La finanza globale è vittima della campagna spyware cinese

Negli ultimi mesi le agenzie investigative e di intelligence statunitensi e tedesche hanno emesso importanti avvisi che il software fiscale imposto dal governo cinese contiene malware, che consente l’accesso backdoor alle applicazioni che lo installano.

Foto da Internet

Se le accuse sono vere, le unità locali di società straniere che operano in Cina e le istituzioni finanziarie globali saranno esposte al rischio. Tuttavia, mentre alcuni paesi stanno adottando misure urgenti per mitigare questo rischio, i settori pubblico e privato del Giappone sembrano essere lenti nell’agire per proteggere le sue istituzioni finanziarie e le sue società.

Il 25 giugno, la società di sicurezza informatica statunitense Trustwave Holding ha emesso un avviso sullo spyware incorporato nel software Intelligent Tax incaricato dal governo cinese, che le società statunitensi che operano in Cina devono installare dalle banche locali. Una volta installato il software, la backdoor sarà segretamente incorporata nei sistemi delle aziende, ha avvertito Trustwave.

Il 23 luglio il consiglio ha spinto il Federal Bureau of Investigation degli Stati Uniti a emettere un avvertimento alle società americane che operano in Cina. L’FBI ha avvertito che il software per l’imposta sul valore aggiunto fornito da due distributori esclusivi – Baiwang Cloud e Aisino Corp. – conteneva malware che consente l’accesso backdoor.

Pechino ha negato con forza le accuse secondo cui i produttori cinesi di apparecchiature per le telecomunicazioni, inclusa Huawei Technologies, avrebbero installato spyware e accessi backdoor, lasciando le aziende statunitensi nella confusione.

Alcuni osservatori hanno suggerito che gli Stati Uniti stiano cercando di fare ondate nella nuova guerra fredda che si è sviluppata dalla rivalità sino-americana, ma l’Ufficio federale tedesco per la protezione della costituzione – che presumibilmente è inimicizia con gli Stati Uniti – il 21 agosto ha emesso un avviso simile alle società tedesche che operano in Cina. Berlino ha confermato lo stesso spyware dell’FBI e raccomanda alle aziende tedesche di adottare le misure necessarie sulla base delle informazioni fornite, si legge nell’avviso.

L’Ufficio federale per la protezione della Costituzione è un’agenzia di intelligence che fa capo al ministero degli interni tedesco e non è un organo della magistratura. Ha lavorato a stretto contatto con l’FBI sullo spyware cinese, con documenti statali tedeschi sull’argomento che notano che “le informazioni sono state fornite dall’FBI”. Anche l’ambasciata degli Stati Uniti in Germania ha twittato: “Germania e Stati Uniti si uniscono contro lo spionaggio informatico cinese e le attività mirate”.

In una mossa rara, questa questione ha indotto Stati Uniti e Germania a unire le forze. Sebbene tale cooperazione bilaterale in materia di intelligence non avvenga necessariamente tutti i giorni, i due paesi evidentemente considerano la minaccia dello spyware abilmente predisposto come estremamente grave e potenzialmente sta creando un effetto domino nelle aziende e nelle istituzioni di tutto il mondo.

Il processo di installazione e gli effetti del software fiscale cinese sono i seguenti:

(1) In primo luogo, le società straniere che operano in Cina sono tenute a installare il software Intelligent Tax per pagare le loro imposte sul valore aggiunto, con poche opzioni per evitare il rischio.

(2) Lo spyware viene scaricato segretamente due ore dopo l’installazione del software Intelligent Tax. Il ritardo di due ore è la chiave per l’installazione surrettizia del malware.

(3) Una volta scaricato lo spyware, i sistemi dell’azienda verranno rilevati. Un programma arbitrario verrà eseguito in remoto attraverso la backdoor in modo che la Cina possa manipolare i sistemi dell’azienda.

(4) L’effetto può quindi andare oltre le unità locali delle società estere. Poiché i sistemi hackerati di società straniere in Cina sono collegati alle sedi centrali e ad altre reti, il rischio di malfunzionamenti e furti di informazioni potrebbe diffondersi in tutto il mondo.

