Cina e India: l’hacking al servizio della potenza revisionista

L’intenzione della potenza cinese di cambiare gli equilibri regionali a proprio favore non è un elemento di novità. Non sorprende, quindi, che ciò avvenga attraverso tutti gli strumenti disponibili, inclusi gli attacchi cibernetici. In questo contesto, si può far rientrare la campagna condotta ai danni di organizzazioni indiane operanti nel settore dell’energia.

Cina e India: l’hacking al servizio della potenza revisionista - Geopolitica.info

Il report di Recorded Future

Lo scorso 28 febbraio, la società statunitense di cybersecurity Recorded Future ha pubblicato un report in cui è stata rilevata un’intensa campagna di cyber operations condotte da state-sponsored actors cinesi ai danni di aziende indiane. Nello specifico, l’Insikt Group di Recorded Future ha attribuito al gruppo di hackers RedEcho la responsabilità degli attacchi, perpetrati attraverso l’utilizzo dell’infrastruttura AXIOMATICASYMPTOTE, che comprende i server Command and control (C2) di ShadowPad.

Il report ha messo in luce l’intensificazione, dall’inizio del 2020, delle attività intrusive ai danni di dieci differenti società indiane di energia elettrica, tra cui quattro dei cinque Regional Load Despatch Centre e una compagnia di proprietà governativa, operante sotto il controllo del Ministero dell’Energia.

Nonostante la tipologia degli attacchi e gli strumenti utilizzati siano già stati adoperati da altri gruppi, quali APT41 e Barium e Tonto Team non ci sono elementi sufficienti per attribuire con certezza questa campagna a tali attori. In particolare, lo strumento di hacking ShadowPad è impiegato da molti gruppi collegati al Ministero cinese della Sicurezza di Stato (Guojia Anquan Bu) e all’Esercito Popolare di Liberazione (PLA).

Oltre alle società di energia elettrica, sono state colpite le reti di due porti: il Mumbai Port Trust e il V. O. Chidambaranar Port Trust. Tutte le infrastrutture colpite rientrano nella definizione di “infrastruttura critica” dell’Indian National Critical Information Infrastructure Protection Centre (NCIIPC), che include nei settori critici, oltre a quello dell’energia, il settore bancario e finanziario, quello delle telecomunicazioni, il settore dei trasporti, quello governativo e quello delle imprese pubbliche e strategiche.

Le tensioni tra India e Cina

Il 2020 è stato segnato da un raffreddamento dei rapporti tra le due potenze e da una recrudescenza degli scontri. In particolare, dallo scorso giugno si sono susseguiti scontri lungo il confine, con la conseguenza di una pericolosa escalation dovuta all’ammassamento di truppe lungo il confine indo-cinese. Lo scontro armato verificatosi il 15 giugno nel Ladekh cinese e rivendicato da Delhi ha portato alla morte di venti soldati indiani. La ragione di attrito sarebbe stata la costruzione, da parte del governo indiano, di una strada lungo il fiume Shyok, territorio contestato. L’infrastruttura svolge un ruolo chiave nel rifornire le postazioni in caso di conflitto, fattore ritenuto inaccettabile dal governo di Pechino.

Le conseguenze di tale avvenimento non si sono fatte attendere. Già a giugno, le autorità indiane hanno bannato la piattaforma social Tik Tok per la paura che l’app fosse utilizzata per acquisire informazioni sui cittadini indiani o per lo spionaggio sulle reti indiane.
A novembre, invece, il governo ha messo in atto quello che è stato definito come Digital Strike. Il Ministero dell’Elettronica e dell’Informatica ha bannato più di 200 app cinesi.
Come conseguenza di queste tensioni, Recorded Future ha registrato un notevole incremento dell’attività di cyber hacking ai danni delle aziende indiane.

La pervasività dei gruppi cinesi è stata evidenziata ulteriormente dalla società di cyber-intelligence Cyfirma, che ha messo in luce una campagna di attacchi informatici ai danni di due aziende indiane produttrici di vaccini anti-COVID. Secondo quanto riportato, gli attacchi sarebbero stati perpetrati dal gruppo APT-10, che ha sfruttato alcune vulnerabilità presenti nelle reti IT della società Bharat Biotech e del Serum Institute of India (SII).

Già nel 2020, le strutture sanitarie hanno registrato un notevole incremento degli attacchi alle loro reti, data la loro strategicità e vulnerabilità. Nel 2021 le minacce saranno rivolte principalmente ai centri di ricerca e di produzione dei vaccini, come già è avvenuto negli scorsi mesi. Le attività degli hackers cinesi potrebbero essere dannose a livello globale, dato che l’India produce più del 60% dei vaccini venduti nel mondo.

