Stati Uniti, Regno Unito, Unione Europea, NATO, Australia, Canada, Nuova Zelanda e Giappone hanno accusato il governo cinese di essere il responsabile degli attacchi effettuati all’inizio di marzo dal gruppo Hafnium contro i server Microsoft Exchange. Unione europea e Regno Unito hanno elencato altri attacchi eseguiti da gruppi collegati al Ministero della Sicurezza di Stato della Repubblica Popolare Cinese.
La Cina ha finanziato gli attacchi contro Exchange
Per seguire gli attacchi contro i server Exchange sono state sfruttate quattro vulnerabilità zero-day. Dopo aver installato le web shell, il gruppo Hafnium ha avuto accesso alle email. Gli stessi bug sono stati successivamente sfruttati per installare cryptominer e ransomware. Microsoft ha rilasciato le patch in poco tempo, consentendo di bloccare i tentativi di accesso. I rimanenti computer sono stati “ripuliti” dall’FBI.
Nel comunicato della Casa Bianca viene esplicitamente indicato il Ministero della Sicurezza di Stato come responsabile di vari attacchi, in quanto finanziatore dei cybercriminali che hanno colpito aziende, agenzie governative e infrastrutture critiche in diversi paesi. Gli Stati Uniti sono certi che il suddetto Ministero ha pagato Hafnium per effettuare operazioni di cyberspionaggio utilizzando le vulnerabilità zero-day di Microsoft Exchange.
Unione europea e Regno Unito aggiungono inoltre che il governo cinese ha finanziato altri attacchi ad opera di gruppi noti come APT31 e APT40. In questi casi i principali bersagli sono stati il Parlamento finlandese, politici, service provider, agenzie governative e aziende che operano nell’industria marittima e nel settore della difesa navale.
Il Dipartimento della Difesa degli Stati Uniti ha accusato di vari reati quattro cittadini cinesi, tre dei quali erano dipendenti dello Hainan State Security Department (HSSD), un ramo provinciale del Ministero della Sicurezza di Stato. Secondo alcuni ricercatori di sicurezza, le quattro persone erano membri del gruppo APT40.