Il cyberspionaggio cinese rimarrà solido ed espansivo nel sud-est asiatico

Tre gruppi di minacce persistenti avanzate collegate alla Cina si sono attivamente impegnati nello spionaggio informatico nel sud-est asiatico nel 2021, secondo quanto riportato in un rapporto di ricerca dell’8 dicembre dall’azienda statunitense di sicurezza informatica Recorded Future’s Insikt Group. Nei nove mesi precedenti la pubblicazione del rapporto, Insikt Group ha trovato più di 400 server vittime unici che comunicano con l’infrastruttura di comando e controllo (C2) che ha valutato essere collegata agli APT cinesi.

   Secondo quanto riferito, un sospetto APT cinese che Insikt Group ha temporaneamente etichettato come Threat Activity Group 16 (TAG-16), ha condotto una vasta campagna contro i principali uffici governativi e militari in Indonesia, Malesia, Filippine, Thailandia e Vietnam. Nel maggio 2021, Insikt Group ha dichiarato di aver osservato un cluster di infrastrutture utilizzando Cobalt Strike e altri strumenti rivolgendosi a telecomunicazioni, enti governativi e imprese statali in Laos. Il gruppo di ricerca sta monitorando l’attore dietro l’attività, che ha etichettato come TAG-33, e sottolinea che la campagna ha ampiamente utilizzato domini C2 a tema Laos, come LaoDailyLive.com e LaoDiplomat.com. Questa tattica è stata spesso utilizzata in Laos da APT27 (alias Goblin Panda), uno dei più prolifici e avanzati attori di minacce cinesi, sebbene qualsiasi sovrapposizione tra i due attori di minacce rimanga poco chiara. Infine, Insikt Group ha affermato di aver osservato un altro gruppo di attività che sta monitorando sotto l’etichetta TAG-34 e che prende di mira il Ministero degli Affari Esteri della Cambogia e il porto autonomo di Sihanoukville, l’unico porto in acque profonde della Cambogia, in gran parte finanziato dal Giappone.

   Le campagne sembrano collegate alla Belt and Road Initiative cinese, fornendo tre esempi visibili di Pechino che persegue obiettivi strategici durante lo spionaggio informatico nel sud-est asiatico. BRI è un vasto progetto di investimento che copre gran parte del mondo, ma si è concentrato fortemente sullo sviluppo di infrastrutture nel sud-est, nell’Asia centrale e meridionale. Le telecomunicazioni e i progetti portuali, rispettivamente mirati a TAG-33 e TAG-34, sono parti critiche della BRI. Sebbene la Cina abbia stretti rapporti economici e politici con la Cambogia e il Laos, Pechino ha ancora interesse a monitorarli e sarà sempre preoccupata che i suoi rivali ottengano un punto d’appoggio maggiore in entrambi i paesi. Ad esempio, gli investimenti giapponesi nel porto di Sihanoukville – e le potenziali opportunità di investimento più ampie che potrebbero avere le società giapponesi e altre società straniere – sono tutti interessanti per Pechino. Evidenziando che Pechino ha anche interessi politici regionali, non solo economici, in mente quando conduce il cyberspionaggio, in passato gli APT cinesi hanno anche preso di mira figure dell’opposizione cambogiana e funzionari governativi per più ampi sforzi di raccolta di informazioni.