(5) L’effetto può andare oltre, poiché i sistemi delle società sono anche collegati alle istituzioni finanziarie tramite sistemi di regolamento. Pertanto, lo spyware cinese può tentare di penetrare nelle reti delle istituzioni finanziarie attraverso queste società.

Allora cosa fanno Baiwang Cloud e Aisino?

Baiwang Cloud afferma di essere un fornitore leader di servizi di fatturazione fiscale ed elettrica intelligenti in Cina. Nel frattempo, Aisino è una società di sicurezza delle informazioni quotata in borsa.

Il software fiscale di Baiwang Cloud si chiama “Golden Tax”, mentre quello di Aisino si chiama “Intelligent Tax”. In effetti, Golden Tax è stato sviluppato da NouNou Network Technology, una filiale di Aisino. Secondo quanto riferito, NouNou ha installato spyware nel software Golden Tax di Baiwang Cloud.

Si scopre che Aisino è coinvolto sia nel software fiscale che nello spyware. Secondo un diagramma di correlazione realizzato da Trustwave, un’area blu situata al centro del diagramma si riferisce ad Aisino e alle sue controllate, che sviluppano software fiscali e spyware, mentre una parte verde si riferisce agli effettivi fornitori di software fiscali.

Lo spyware incorporato nel software di fatturazione Golden Tax fornito da Baiwang è stato denominato “GoldenHelper”, mentre il malware backdoor nascosto nel software Intelligent Tax di Aisino è stato soprannominato “GoldenSpy”. Trustwave ha scoperto che i due malware sono in realtà lo stesso software.

La società madre di Aisino, che a quanto pare ha svolto un ruolo centrale in questa campagna di malware backdoor, è China Aerospace Science & Industry Corp., o CASIC, un’impresa statale che progetta e produce una gamma di armi, secondo un Credit Suisse.Molti dirigenti di Aisino sono salutati da CASIC, dice il rapporto.

CASIC è legato all’Esercito popolare di liberazione e ha le sue origini nel Quinto Istituto di ricerca del Ministero della difesa nazionale cinese, istituito nell’ottobre 1956.

L’azienda è ora conosciuta come il più grande produttore cinese di sistemi di armi missilistiche. Ad esempio, ha sviluppato il Dongfeng-21D, o DF-21D, missile balistico anti-nave a medio raggio, noto come “carrier killer” o “Guam killer”, il che significa che potrebbe colpire obiettivi come gli aerei vettori o il territorio statunitense di Guam nell’Oceano Pacifico. La società è nella “Entity List” degli Stati Uniti, una lista nera commerciale di imprese straniere soggette a sanzioni statunitensi.

Tutti questi fatti non dovrebbero lasciare dubbi sul fatto che la campagna per nascondere le backdoor nel software fiscale imposto dal governo cinese fa parte di un piano di spionaggio industriale ideato e orchestrato da Pechino.

In un’ulteriore svolta alla storia, in seguito alla pubblicazione del rapporto su GoldenSpy, Trustwave ha anche scoperto che CASIC aveva frettolosamente consegnato un programma di disinstallazione, progettato per rimuovere lo spyware.

“Dopo che GoldenSpy è stato reso pubblico, quelli dietro la backdoor si sono affrettati a spingere un programma di disinstallazione per cancellare GoldenSpy dai sistemi infetti”, ha detto Trustwave in un rapporto pubblicato ad agosto. “Il programma di disinstallazione è stato eliminato da un modulo di aggiornamento, ha pulito GoldenSpy e alla fine si è cancellato senza lasciare tracce. Un altro programma di disinstallazione è stato rilasciato subito dopo”, secondo il rapporto.

Mentre Trustwave aspettava le mosse successive dell’attore della minaccia, ha scoperto che “stanno continuando a inviare nuovi programmi di disinstallazione di GoldenSpy – finora abbiamo scoperto cinque varianti per un totale di 25 file di disinstallazione”.

Trustwave ha fatto risalire il software di disinstallazione a Ningbo Digital Technology, un’azienda cinese che fornisce soluzioni software professionali e supporto tecnico. Il sito Web dell’azienda fornisce due file per il download: GoldenSpy Uninstaller e un contagocce GoldenSpy, secondo Trustwave.

