Canada nel mirino di cyberattacchi: la minaccia degli hacker statali cinesi nel settore delle telecomunicazioni
Negli ultimi mesi il panorama della cybersicurezza globale è stato scosso da una campagna di attacchi informatici ai danni di infrastrutture critiche canadesi, in particolare le aziende di telecomunicazioni. Dietro questi attacchi si celano gruppi di hacker identificati come “Salt Typhoon”, collegati al governo della Repubblica Popolare Cinese. L’obiettivo principale è stato l’accesso a dispositivi di rete strategici, sfruttando una vulnerabilità già nota e ufficialmente corretta, denominata CVE-2023-20198, presente nei dispositivi Cisco.
In questo approfondimento analizzeremo le modalità dell’attacco, l’importanza della protezione delle infrastrutture di telecomunicazione, i rischi per la sicurezza nazionale e le migliori pratiche per la prevenzione e la risposta a queste minacce.
Attacchi mirati alle telecomunicazioni: cosa è successo
Nel febbraio 2025, tre dispositivi di rete appartenenti a una grande compagnia canadese di telecomunicazioni sono stati compromessi con successo da attori malevoli riconducibili al gruppo Salt Typhoon. Gli hacker hanno sfruttato la vulnerabilità CVE-2023-20198 per accedere ai file di configurazione dei dispositivi e modificarne almeno uno, creando un tunnel GRE (Generic Routing Encapsulation). Attraverso questa tecnica, i pirati informatici sono riusciti a raccogliere e instradare parte del traffico di rete, potenzialmente accedendo a dati sensibili, incluso il traffico delle comunicazioni e informazioni riservate.
Non solo: indagini parallele hanno evidenziato come gli attacchi non si limitino al settore delle telecomunicazioni, ma siano parte di una campagna più ampia di cyberspionaggio rivolta anche ad altri settori strategici canadesi.
Le tecniche di attacco: focus sulla vulnerabilità CVE-2023-20198
Il punto di ingresso sfruttato dagli hacker è stato una falla in dispositivi Cisco già nota alla comunità della sicurezza e per cui era stata rilasciata una patch correttiva. Tuttavia, molti dispositivi non erano stati aggiornati tempestivamente, lasciando una finestra aperta per gli aggressori. Una volta entrati nei dispositivi edge – elementi chiave che governano l’accesso e l’instradamento dei dati nelle reti aziendali – i cybercriminali hanno potuto:
- Consultare e modificare i file di configurazione
- Creare tunnel di comunicazione non autorizzati (GRE tunnel) per deviare e intercettare il traffico
- Usare i dispositivi compromessi come trampolino di lancio per nuove intrusioni sulla stessa rete o su reti collegate
Questi attacchi mettono in luce la criticità dei dispositivi di frontiera delle reti, spesso meno controllati rispetto ai server centrali ma fondamentali per la sicurezza complessiva dell’infrastruttura IT.
Motivi e obiettivi degli attacchi
Il principale movente di questi attacchi sembra essere lo spionaggio: sono stati presi di mira soprattutto dati sulle comunicazioni interne, potenzialmente appartenenti a dipendenti governativi, funzionari politici e clienti di particolare interesse strategico. Il rischio, tuttavia, non si limita alla perdita di informazioni: il controllo di dispositivi di rete consente la compromissione di ulteriori sistemi e la possibilità di preparare attacchi più sofisticati, come la manipolazione del traffico, la diffusione di malware all’interno delle organizzazioni e l’interruzione dei servizi.
Rischi per la sicurezza nazionale e ripercussioni geopolitiche
Gli attacchi di Salt Typhoon rappresentano una minaccia diretta alla sicurezza nazionale del Canada. L’accesso non autorizzato a dati sensibili e l’infiltrazione di infrastrutture vitali possono compromettere la riservatezza e l’integrità delle comunicazioni di enti governativi e aziende chiave. Non è un caso che sia la Canadian Centre for Cyber Security che l’FBI abbiano diramato un’allerta rivolgendosi a tutte le organizzazioni del settore a rafforzare le proprie difese.
A livello geopolitico, la vicenda si inserisce in un clima di crescente tensione tra Occidente e Cina, con Pechino che nega ogni coinvolgimento diretto nonostante le prove tecniche raccolte dagli investigatori e le sanzioni varate già all’inizio dell’anno dalle autorità statunitensi.
Come difendere le infrastrutture critiche: suggerimenti e buone pratiche
Data la gravità delle minacce, è fondamentale che le aziende – in particolare quelle che gestiscono infrastrutture critiche come le telecomunicazioni – applichino una strategia di difesa multilivello e reattiva. Ecco alcune raccomandazioni chiave:
1. Aggiornamento tempestivo dei dispositivi
- Verificare regolarmente la disponibilità di patch di sicurezza, soprattutto per dispositivi edge come router, firewall e VPN.
- Automatizzare quanto possibile il processo di aggiornamento per ridurre i ritardi e le vulnerabilità note.
2. Monitoraggio continuo della rete
- Implementare sistemi di rilevamento delle intrusioni (IDS/IPS) per identificare attività anomale, come configurazioni modificate o tunnel sospetti.
- Analizzare i log dei dispositivi di rete e attivare allarmi per segnali di compromissione.
3. Segmentazione della rete
- Separare le reti critiche dal traffico meno sensibile.
- Limitare l’accesso amministrativo ai dispositivi di rete a pochi utenti fidati e monitorare tutte le operazioni privilegiate.
4. Backup e risposta agli incidenti
- Mantenere backup aggiornati e offline delle configurazioni di rete.
- Sviluppare piani di risposta agli incidenti che prevedano la rapida identificazione, isolamento e bonifica dei dispositivi compromessi.
5. Formazione del personale
- Sensibilizzare i dipendenti e i tecnici sulle metodologie di attacco attuali e sulle procedure di sicurezza.
- Simulare attacchi (red team) per testare la resilienza dei sistemi e la prontezza delle squadre di risposta.
6. Collaborazione e intelligence
- Partecipare attivamente alle iniziative di condivisione delle minacce (threat intelligence) con le autorità competenti e gli altri operatori del settore.
- Consultare regolarmente bollettini tecnici e avvisi pubblicati da enti governativi e produttori di dispositivi.
Gli attacchi attribuiti a Salt Typhoon costituiscono un monito per tutte le organizzazioni che gestiscono dati e comunicazioni di valore: nessun dispositivo, anche se apparentemente “ai margini” della rete, può essere lasciato senza protezione. Le minacce informatiche di matrice statale rappresentano una sfida in continua evoluzione, richiedendo attenzione costante, investimenti in sicurezza e capacità di adattamento rapido.
Investire nella protezione delle infrastrutture informatiche non solo tutela la continuità dei servizi e la reputazione aziendale, ma salvaguarda anche la sicurezza nazionale e l’integrità delle informazioni di cittadini e istituzioni. Solo attraverso la prevenzione proattiva e la collaborazione tra settore pubblico e privato sarà possibile arginare l’avanzata di attori malevoli sempre più capaci e determinati.
