0 11 minuti 1 mese

Esclusiva GT: la falsa narrativa di Volt Typhoon è una collusione tra politici statunitensi, comunità di intelligence e aziende per ingannare i finanziamenti e diffamare la Cina: rapporto
Pubblicato: 15 aprile 2024 09:01 

 

Etichettare Volt Typhoon, un gruppo di hacker, come un attore sponsorizzato dalla Cina, si è rivelato essere una campagna subdola da parte di politici, comunità di intelligence e aziende statunitensi, che intendevano “prendere due piccioni con una fava” – pubblicizzando la “teoria della minaccia cinese”. ” e finanziamenti fraudolenti da parte del Congresso degli Stati Uniti e dei contribuenti, secondo un ultimo rapporto del Centro nazionale cinese di risposta alle emergenze sui virus informatici ottenuto dal Global Times.

Il 24 maggio 2023, le autorità di sicurezza informatica dei paesi Five Eyes – Stati Uniti, Regno Unito, Australia, Canada e Nuova Zelanda, hanno emesso un avviso congiunto sulla sicurezza informatica, sostenendo di aver scoperto gruppi di attività di interesse associati a uno “stato cinese” attore informatico sponsorizzato”, noto come Volt Typhoon, e queste attività “hanno influenzato le reti nei settori delle infrastrutture critiche degli Stati Uniti”.

L’avviso citava un rapporto pubblicato lo stesso giorno da Microsoft come riferimento principale con il nome Volt Typhoon citato anch’esso nel rapporto Microsoft. Nel rapporto, Microsoft ha affermato che Volt Typhoon è un attore sponsorizzato dallo stato con sede in Cina che in genere si concentra sullo spionaggio e sulla raccolta di informazioni.

Successivamente, i principali organi di informazione occidentali come Reuters, Wall Street Journal e New York Times hanno ampiamente riportato l’avviso e il rapporto di Microsoft. In un rapporto del 24 maggio, il New York Times ha scritto che le agenzie di intelligence statunitensi hanno identificato attacchi informatici contro operatori di telecomunicazioni a Guam e in altri territori degli Stati Uniti e li hanno collegati all’avviso.

Usando questo come scusa, gli Stati Uniti hanno intrapreso una serie di azioni contro il cosiddetto “attacco informatico” proveniente dalla Cina. Ad esempio, nel febbraio 2024, la Casa Bianca ha emesso un ordine esecutivo progettato per migliorare la sicurezza dei porti marittimi creando nuovi requisiti per difese informatiche più forti nel settore e ampliando al contempo le autorità della Guardia costiera statunitense per rispondere agli incidenti di sicurezza informatica. E i media statunitensi hanno notato che tale azione ha fatto seguito all’avvertimento sul “gruppo di hacker legato alla Cina Volt Typhoon”.

In risposta, il Centro nazionale cinese di risposta alle emergenze sui virus informatici, il Laboratorio nazionale di ingegneria per la tecnologia di prevenzione dei virus informatici e il 360 Digital Security Group hanno condotto un’indagine congiunta e ulteriori analisi hanno scoperto che Volt Typhoon ha una maggiore correlazione con il gruppo ransomware o altri criminali informatici.

Diverse autorità di sicurezza informatica negli Stati Uniti hanno spinto la falsa narrativa del Volt Typhoon “sponsorizzato dalla Cina” solo per chiedere più budget al Congresso degli Stati Uniti. Nel frattempo, secondo un rapporto sull’indagine, anche Microsoft e altre società di sicurezza informatica statunitensi vogliono contratti più grandi da parte delle autorità statunitensi di sicurezza informatica.

Un’indagine correlata è iniziata nel maggio 2023, quando gli Stati Uniti hanno iniziato a “divulgare” informazioni su Volt Typhoon, ha detto al Global Times un esperto a conoscenza dell’indagine.

