L’FBI definisce un sospetto hack cinese ai suoi sistemi di sorveglianza un grave incidente informatico

Un’etichetta che pesa parecchio

L’FBI ha stabilito che un sospetto attacco informatico di matrice cinese contro i propri sistemi di sorveglianza rientra nella categoria di major cyber incident, cioè un incidente informatico grave. In pratica, non si tratta del classico intoppo da ufficio con il server capriccioso: la valutazione lascia intendere che gli aggressori siano riusciti a compromettere una quantità significativa di dati sensibili conservati direttamente sui sistemi dell’agenzia.

Se confermato nei suoi contorni più ampi, il colpo rappresenterebbe anche un notevole successo di controspionaggio per Pechino. E già che mancava solo questo, la soglia usata dalla legge federale non è certo bassa.

Cosa impone la legge federale

La norma FISMA obbliga le agenzie a informare il Congresso entro sette giorni quando individuano una violazione digitale che sia probabilmente destinata a provocare un danno dimostrabile alla sicurezza nazionale degli Stati Uniti.

Secondo Cynthia Kaiser, ex vice direttrice assistente della divisione cyber dell’FBI, non risulta che l’agenzia abbia preso una decisione del genere per un attacco che colpisca i propri sistemi almeno dal 2020.

"Le soglie previste dalla FISMA sono piuttosto alte, e solo poche agenzie dichiarano ogni anno un grave incidente informatico", ha detto Kaiser.

Un portavoce dell’FBI ha rifiutato di commentare la dichiarazione e ha rimandato a una nota diffusa all’inizio di marzo: "L’FBI ha identificato e affrontato attività sospette sulle reti dell’FBI e abbiamo utilizzato tutte le capacità tecniche a nostra disposizione per rispondere".

Quali dati erano coinvolti

Sulle basi delle linee guida FISMA, un’intrusione può superare la soglia di incidente grave se comporta l’esfiltrazione o la compromissione di dati personali identificabili, oppure se crea rischi concreti per la sicurezza nazionale, le relazioni estere, la fiducia del pubblico o le libertà civili degli americani.

Non è chiaro quale elemento abbia portato l’FBI a questa conclusione. Nel promemoria inviato al Congresso a marzo e visionato da POLITICO, l’agenzia ha riferito che gli hacker sembravano essere entrati in un sistema sfruttando l’infrastruttura di un fornitore commerciale di servizi internet, descrivendo la manovra come una prova di "tattiche sofisticate".

Lo stesso avviso spiegava che il sistema colpito conteneva:

• risposte ottenute tramite procedimenti legali, come i dati raccolti con strumenti di pen register e trap and trace;
• informazioni personali relative a soggetti oggetto di indagini dell’FBI.

Questi strumenti consentono alle forze dell’ordine di monitorare le chiamate in entrata e in uscita da un numero specifico o i siti visitati da un dispositivo connesso a internet. Non registrano il contenuto delle comunicazioni, ma le informazioni raccolte sono comunque preziose per servizi segreti stranieri o gruppi criminali organizzati, perché possono rivelare chi è sotto osservazione o al centro di un’indagine.

Nessun legame noto con il caso degli email di Kash Patel

Il furto ai sistemi di sorveglianza dell’FBI non sembra collegato alla recente compromissione, attribuita all’Iran, delle email personali del direttore dell’FBI Kash Patel.

Resta però il fatto che il dossier è l’ennesimo segnale di un problema più ampio: gli hacker cinesi sono ormai in grado di penetrare con regolarità alcuni dei sistemi di sicurezza nazionale più delicati del Paese.

Il senatore Mark Warner, democratico della Virginia e membro di punta della Commissione Intelligence del Senato, ha commentato così:

"Questo episodio è l’ennesimo duro promemoria che la minaccia rappresentata da avversari informatici sofisticati come la Cina non è scomparsa. Anzi, sta diventando più aggressiva di giorno in giorno".

La risposta coordinata, sempre che ci sia stata

Quando un’agenzia dichiara un grave incidente ai sensi della FISMA, dovrebbe anche attivarsi un meccanismo interagenzia di risposta informatica. Non è chiaro se ciò sia effettivamente accaduto o se il caso sia stato contenuto nel frattempo.

La Casa Bianca e la Cybersecurity and Infrastructure Security Agency, contattate separatamente, hanno rimandato ogni commento all’FBI. La NSA non ha risposto alle richieste di commento.

Secondo due funzionari statunitensi, uno dei quali con conoscenza diretta, la Casa Bianca ha ospitato all’inizio di marzo una riunione sulla violazione con funzionari dell’FBI, della NSA e della CISA.

Un copione già visto

Per la Cina, le infrastrutture di comunicazione commerciali sono da tempo un utile trampolino per entrare nelle reti federali o per mettere le mani su dati di sicurezza nazionale.

Un gruppo di hacker cinesi noto come Volt Typhoon si è insinuato in profondità in infrastrutture critiche negli Stati Uniti, inclusi porti, impianti idrici e sottostazioni energetiche. Un altro gruppo, chiamato Salt Typhoon, ha violato alcuni dei maggiori operatori di telecomunicazioni del Paese.

In quest’ultimo caso, emerso per la prima volta alla fine del 2024, gli hacker cinesi sono riusciti a sottrarre registri di chiamate di milioni di americani, a consultare dati di intercettazioni dell’FBI e a rubare comunicazioni non cifrate dal telefono dell’allora candidato presidenziale Donald Trump.

Un primo funzionario statunitense ha detto di ritenere che l’FBI sia intervenuto rapidamente per gestire l’incidente. Ha aggiunto però che è stato "imbarazzante" per l’agenzia subire una violazione da parte degli stessi hacker che dovrebbe monitorare.

E, come ha osservato la stessa fonte, bastano una vulnerabilità non corretta o una debolezza architetturale perché un avversario di quel livello trovi il varco giusto. Purtroppo, la fantasia non serve nemmeno.