La Cina ha formato un esercito di hacker al servizio del governo
L’attuale leader cinese Xi Jinping ha promosso la formazione di migliaia di esperti
Fin dai primi anni 2000 gli “hacker cinesi” sono il terrore di governi e grandi gruppi industriali. Nell’ultimo ventennio, i pirati informatici della RPC hanno sottratto database governativi, proprietà intellettuali e progetti militari a enti pubblici e aziende multinazionali del calibro di Marriott e Equifax.
Con l’evolversi della digitalizzazione, le nazioni sono sempre più connesse tra loro e dipendenti dai sistemi informatici, motivo per cui, come stiamo vedendo nella guerra tra Russia e Ucraina, avere un buon team di hacker al proprio servizio può rivelarsi un’arma potentissima.
Lo sa bene il presidente cinese Xi Jinping, che dopo il suo insediamento nel 2013 ha posto grande attenzione al tema della cybersecurity, rendendola di fatto un affare di stato. Per chiarire da subito le sue intenzioni, il presidente cinese ha investito capitali enormi sulla ricerca e sulla formazione di nuovi “talenti” da arruolare tra le sue fila e utilizzare in caso di necessità.
Durante il mandato di Xi Jinping, lo Stato cinese ha sistematizzato la formazione di esperti in cybersecurity, alimentato l’accesso degli studenti alle attività pratiche, promosso gare di hacking e, in questo contesto, ha raccolto vulnerabilità da utilizzare negli attacchi informatici rivolti ai competitor esteri.
Oggi, dopo anni di finanziamenti e formazione, le squadre di hacker cinesi rappresentano una seria minaccia alla sicurezza informatica mondiale, racconta Cyberscoop. Le schiere di esperti di cyber sicurezza al servizio del governo costituiscono a tutti gli effetti un esercito informatico composto da centinaia di migliaia di esperti formati nelle università cinesi.
Dalla scoperta dei primi “talenti” al reclutamento universitario
Il reclutamento è iniziato negli anni 2000, quando gli hacker erano pochi e difficili da trovare. In quegli anni, un politico cinese paragonò la ricerca di “nuovi talenti” a “trovare dei fiori in un campo di grano”.
Tra questi “fiori” possiamo citare Tan Dailin del gruppo APT41. Cominciò la sua attività di “hacker patriottico” negli anni 2000, quando operava dalla sua stanza nel dormitorio di Sichuan. Prima di diventare un hacker al servizio della Repubblica Popolare Cinese, Tan fondò il Network Crack Program Hacker, ponendo così una base allo sviluppo dell’hacking in terra cinese.
Tuttavia, la Cina voleva di più. A pochi mesi dalla nomina, il presidente Xi affermò che "la competizione nel cyberspazio è, in ultima analisi, una competizione per il talento". Nel 2014, il governo cinese fondò il Cybersecurity and Informatization Leading Small Group; in seguito, il Ministero dell'Istruzione ricevette l’ordine di standardizzare i contenuti per i diplomi universitari in materia di cybersicurezza.
Il programma prese ispirazione dal National Initiative for Cybersecurity Education degli Stati Uniti e fu redatto da un comitato di accademici provenienti dalle principali università cinesi. Al suo interno veniva indicato un elenco di competenze fondamentali necessarie per conseguire una laurea in cybersicurezza nelle università cinesi.
Nel 2015, il Ministero dell'Istruzione diffuse gli standard a livello nazionale. Subito dopo, nel 2016, Xi promosse il suo Leading Small Group (originariamente concepito come una sorta di comitato temporaneo) a Comitato per la sicurezza informatica e l'Informatizzazione del Comitato Centrale del PCC (CIC). All’epoca era solo uno dei 25 comitati facenti parte del nucleo centrale del Partito e Xi ne assunse la guida.
Sempre nel 2016, Xi lanciò un'agenzia governativa chiamata Cyberspace Administration of China (CAC), allo scopo di istituzionalizzare il lavoro della CIC agli occhi di governi e imprese. Questa mossa consentì di far passare le decisioni prese dal Comitato centrale del PCC come azioni intraprese da un'agenzia di regolamentazione governativa.
Tra i primi atti del CAC ci fu la pubblicazione di una Strategia Nazionale di Sicurezza Informatica per la Cina. Questa portò al passaggio dalla ricerca alla coltivazione dei talenti tramite 9 punti strategici che andavano dall'aumento della consapevolezza della cybersicurezza ai metodi formativi.