Un esperto di sicurezza presso un istituto finanziario giapponese che ha seguito la campagna dannosa cinese utilizzando il software di fatturazione fiscale obbligatoria, è rimasto stupito dalla capacità di Trustwave di rintracciare tutti i fatti. Ma l’esperto ha lanciato l’allarme sulla risposta lenta e debole del Giappone agli attacchi di malware cinesi.

“Una filiale di una compagnia militare statale cinese sta ponendo una seria minaccia alla sicurezza per i sistemi informatici delle aziende giapponesi che operano in Cina”, ha detto l’esperto. “Ma il governo giapponese, a differenza delle sue controparti statunitensi e tedesche, non è riuscito a rivelare le informazioni e ad emettere un avvertimento”.

L’inazione del governo giapponese di fronte alla grave minaccia alla sicurezza informatica è dovuta alla struttura altamente compartimentata della sua organizzazione, che impedisce gli sforzi integrati per la sicurezza informatica? O il governo ha deciso di evitare di dare una risposta forte ai risultati per paura di danneggiare le migliori relazioni Giappone-Cina?

In ogni caso, lo spyware è una minaccia continua alla sicurezza delle società giapponesi che operano in Cina.

Se l’amministrazione del primo ministro giapponese Yoshihide Suga è davvero impegnata nella digitalizzazione della società e dell’economia del paese, dovrebbe agire rapidamente per migliorare la difesa della nazione contro tali minacce alla sicurezza informatica.

Prima di tutto, Tokyo deve effettuare revisioni di sicurezza di emergenza per valutare la preparazione dei sistemi delle aziende giapponesi che operano in Cina e altrove contro i possibili rischi di pirateria informatica e intrusione. Ciò richiederà al governo giapponese di lavorare a stretto contatto con le autorità di sicurezza e intelligence degli Stati Uniti e dei paesi europei.

In particolare, i sistemi utilizzati dalle istituzioni finanziarie per i regolamenti devono essere rigorosamente esaminati e verificati.

È inoltre fondamentale stabilire un sistema nazionale efficace per emettere allarmi tempestivi sui potenziali rischi e minacce alla sicurezza informatica e adottare rapidamente misure per affrontarli.

Il National Center of Incident Readiness and Strategy for Cybersecurity (NISC) del gabinetto avrebbe dovuto emettere qualche tempo fa segnali di avvertimento su questo particolare malware backdoor. Cosa ha fatto NISC negli ultimi quattro mesi da quando l’FBI ha inviato per la prima volta un avviso alle aziende statunitensi sullo spyware?

È inoltre fondamentale garantire che le informazioni su tali minacce siano condivise tra i settori pubblico e privato. Le aziende, da parte loro, dovrebbero creare un nuovo sistema per condividere ampiamente tali informazioni tra loro.

Un altro prerequisito per una difesa efficace contro le minacce alla sicurezza informatica è una solida cooperazione internazionale. Questa volta, le autorità statunitensi e tedesche hanno compiuto sforzi notevolmente concertati e coordinati per rispondere al malware cinese.

Gli attacchi hanno sottolineato l’urgente necessità per il Giappone di creare un sistema per condividere le informazioni sulla sicurezza con le principali nazioni occidentali e la cosiddetta alleanza di intelligence Five Eyes, che coinvolge Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda.

Tokyo ha anche bisogno di cercare aiuto da società di sicurezza delle informazioni estere che dispongono di tecnologia avanzata e competenze in questo settore. Non possiamo permetterci di lasciare che la Cina rilevi i nostri sistemi di rete tramite unità estere, mentre le azioni concertate ed efficienti di altri paesi ci lasciano indietro.

Traduzione di Arcipelago laogai : in memoria di Harry Wu

Fonte: Nikkei Asia, 06/12/2020

Versione inglese:

Global finance falls victim to China’s spyware campaign

Condividi:

Stampa questo articolo Stampa questo articolo
Condizioni di utilizzo - Terms of use
Potete liberamente stampare e far circolare tutti gli articoli pubblicati su LAOGAI RESEARCH FOUNDATION, ma per favore citate la fonte.
Feel free to copy and share all article on LAOGAI RESEARCH FOUNDATION, but please quote the source.
Licenza Creative Commons
Quest'opera è distribuita con Licenza Creative Commons Attribuzione - Non commerciale 3.0 Internazionale.