco dura, inoltre, molto tempo: dopo avere guadagnato l’accesso a una rete interna, gli hacker cinesi vi restano in media per 10 – 12 mesi, spesso in attesa di informazioni o di dati utili per risalire alle password di accesso a livelli più sensibili. Mandiant ha rilevato anche un caso in cui gli hacker hanno avuto libero accesso a una rete interna per quasi cinque anni.

Il tipo di informazioni sottratte nel corso di questi attacchi varia molto a seconda delle società e delle istituzioni colpite. Nel corso degli anni sono stati rubati segreti industriali per la realizzazione di particolari tecnologie e di processi industriali, risultati di esami clinici, formule chimiche, documenti riservati su accordi societari e molto altro materiale. Tra le società colpite su cui hanno lavorato gli esperti di Mandiant ci sono anche state aziende che lavorano per l’esercito degli Stati Uniti e per multinazionali che si occupano delle telecomunicazioni.

Per motivi di riservatezza e di sicurezza, Mandiant non rivela i nomi delle società con cui ha lavorato per risolvere i loro problemi di sicurezza. Il New York Times, che si affidò alla società quando scoprì di essere sotto attacco lo scorso anno, cita comunque il caso molto sospetto di Coca-Cola. Subì un attacco nel 2009 nello stesso periodo in cui stava cercando di stringere un accordo (poi non andato a buon fine) per l’acquisizione del produttore di succhi di frutta China Huiyuan Juice Group per 2,4 miliardi di dollari. Si trattava della più grande acquisizione di una società cinese da parte di una azienda occidentale, cosa che attirò molto l’interesse di Comment Crew, che organizzò un attacco informatico contro la società.

Gli hacker inviarono a un dirigente di Coca-Cola un’email con un link a un contenuto malevolo, che consentì loro di entrare con relativa facilità all’interno dei sistemi della società. Ottenuto l’accesso, inviarono per settimane diversi file riservati di Coca-Cola a Shanghai, presumibilmente contenenti informazioni utili per capire meglio quali fossero le intenzioni e i piani della società per l’acquisizione di Huiyuan. Qualcosa di analogo avvenne un paio di anni dopo, quando Comment Crew ottenne l’accesso a informazioni riservate della multinazionale tecnologica EMC.

I continui e sistematici attacchi informatici provenienti dalla Cina preoccupano le autorità statunitensi non solo per la perdita di segreti industriali o di altri dati sensibili, ma anche per la possibilità che gli hacker possano alterare le infrastrutture, come quelle per la distribuzione della corrente elettrica. Alcune società che operano nei settori delle infrastrutture hanno scoperto di avere subito attacchi, che hanno consentito a quelli di Comment Crew di entrare in possesso di progetti e informazioni su come sono realizzate centrali e reti elettriche negli Stati Uniti e sistemi di distribuzione di altre utilità.

Nel suo discorso sullo Stato dell’Unione, il presidente Barack Obama ha alluso ai problemi legati alla sicurezza informatica che gli Stati Uniti devono affrontare ormai su base quotidiana. Il governo si è impegnato per dare nuovi strumenti, anche legislativi, per consentire reazioni più rapide nel caso di attacchi informatici. La settimana scorsa Obama ha firmato un documento di indirizzo per la condivisione di alcune informazioni governative, anche su Comment Crew ma senza farvi esplicito riferimento, con le società che gestiscono gli accessi a Internet nel paese. La Casa Bianca intende comunque sfruttare l’imminente cambiamento di alcuni vertici all’interno del Partito Comunista cinese per aprire un confronto sul tema, ricordando al governo di Pechino che la continuazione di questi attacchi sempre più sofisticati ed estesi rischia di compromettere le relazioni tra la Cina e gli Stati Uniti. In più occasioni il governo cinese ha negato ed escluso la possibilità che unità del proprio esercito conducano attacchi informatici contro le aziende e le istituzioni statunitensi.