Le autorità statunitensi hanno confermato di aver interrotto le operazioni di un gruppo di hacker cinese sostenuto dallo stato, che ha infiltrato milioni di computer in tutto il mondo per rubare dati come parte di una campagna di spionaggio durata anni.
Il Dipartimento di Giustizia e l'FBI hanno dichiarato martedì di aver cancellato con successo il malware piantato dal gruppo di hacking cinese, noto come “Twill Typhoon” o “Mustang Panda”, da migliaia di sistemi infetti negli Stati Uniti durante un'operazione autorizzata dalla corte nell'agosto 2024.
Le autorità francesi hanno guidato l'operazione con l'assistenza della società di sicurezza informatica con sede a Parigi Sekoia. In un comunicato stampa dell'anno scorso, i procuratori francesi hanno detto che il malware, conosciuto come “PlugX”, ha infettato diversi milioni di computer a livello globale, tra cui 3.000 dispositivi situati in Francia.
Sekoia ha dichiarato in un post sul blog di aver sviluppato la capacità di inviare comandi ai dispositivi infetti al fine di eliminare il malware PlugX. Le autorità statunitensi hanno detto che l'operazione è stata utilizzata per eliminare il malware da più di 4.200 computer infetti negli Stati Uniti.
Negli atti di tribunale depositati nel tribunale federale della Pennsylvania, l'FBI ha detto di aver osservato il malware, di solito installato sul dispositivo di un obiettivo attraverso la porta USB di un computer, sin dal 2012, e che il malware era stato utilizzato dagli hacker cinesi sostenuti dallo stato dal 2014.
Una volta installato, il malware passa a “raccogliere e predisporre i file del computer della vittima per l'esfiltrazione”, ha detto l'FBI. Le autorità francesi dicono che il malware PlugX viene “utilizzato in particolare per scopi di spionaggio”.
Nella sua dichiarazione di martedì, il Dipartimento di Giustizia degli Stati Uniti ha accusato il governo cinese di pagare al gruppo Twill Typhoon per sviluppare il malware PlugX. La Cina ha a lungo negato le accuse statunitensi di hacking.
Pur non essendo stati specificati i nomi delle vittime specifiche di questa campagna di hacking, l'FBI afferma che Twill Typhoon ha infiltrato i sistemi di “numerosi” enti governativi e privati, anche negli Stati Uniti. Tra i bersagli significativi figurano aziende di navigazione europee, diversi governi europei, gruppi dissidenti cinesi e vari governi dell'Indo-Pacifico, secondo l'FBI.
Twill Typhoon si aggiunge alla crescente lista di gruppi di hacking sponsorizzati dallo stato cinese con il nome Typhoon. Questa lista include Volt Typhoon, un gruppo di hacker governativi cinesi incaricato di preparare il terreno per attacchi informatici distruttivi, e Salt Typhoon, il gruppo sostenuto dalla Cina responsabile dell'hacking di massa di aziende telefoniche e di internet statunitensi.
Secondo Microsoft, che ha sviluppato il sistema di denominazione dei gruppi di hacking, Twill Typhoon (precedentemente noto come “Tantalum”) ha una storia di successo nel compromettere macchine governative in Africa ed Europa e organizzazioni umanitarie in tutto il mondo.
Microsoft non ha risposto immediatamente alle domande di TechCrunch martedì.
Questo è l'ultimo di una lunga lista di operazioni autorizzate dalla corte intraprese dalle autorità statunitensi negli ultimi anni per contrastare la crescente minaccia proveniente da avversari stranieri che mirano ai dispositivi americani. Nel corso del 2024, l'FBI ha effettuato diverse operazioni che coinvolgono la rimozione di malware e il controllo di botnet dannose, con l'obiettivo di interrompere le campagne supportate dalla Cina che mirano all'infrastruttura critica degli Stati Uniti.
Funzionari della sicurezza nazionale degli Stati Uniti hanno precedentemente descritto le capacità offensive cibernetiche del governo cinese come una “minaccia che definisce l'epoca”.