Il documento non fu redatto in forma restrittiva per consentire ai governi provinciali di contribuire all’innovazione delle strategie.
I primi modelli formativi per le università
In seguito alla pubblicazione della Strategia Nazionale per la Sicurezza Informatica furono proprio due modelli regionali a prendere il sopravvento. Il primo è quello della National Cybersecurity Talent and Innovation Base cinese, situata nella tristemente nota città di Wuhan, in prossimità di due linee ferroviarie che la rendono facilmente accessibile.
In quest’area sorge un campus di circa 40 km quadrati, di cui un quarto interamente dedicato alla Scuola Nazionale di Cybersecurity, al Laboratorio di Difesa Offensiva, all'Istituto di Ricerca Combinata sulla Cybersecurity e alle strutture di supporto per il calcolo, l'archiviazione dei dati e il poligono informatico.
Il secondo è il Big Data Cyber Range di Guiyang, nato come progetto provinciale nel 2015 e divenuto il teatro prediletto per le gare di cybersicurezza a livello nazionale. Proprio come accaduto per il centro di Wuhan, i politici di Pechino hanno nazionalizzato la struttura con il nome di Guiyang National Big Data Cyber Range nel 2017.
Nel 2017, la Cina divulgò delle riforme per le sue lauree in cyber sicurezza ispirate all'Iniziativa nazionale statunitense e iniziò a designare gli istituti meritevoli con il titolo di World-Class Cybersecurity Schools (WCCS).
La designazione WCCS non fu collegata ad alcun finanziamento o risorsa aggiuntiva, ma ebbe lo scopo di dare prestigio ai singoli istituti. Il titolo prese ispirazione dalla certificazione Center for Academic Excellence-Cyber Operations assegnata dalle agenzie statunitensi, tra cui la National Security Agency e il Department of Homeland Security. La prima tranche di premiati della Cina nel 2017 comprendeva sette università.
In quel periodo, la RPC organizzava delle competizioni nazionali annuali di Hacking per reclutare nuovi studenti. Nel 2016, i migliori hacker cinesi viaggiavano il mondo per partecipare a competizioni simili e spesso portavano a casa il primo posto. Oggi è la Cina ad ospitare centinaia di gare di cybersicurezza alle quali partecipano migliaia di team.
Aumentare il numero di competizioni nazionali permise alla Cina di ottenere un flusso costante di nuove vulnerabilità da utilizzare nelle operazioni di hacking. Non a caso i maggiori esponenti del settore, come il fondatore dell'azienda di sicurezza Qihoo360, dichiararono che le vulnerabilità del software rappresentavano una "risorsa nazionale", al pari di legname e carbone.
Nel 2017, il Ministero della Pubblica Sicurezza cinese impose un limite a questo tipo di attività qualora fossero svolte all’estero: da quel momento in poi, i ricercatori di vulnerabilità software cinesi potevano recarsi all'estero per partecipare alle competizioni solo con l'esplicita approvazione del ministero.
Il PCC voleva che i migliori hacker del Paese mostrassero le loro abilità in patria e ispirassero altri a fare lo stesso. Per attirare gli studenti universitari, nel 2016 il Ministero dell'Istruzione intraprese una collaborazione con il China Information Technology Security Evaluation Center (il 13° Ufficio del Ministero della Sicurezza di Stato, responsabile di alcune operazioni di hacking dell'MSS) per creare una competizione nazionale chiamata Information Security Ironman. La gara che si svolge con cadenza annuale si estende a tutte le province della Cina, coinvolgendo centinaia di università selezionate in base al merito.
Per creare delle realtà simili a quelle delle competizioni estere alle quali gli informatici cinesi non potevano più partecipare (come Pwn2Own), la comunità cinese di infosec lanciò la Tianfu Cup nel 2018. In seguito nacquero altre competizioni mirate allo sfruttamento automatizzato delle vulnerabilità simili alla Cyber Grand Challenge della DARPA.
Per aiutare i team di hacker cinesi, il governo chiese ai ricercatori di divulgare le vulnerabilità trovate entro 48 ore dalla scoperta.
Secondo il Digital Defense Report 2022 di Microsoft, questa politica ha portato la RPC a raccogliere e distribuire un numero enorme di 0-days.