Sebbene l’avviso dei Five Eyes e il rapporto di Microsoft descrivano le tattiche, le tecniche e le procedure (TTP) e gli indicatori di compromissione (IoC) di Volt Typhoon, lo hanno etichettato come un “attore informatico sponsorizzato dallo Stato cinese” senza offrire alcuna attribuzione dettagli.

Il gruppo investigativo ha effettuato statistiche sulle informazioni sui campioni fornite dal rapporto Microsoft e sull’avviso rilasciato dai Five Eyes e ha ottenuto 29 campioni dopo aver rimosso i duplicati. Hanno quindi utilizzato VirusTotal, una piattaforma di scansione antivirus multi-motore di Google, per cercare i campioni uno per uno e ne hanno trovati solo 13.

Ciascuno dei 13 campioni è associato a più indirizzi IP e ciascun indirizzo IP si collega a più campioni.

Gli esperti hanno analizzato cinque indirizzi IP e hanno scoperto che sono correlati ad altri eventi di attacco informatico e che esistono più indirizzi IP associati allo stesso evento di attacco informatico o rischio per la sicurezza informatica. I cinque indirizzi IP si riferivano anche a un evento di attacco informatico, menzionato da ThreatMon, un fornitore statunitense di sicurezza informatica, l’11 aprile 2023 in un rapporto intitolato “The Rise of Dark Power: A Close Look at the Group and their Ransomware”.

Secondo ThreatMon, è stato osservato per la prima volta che Dark Power ha iniziato i suoi attacchi nel gennaio 2023, il che significa che il gruppo era attivo prima del 2023. E almeno 10 istituzioni in tutto il mondo sono state attaccate e ricattate da Dark Power solo nel marzo 2023, e “non c’era nessun collegamento nazionale e settoriale.” Le vittime provenivano da Algeria, Egitto, Repubblica Ceca, Turchia, Israele, Perù, Francia e Stati Uniti.

Gli esperti del gruppo investigativo hanno cercato anche i campioni di malware e l’indirizzo IP nel rapporto pubblicato da Lumen Technologies, ma non sono riusciti a trovare alcun collegamento con gli IoC del rapporto di analisi tecnica di Microsoft e con la consulenza sulla sicurezza informatica dell’alleanza Five Eyes.

Lumen Technologies ha anche pubblicato un rapporto di analisi che collega la botnet KV, una botnet router per piccoli uffici e uffici domestici (SOHO) che forma una rete di trasferimento dati segreta per autori di minacce avanzate, a Volt Typhoon, il 13 dicembre 2023. A

seguito di ulteriori analisi, si è scoperto che l’attore di Volt Typhoon è imparentato con il gruppo di criminali informatici Dark Power, ma Microsoft e Five Eyes si sono affrettati a etichettarlo come “attore sponsorizzato dalla Cina”, secondo il rapporto.

Il gruppo di hacker Volt Typhoon è un’organizzazione criminale informatica ransomware senza supporto statale o regionale, ha detto il portavoce del ministero degli Esteri cinese Lin Jian in una conferenza stampa regolare lunedì commentando il rapporto di indagine, affermando che vari segnali indicano che la comunità di intelligence statunitense e le società di sicurezza informatica sono colluse fabbricare le cosiddette prove e diffondere false informazioni secondo cui il governo cinese sostiene gli attacchi informatici contro gli Stati Uniti, al fine di ottenere stanziamenti di bilancio del Congresso e contratti governativi.

Il portavoce ha affermato che è noto a tutti che gli Stati Uniti sono la principale fonte di attacchi informatici e la più grande minaccia alla sicurezza informatica. Da qualche tempo, alcune persone negli Stati Uniti utilizzano il “tracciamento degli attacchi informatici” come strumento per reprimere la Cina, politicizzare le questioni di sicurezza informatica e violare gravemente i diritti e gli interessi legittimi della Cina. La Cina esorta gli Stati Uniti a cessare immediatamente gli attacchi informatici contro la Cina e a smettere di diffamare e calunniare la Cina, ha osservato Lin.