   Poiché i rivali della Cina investono più risorse nei programmi per contrastare la BRI, varie entità coinvolte in importanti progetti nei paesi in cui la Cina ha una grande presenza BRI potrebbero trovarsi – insieme al governo ospitante e/o alle imprese statali con cui stanno lavorando – a alto rischio di essere presi di mira dagli APT cinesi. La frequenza di tali attacchi e intrusioni diventerà un problema più significativo man mano che i programmi anti-BRI continueranno a svilupparsi. Gli attacchi potrebbero colpire agenzie governative, istituzioni finanziarie internazionali e/o un’ampia gamma di aziende private. In aggiunta a un elenco crescente di programmi simili lanciati da Giappone, Stati Uniti e altri, il 1 dicembre l’Unione Europea ha annunciato la sua strategia “Global Gateway” che mira a investire fino a 300 miliardi di euro (circa $ 334 miliardi) tra il 2021 e il 2027 globalmente in “collegamenti sostenibili” in tutto il mondo. Date le vaste risorse di cui godono gli APT cinesi, sono poche le parti del mondo in cui alla Cina mancheranno le risorse per svolgere attività di spionaggio informatico contro obiettivi strategici. Anche in America Latina, un luogo in cui la Cina ha meno interessi strategici rispetto al sud-est asiatico, la Cina’ l’attività di s è aumentata. Microsoft ha documentato in due post del blog del 6 dicembre che “L’attore di minacce APT Nickel (alias APT15 o Vixen Panda) ha lanciato una vasta campagna contro governi”, entità diplomatiche e organizzazioni non governative in America centrale e meridionale, inclusi paesi relativamente piccoli come Barbados, Guatemala e Giamaica.

   A parte le preoccupazioni economiche legate alla BRI, poiché la Cina diventa più aggressiva nel proteggere le sue rivendicazioni nel Mar Cinese Meridionale a causa del respingimento dei governi regionali, anche gli sforzi di raccolta di intelligence di Pechino dovranno accelerare. Gli attori cinesi che prendono di mira le forze armate del sud-est asiatico, le guardie costiere e altre entità che hanno un impatto diretto sulle politiche e sulle azioni dei loro governi nel Mar Cinese Meridionale sono stati ben documentati e persistono da anni. La campagna di TAG-16 di quest’anno è solo l’ultimo esempio della minaccia. Ma è probabile che gli sforzi di spionaggio informatico cinese per quanto riguarda il Mar Cinese Meridionale si espandano tra i tentativi più concertati da parte delle marine britanniche, francesi, statunitensi e di altri paesi di contestare la legittimità delle affermazioni della Cina viaggiando attraverso lo stretto di Taiwan e tenendo esercitazioni militari nella Cina meridionale Mare. Queste e altre azioni simili rafforzeranno la necessità di Pechino di spionaggio informatico, in particolare quando questi paesi stranieri stanno lavorando con paesi regionali, ampliando la gamma di potenziali obiettivi.

   Un maggiore spionaggio informatico nel sud-est asiatico relativo al Mar Cinese Meridionale può raggiungere diversi obiettivi tattici e geopolitici cinesi e metterà a rischio più bersagli. Può dare alla Cina un avvertimento più avanzato su potenziali manovre o esercitazioni navali, consentendo alla Cina di prevenirle o preposizionare le sue risorse marittime. Potrebbe anche dare alla Cina un preavviso di potenziali cambiamenti di politica da parte dei governi rivali che discutono di tali cambiamenti. Le persistenti minacce informatiche possono anche agire come una forma di coercizione contro le entità mirate poiché altri organi del governo cinese, come il Ministero degli Affari Esteri, cercano di influenzare i governi stranieri. Mentre la maggior parte delle attività di spionaggio informatico cinese relative al Mar Cinese Meridionale si concentra attualmente su entità governative, con l’aumento della concorrenza, le organizzazioni non governative che agiscono come appaltatori militari per le marine regionali o le società impegnate in attività commerciali nel Mar Cinese Meridionale, come l’esplorazione di petrolio e gas naturale al largo delle coste di paesi come Indonesia, Malesia e/o Vietnam, potrebbero trovarsi tutte nel mirino. Se le tensioni dovessero aumentare in modo significativo, gli APT cinesi potrebbero persino attaccare entità non collegate al Mar Cinese Meridionale i cui governi ospitanti sono attivamente coinvolti nelle controversie territoriali con la Cina come forma di deterrenza o ritorsione per azioni che considera ostili, ampliando così il potenziale bacino di vittime.

Bianca Laura Stan