Con una coordinazione inusuale, tutti i principali Governi occidentali oggi hanno puntato il dito sulla Cina come attore responsabile degli attacchi portati avanti tempo sfruttando Microsoft Exchange. Lo hanno fatto con alcuni comunicati congiunti della Casa Bianca, del Consiglio Europeo e del National Cyber Security Centre britannico. Tutti si riferiscono alla raffica di attacchi dello scorso marzo, che ha cavalcato quattro vulnerabilità Exchange Server per mettere piede nelle reti di migliaia di organizzazioni. E, potenzialmente, esfiltrarne dati.

Si era ipotizzato sin dall'inizio che gli attacchi fossero riconducibili al gruppo Hafnium, collegato al Governo cinese. Ora l'Amministrazione Biden e i suoi alleati indicano esplicitamente che si è trattato di una attività di attacco e spionaggio sponsorizzata da Pechino. E che ha portato un significativo numero di hacker ostili ad avere accesso ai sistemi colpiti da vulnerabilità Exchange anche sino a questi giorni. Un attacco che, secondo la UE, ha comportato "rischi di sicurezza e perdite economiche significative" per le istituzioni e le imprese. Con "effetti sistemici" per quanto riguarda sicurezza, economia, società.

E non c'è solo la questione vulnerabilità Exchange. Il Governo cinese, e nello specifico il Ministero per la Sicurezza dello Stato (MSS), è indicato come sponsor delle attività criminali di spionaggio dei gruppi APT40 e APT31, anche noti come Leviathan e Zirconium. Si tratta di entrambi i casi di gruppi che erano già stati associati alla Cina, ma è la prima volta che vengono "esposti" da fonti governative così rilevanti.
Perché questa azione congiunta governativa? In parte per dare maggiore rilevanza alle minacce costituite dalle APT state-sponsored. Ma soprattutto, probabilmente, per mettere pressione sulla Cina e spingere qualche gruppo di cyber criminali a scomparire. Almeno per un po'. Si pensa che proprio una pressione simile nei confronti della Russia abbia "convinto" una settimana fa circa il gruppo REvil a scomparire dai radar del Dark Web.

Questa pressione, se porta risultati, ha un importante valore simbolico. Ma in concreto rischia di essere un'arma a doppio taglio. Ad esempio, con la scomparsa di REvil scompare anche la possibilità di acquistare le chiavi di decrittazione del suo ransomware. Pagare un riscatto non è forse un bene, ma è una strada che molti hanno seguito. E la scomparsa di una APT non rappresenta la sparizione dei suoi tool e delle sue piattaforme di attacco, che possono passare ad un gruppo meno "politico".

Aggiornamento: il portavoce del ministero degli Esteri cinese, Zhao Lijian, ha risposto alle accuse affermando che "Gli Stati Uniti si sono uniti ai loro alleati per lanciare accuse infondate contro la Cina sulla questione della sicurezza informatica. Questo atto è una diffamazione a scopo politico".

Zhao ha poi accusato gli USA di essere la più grande fonte al mondo di attacchi informatici, snocciolando le statistiche del National Computer Network Emergency Response Technical Team (CNCERT) cinese e ha ribadito che la Cina “ha sempre sostenuto che gli attacchi informatici sono una minaccia comune contro la quale i Paesi dovrebbero cooperare e dialogare sulla base del rispetto, della fiducia e del vantaggio reciproci”.