Per i soldi

Perché gli Stati Uniti, che vantano la più potente tecnologia Internet, sono così ansiosi di attribuire la colpa del Volt Typhoon alla Cina? Il rapporto d’indagine ha offerto alcuni indizi.

Il rapporto rivela che le due società statunitensi che hanno menzionato Volt Typhoon sono partner del governo americano. Appena due mesi prima che Microsoft pubblicasse il suo rapporto, Microsoft ha ricevuto il primo elenco di ordini di attività del valore di circa 3,8 milioni di dollari per il progetto Joint Warfighting Cloud (JWCC) da 9 miliardi di dollari dal Dipartimento della Difesa degli Stati Uniti il ​​24 marzo 2023.

E un mese prima di Lumen Technologies ha pubblicato un rapporto di analisi che collega il KV-Botnet al Volt Typhoon, secondo il rapporto Lumen Technologies aveva appena vinto un contratto quinquennale del valore di 110 milioni di dollari dalla US Defense Information Systems Agency (DISA) il 7 novembre 2023.

Inoltre, ai sensi del Budget and Accounting Act emanato nel 1921, il presidente degli Stati Uniti deve presentare al Congresso, il primo lunedì di febbraio, una relazione sul bilancio, inclusa la richiesta di bilancio del governo federale per il prossimo anno fiscale. Per coincidenza, il 31 gennaio 2024 si è tenuta un’udienza tenuta dal comitato ristretto della Camera sugli attacchi informatici della Cina alla patria e alla sicurezza nazionale americana.

Durante l’udienza, funzionari delle agenzie informatiche statunitensi hanno affermato che Volt Typhoon rappresentava una minaccia per la sicurezza nazionale degli Stati Uniti. e ha chiesto al Congresso di aumentare più fondi nel campo della sicurezza informatica.

Alla fine, nella richiesta di bilancio per l’anno fiscale 2025 annunciata dall’amministrazione Biden l’11 marzo, il budget del governo federale per la sicurezza informatica nei dipartimenti e nelle agenzie amministrative civili ha raggiunto la cifra record di 13 miliardi di dollari, secondo informazioni pubbliche.

Tra le voci elencate, il budget per la Cybersecurity and Infrastructure Security Agency ha raggiunto i 3 miliardi di dollari, con un aumento di 103 milioni di dollari rispetto all’anno precedente. I budget del Dipartimento di Giustizia degli Stati Uniti e del Federal Bureau of Investigation sono aumentati di 25 milioni di dollari specificamente per le “capacità investigative di cyber e controspionaggio”.

Le elezioni presidenziali americane del 2024 si avvicinano. Né il partito repubblicano né quello democratico vogliono perdere voti sulla questione cinese durante la campagna elettorale e, denunciando apertamente la Cina, i membri del Congresso possono anche attirare l’attenzione pubblica e acquisire influenza, dicono gli analisti.

Alcuni dipartimenti e aziende statunitensi stanno cercando di fare fortuna con la falsa narrativa relativa al Volt Typhoon mentre tentano di diffamare la Cina, seminando discordie tra la Cina e altri paesi per contenere lo sviluppo della Cina, afferma il rapporto.

Secondo il rapporto, il governo e i politici degli Stati Uniti mantengono sempre politiche di “piccolo cortile e recinzione alta”, politicizzando persino il tracciamento dell’origine degli attacchi informatici, manipolando Microsoft e altre società per lanciare una campagna diffamatoria contro la Cina per riempirsi le tasche.

Secondo il rapporto, queste narrazioni sul Volt Typhoon non sono vantaggiose per il normale ordine del cyberspazio pubblico internazionale, ma minano solo le relazioni Cina-USA e alla fine mangiano i loro frutti amari.

https://www.cverc.org.cn/head/zhaiyao/futetaifengEN.pdf

Sorgente: Esclusiva GT: la falsa narrativa del Volt Typhoon è una collusione tra politici, comunità di intelligence e aziende statunitensi per ingannare i finanziamenti e diffamare la Cina: rapporto – Global Times