Le politiche per impedire che i ricercatori partecipino a competizioni estere, l'obbligo di rivelare le vulnerabilità al governo entro 48 ore e gli ingenti investimenti in tecnologie per trovare automaticamente le vulnerabilità fanno tutti parte di un piano ben studiato e molto lineare.
Lo stato delle cose
Il rapporto redatto da alcune delle università premiate con il titolo di World-Class Cybersecurity Schools in collaborazione con l'Accademia delle Scienze cinese, il Ministero dell'Istruzione e l'azienda di cybersecurity Beijing Integrity Technology, ci da un’idea abbastanza chiara del panorama attuale.
Secondo gli autori, al momento, la Cina ha un deficit di esperti in cybersicurezza che dovrebbe scendere a 370.000 entro il 2027. Anche se sembra un numero enorme, bisogna considerare che il report del 2017 indicava un deficit di circa 1,4 milioni. I dati indicano la formazione di 30.000 nuovi esperti di cybersicurezza all’anno.
Del resto, l’obiettivo principale della ricerca è di definire il cosiddetto "Metodo 4+3" per le competenze e lo sviluppo del confronto informatico, un approccio pensato per armonizzare i precedenti sette anni di politiche pubbliche in Cina.
Il "4" rappresenta quattro competenze chiave per i professionisti della sicurezza informatica: confronto reale, scoperta delle vulnerabilità del software, "valutazione dell'impatto del combattimento" (probabilmente un eufemismo per la valutazione della sicurezza) e capacità di ingegneria e sviluppo.
Il "3" rappresenta tre metodi per dimostrare le 4 capacità: competizioni di cybersecurity (confronto, esercitazioni difensive e scoperta delle vulnerabilità), "pratiche di confronto" (esercitazioni al poligono informatico e confronto effettivo con la rete) e "crowd testing e risposta agli incidenti" (test di sicurezza aperti, premi per le vulnerabilità del software, competizioni di sicurezza e condivisione della tecnologia).
Il Metodo 4+3 citato dal rapporto servirà alla formazione della nuova massa di hacker che Xi mirava ad arruolare da quando è salito al potere nel 2013. Ciò significa che le squadre di hacker cinesi, se considerate nel loro complesso, non saranno più dominate da singole personalità come Tan Dailin, bensì totalmente asservite al governo cinese.
Nonostante l'impegno profuso dalla Cina in questa attività, le verità fondamentali sulle dinamiche di conflitto nel dominio cibernetico ne limitano il dominio assoluto. Un esempio? Lo sfruttamento di una vulnerabilità può avere un impatto maggiore su un Paese rispetto a un altro: basti pensare all'esposizione del governo statunitense alla compromissione di Solar Winds rispetto a quella della Cina per lo stesso sistema.
Inoltre, le dipendenze condivise, come l'uso diffuso di Windows, possono limitare alcune operazioni. Non a caso il governo cinese spinge da diversi anni per la creazione di un sistema operativo competitivo per il mercato cinese. Al momento non ci sono esempi utili allo scopo, ma se si pensa a quello che sta cercando di fare Huawei dopo l’esclusione dai servizi Google è facile immaginare che nei prossimi anni la Cina investirà parecchio in quest’ambito.
Se la Cina riuscisse a realizzare un ecosistema informatico più autonomo, il panorama internazionale potrebbe cambiare drasticamente. Con un sistema operativo autonomo e svincolato da eventuali contraccolpi, le operazioni potrebbero aumentare in velocità e persistenza offrendo alla Cina un campo di gioco molto più ampio e meno rischioso da attraversare.
Non è passato nemmeno un decennio da quando Xi è salito al potere ma il suo piano di incrementare le capacità informatiche cinesi sta dando i suoi frutti e presto potrebbe diventare l’arma più potente nelle mani della Repubblica Popolare Cinese.
Get the best Black Friday deals direct to your inbox, plus news, reviews, and more.
Sign up to be the first to know about unmissable Black Friday deals on top tech, plus get all your favorite TechRadar content.
Marco Silvestri è un Senior Editor di Techradar Italia dal 2020. Appassionato di fotografia e gaming, ha assemblato il suo primo PC all'età di 12 anni e, da allora, ha sempre seguito con passione l'evoluzione del settore tecnologico. Quando non è impegnato a scrivere guide all'acquisto e notizie per Techradar passa il suo tempo sulla tavola da skate, dietro la lente della sua fotocamera o a scarpinare tra le vette del Gran Sasso.