Il tifone cinese Salt si è infiltrato per mesi nella rete della Guardia Nazionale statunitense

Un sofisticato gruppo APT cinese, Salt Typhoon , si è infiltrato con successo nella rete della Guardia Nazionale dell'Esercito degli Stati Uniti per quasi un anno, da marzo a dicembre 2024. Questa violazione, descritta in dettaglio in una nota del Dipartimento della Sicurezza Interna (DHS) di giugno,

Sebbene ciò sollevi preoccupazioni per la sicurezza dei sistemi militari e delle infrastrutture critiche statunitensi, l'attacco non è del tutto inaspettato. Come riportato da Hackread.com, gli infostealer, disponibili a soli 10 dollari, hanno già compromesso sistemi altamente sensibili appartenenti alle forze armate statunitensi e persino all'FBI.

Il promemoria del DHS , che traeva le sue informazioni da un rapporto del Dipartimento della Difesa (DOD) e che è stato successivamente condiviso con NBC News tramite una richiesta di accesso alle informazioni da parte dell'organizzazione no-profit per la trasparenza della sicurezza nazionale Property of the People, ha rivelato che Salt Typhoon ha "compromesso ampiamente" la rete. Sebbene non sia stato specificato lo Stato, l'attacco ha permesso agli hacker di raccogliere informazioni vitali.

Durante il loro accesso prolungato, Salt Typhoon è riuscito a raccogliere dati sensibili, tra cui configurazioni di rete e dettagli sul traffico dati con le unità della Guardia Nazionale in tutti gli altri stati degli Stati Uniti e in almeno quattro territori. È importante sottolineare che queste informazioni rubate contenevano anche credenziali di amministratore e diagrammi di rete, che potrebbero essere utilizzati per facilitare futuri attacchi ad altre unità della Guardia Nazionale.

I dati rubati includevano anche mappe geografiche e informazioni personali identificabili (PII) dei militari. In circa 14 stati, le unità della Guardia Nazionale collaborano a stretto contatto con i "centri di fusione" per la condivisione di informazioni di intelligence, il che significa che la violazione potrebbe avere un impatto più ampio, si legge nel promemoria.

Vale la pena notare che Salt Typhoon (noto anche come GhostEmperor, FamousSparrow, Earth Estries e UNC2286) ha in passato preso di mira il governo degli Stati Uniti e settori infrastrutturali critici, tra cui energia, comunicazioni, trasporti e sistemi idrici.

Come riportato in precedenza da Hackread.com, nel novembre 2024, Salt Typhoon è stato collegato a un attacco informatico significativo ai danni di T-Mobile, evidenziando vulnerabilità nei sistemi di telecomunicazioni. Finora, il gruppo ha compromesso almeno otto importanti compagnie telefoniche e internet statunitensi, tra cui AT&T e Verizon .

Si dice che questi punti di accesso siano stati utilizzati per monitorare le comunicazioni di importanti personaggi politici, tra cui le campagne presidenziali di Harris e Trump e l'ufficio del leader della maggioranza al Senato Chuck Schumer.

Un avviso del giugno 2025 dell'FBI e del Cyber Centre canadese metteva in guardia contro la campagna globale di Salt Typhoon contro le reti di telecomunicazioni, sfruttando vulnerabilità come CVE-2023-20198 nei dispositivi per rubare dati e mantenere un accesso nascosto.

Data la natura complessa delle unità della Guardia Nazionale, che operano sia sotto l'autorità federale che statale, l'incidente potrebbe creare ulteriori spunti per possibili attacchi informatici. Il Dipartimento della Difesa non ha rilasciato dichiarazioni specifiche, ma un portavoce del National Guard Bureau ha confermato la compromissione, osservando che non ha avuto ripercussioni sulle loro missioni.

"Il DHS continua ad analizzare questo tipo di attacchi e sta collaborando strettamente con la Guardia Nazionale e altri partner per prevenire futuri attacchi e mitigare i rischi", ha affermato un portavoce del DHS.

Nel frattempo, il portavoce dell'ambasciata cinese a Washington non ha negato la campagna, ma ha sottolineato che gli Stati Uniti non hanno prove conclusive che colleghino Salt Typhoon al governo cinese. Ciononostante, gli esperti di sicurezza informatica raccomandano di rafforzare i dispositivi di rete, implementare policy più rigorose per le password e abilitare una crittografia avanzata per contrastare tali minacce.

"Volt Typhoon si concentra sul posizionamento per l'interruzione e sulla creazione di un effetto deterrente basato su questo, mentre Salt Typhoon si concentra sul posizionamento per la raccolta di informazioni", ha affermato Casey Ellis , fondatore di Bugcrowd, azienda leader nella sicurezza informatica crowdsourcing con sede a San Francisco, California.

"Un'intrusione nella Guardia Nazionale non è un'operazione 'solo militare'. Gli Stati impiegano regolarmente la propria Guardia Nazionale per supportare la difesa informatica delle infrastrutture civili. Come obiettivo, rappresenterebbero una ricca fonte di ogni tipo di intelligence utile", ha sostenuto Casey.

"L'intelligence guida l'azione, quindi, sebbene l'annuncio del Volt Typhoon sia incoraggiante, è importante ricordare che stiamo fondamentalmente giocando a un gigantesco gioco del whack-a-mole. La vigilanza e gli sforzi continui per la resilienza sono fondamentali per i difensori nazionali di ogni tipo", ha consigliato.