Nella vasta arena della cybersecurity, l’operazione Salt Typhoon emerge come una delle campagne di cyber-spionaggio più vaste e sofisticate mai registrate. Il gruppo, attribuito al governo cinese, ha infiltrato le reti di decine di operatori telefonici e internet provider in tutto il mondo, acquisendo milioni di registri telefonici, comunicazioni e persino dati sensibili di funzionari governativi. Questa analisi approfondita mette a fuoco obiettivi, tecniche, paesi colpiti e le potenziali conseguenze per la sicurezza globale.
Contesto e portata dell’operazione
Salt Typhoon è responsabile di uno dei più ampi attacchi contro le infrastrutture globali: ha violato le reti di alcune tra le principali compagnie telefoniche e provider internet, sottraendo decine di milioni di registrazioni telefoniche riguardanti funzionari governativi senior. L’indagine indica che gli attacchi non erano isolati, ma parte di una strategia più ampia legata alla preparazione di scenari bellici nel contesto di tensioni con Taiwan. Il gruppo ha preso di mira soprattutto i router Cisco ai margini delle reti aziendali, oltre a dispositivi di sorveglianza legali usati dai provider USA per l’accesso alle comunicazioni da parte delle forze dell’ordine.
È risultato un attacco su ampia scala: oltre 200 aziende nel mondo sono state colpite, con un elenco di paesi in continua estensione.
Tra le vittime confermate negli Stati Uniti figurano grandi operatori come AT&T, Verizon, Lumen (ex CenturyLink), Viasat, Charter (Spectrum), Windstream e Consolidated Communications. Altri obiettivi includono le National Guard di alcuni stati USA. A livello internazionale, attacchi sono stati documentati in Canada, Brasile, Argentina, Messico, Myanmar, Sudafrica, Bangladesh, Indonesia, Malesia, Thailandia, Giappone, Australia, Nuova Zelanda, Regno Unito, Norvegia, Paesi Bassi, Italia, Finlandia e Polonia. Anche università e centri governativi hanno subito infiltrazioni, con target che includono infrastrutture critiche e militari.
Tecniche di attacco e mezzi operativi
L’elemento distintivo di Salt Typhoon è la capacità di compromettere componenti chiave delle reti, come router Cisco, sfruttando vulnerabilità note e configurando tunnel GRE verso server di comando, per persistere invisibilmente all’interno delle reti. Questo modus operandi è documentato anche da studi di Recorded Future e altri analisti, secondo i quali il gruppo ha penetrato decine di dispositivi esposti online in varie nazioni.
In precedenza, queste tecniche di intrusione avevano già portato Salt Typhoon a compromettere hotspot di intercettazioni “lawful intercept” usati da operatori statunitensi, sfruttandoli per accedere a comunicazioni riservate. L’FBI ha definito la campagna come “una delle più significative azioni di cyber-spionaggio della storia” e ha emanato allerte per l’adozione di messaggistica con cifratura end-to-end.
Implicazioni strategiche e infrastrutturali
Le ripercussioni sono dinamiche e globali. Il coinvolgimento dell’FBI e di alleati internazionali segnala un chiaro inasprimento del ruolo delle telecomunicazioni come teatro di guerra invisibile. La capacità di monitorare comunicazioni governative e militari in tempo reale apre scenari di sorveglianza continua e perdita di sovranità informativa.
Un altro problema strutturale evidenziato è la fragilità delle infrastrutture critiche globali, dove la compromissione di un singolo provider può propagarsi con effetti sistemici. Numerose agenzie e analisti internazionali hanno invitato al rafforzamento della sicurezza, richiedendo misure come segmentazione di rete, autenticazione avanzata e rimozione completa degli attori malevoli invece di soluzioni parziali.
Misure di difesa e riflessioni future
Per far fronte a minacce di questa portata, è cruciale implementare una defense-in-depth nei backbone telecom: aggiornamento continuo dei dispositivi, sistemi di monitoraggio centralizzati, isolamento delle infrastrutture di gestione, e adozione di identità a chiave pubblica per gli amministratori. La cifratura end-to-end delle comunicazioni rappresenta un ulteriore tassello fondamentale.
Inoltre, la minaccia Salt Typhoon solleva questioni etiche e politiche legate a backdoor legali. L’uso di strumenti concepiti per consentire l’accesso governativo alle comunicazioni ha mostrato come possano diventare veicolo di intrusioni esterne. L’equilibrio tra sicurezza pubblica e sicurezza infrastrutturale richiede una riflessione seria sulla progettazione di tali sistemi.
Infine, la cooperazione transnazionale è imprescindibile: strumenti condivisi, intelligence congiunta e azioni coordinate possono arginare la diffusione di attacchi simili, rinforzando la resilienza delle reti critiche.
Salt Typhoon non è solo una campagna di hackeraggio avanzato. È un campanello d’allarme per un nuovo ordine delle telecomunicazioni: dove la rete è terreno strategico, la sorveglianza è guerra e la protezione della comunicazione è un diritto che va salvaguardato con rigore scientifico, tecnico e politico.