Il blackout di Mumbai

Molti esperti hanno collegato il blackout avvenuto a Mumbai lo scorso 12 ottobre, a un attacco informatico cinese. Nonostante alcuni media locali abbiano accusato la Cina di essere responsabile dell’interruzione di fornitura di energia elettrica, il fatto è stato smentito dalle autorità indiane.
Gli esperti della Recorded Future hanno suggerito che il flusso di attacchi portato alla luce attraverso le attività di monitoraggio, potrebbe far luce sulle responsabilità del blackout che ha colpito Mumbai.

Martedì 2 marzo 2021, invece, il governo indiano è stato molto chiaro sui fatti avvenuti. Il ministro dell’elettricità, Raj Kumar Singh, ha dichiarato che non ci sono prove per collegare il guasto alla rete elettrica agli attacchi informatici. Ciò piuttosto, sarebbe dovuto a un errore umano.
Inoltre, il ministro ha evidenziato come non sia chiaro se la campagna di hacking sia stata condotta dalla Cina o dal Pakistan, negando quindi quanto evidenziato dal report della Recorded Future.

Già lunedì 1° marzo, il ministro aveva evidenziato l’assenza di effetti concreti sulle operazioni del Power System Operation Corporation (POSOCO) riconducibili a un malware.
Di opinione contraria è il ministro degli affari interni dello stato del Maharashtra. Anil Deshmukh ha, infatti, dichiarato che il blackout sarebbe stato causato da un sabotaggio cibernetico. Le dichiarazioni sono basate sul report del dipartimento per la sicurezza informatica dello Stato (Cyber Cell). Il report conferma che il guasto alla rete elettrica di Mumbai è dovuto a un attacco malware e ha rivelato la presenza di 14 virus Trojan e di circa 8 GB di dati scomparsi nel sistema del Maharashtra State Electricity Board.


Quale sarà il mondo dopo Trump?

Per scoprirlo, approfondisci i temi della geopolitica e delle relazioni internazionali, con la XV Winter School di Geopolitica.info


Una possibile escalation

Se le dinamiche di quanto avvenuto a Mumbai rimangono da chiarire, quel che è certo è che la Cina, dallo scorso anno, ha intensificato il volume di attacchi informatici ai danni dell’India. L’utilizzo di gruppi APT da parte del governo è strumentale all’espansionismo cinese, che ormai è entrato in rotta di collisione con gli interessi di Delhi, come già chiaro alla comunità internazionale dagli scontri armati dello scorso giugno.

Ciò che resta da capire è se ci sarà o meno una risposta da parte del governo indiano. Gli scontri tra i militari per il controllo del territorio sono ben differenti da una possibile escalation degli attacchi informatici, che non coinvolgerebbero solamente personale militare, ma sarebbero rivolti principalmente alla popolazione civile. Il 2020 ha dimostrato quanto gli attacchi informatici possano essere disruptive. Il dominio cyber si presta molto più degli altri all’alterazione degli equilibri geopolitici, data la maggiore difficoltà nell’individuare la provenienza dell’aggressione.

Se da un lato il governo indiano ha negato il collegamento tra i fatti di Mumbai e l’attacco malware, dall’altro ha però riconosciuto il verificarsi di un’intensa campagna di hacking ai danni delle aziende. Ciò potrebbe essere sufficiente a far scattare una “controffensiva”.
La strategicità delle infrastrutture colpite, definite come “critiche” è un elemento che non può essere sottovalutato. Se si pensa a quanto avvenuto tra Israele e Iran tra aprile e giugno dello scorso anno, ovvero reciproche campagne di attacchi informatici ai danni di porti, sistemi idrici e stazioni ferroviarie, è facile pensare a una escalation tra India e Cina.

È ormai chiaro che il governo di Pechino sta portando avanti una modernizzazione notevole dell’apparato militare. In particolare, le autorità sono convinte che il futuro della guerra sia determinata dall’utilizzo di nuove tecnologie, operazioni di cyberspionaggio e attacchi informatici alle infrastrutture critiche dei paesi avversari. La risposta del governo indiano, per ora, è stata l’aumento della sicurezza informatica a livello nazionale per proteggersi dalle minacce esterne, costituite prevalentemente da gruppi sponsorizzati da Cina e Pakistan.

Davide Lo Prete,
Geopolitica.info