Il 4 settembre, il New York Times ha rivelato(nuova finestra) dettagli su Salt Typhoon — una campagna di hacking sponsorizzata dallo stato cinese(nuova finestra) che ha silenziosamente infiltrato il software aziendale statunitense utilizzato da milioni di persone. I metodi suoneranno familiari a chiunque nel settore tech, sicurezza o governo: router compromessi, metadati rubati, vulnerabilità senza patch. Ma la portata è ciò che rende Salt Typhoon(nuova finestra) diverso.

L’attacco è un abbattimento sistematico e continuo dell’infrastruttura su cui gira il nostro mondo digitale. Ma più di questo, è un campanello d’allarme che ci ricorda che scorte di dati scrapati, pratiche di sorveglianza di routine e la pressione governativa in tutto il mondo per indebolire la crittografia(nuova finestra) stanno mettendo sempre più a rischio le nostre informazioni.

Un sistema di spionaggio globale nascosto in bella vista

Salt Typhoon fa parte di un’operazione più ampia guidata dal Ministero della Sicurezza di Stato cinese. Questi attori hanno silenziosamente ottenuto l’accesso a telecomunicazioni(nuova finestra), reti governative, trasporti, alloggi e sistemi militari, non solo negli USA, ma in più di 80 paesi(nuova finestra), inclusi Regno Unito, Canada, Germania, Giappone e altri.

Salt Typhoon è stato collegato all’hack di AT&T alla fine del 2024, in cui è stato rivelato che attori statali cinesi potevano geolocalizzare e registrare le chiamate(nuova finestra) e i messaggi di decine di milioni di persone negli USA.

Quest’ultimo rapporto suggerisce che Salt Typhoon ora colpisce così tanti sistemi che i funzionari sospettano possa aver rubato informazioni a quasi ogni americano(nuova finestra).

Il Cybersecurity Advisory(nuova finestra) (CSA) — composto da molteplici agenzie di sicurezza, incluse NSA, CISA, FBI e partner internazionali — ha confermato che Salt Typhoon non è un evento isolato. Invece, è una campagna di spionaggio duratura e coordinata che prende di mira le infrastrutture critiche a livello globale(nuova finestra), alimentando ciò che l’avviso descrive come un “sistema di spionaggio globale”.

Cos’è Salt Typhoon?

Salt Typhoon è una campagna di hacking iniziata nel 2021 ed è stata collegata a entità con legami con i servizi di intelligence cinesi. Attacca l’infrastruttura internet: i router backbone, i dispositivi edge e le VPN da cui dipendono le telecomunicazioni. Sfrutta bug noti in apparecchiature comuni di Cisco, Ivanti e Palo Alto che non sono stati corretti.

Una volta all’interno, Salt Typhoon prende di mira strumenti che esistono già nell’hardware, trasformando essenzialmente le normali operazioni di gestione della rete in strumenti di sorveglianza segreta.

Nascondendosi all’interno dell’infrastruttura principale, Salt Typhoon è stato in grado di copiare silenziosamente credenziali, record e metadati per mesi senza attirare alcuna attenzione. Il CSA ha notato che Salt Typhoon è rimasto nascosto per oltre 18 mesi, mantenendo il controllo del sistema mentre raccoglieva dati in lotti difficili da rilevare.

Cosa puoi fare per stare al sicuro

Gran parte del danno di Salt Typhoon è già stato fatto, ma ci sono passaggi che puoi intraprendere per ridurre il tuo rischio e proteggere le tue comunicazioni. Questi si applicano sia che tu sia un individuo, un’azienda o un’impresa più grande:

La crittografia end-to-end è essenziale per la sicurezza

Salt Typhoon dimostra che qualsiasi vulnerabilità di rete è solo una porta aperta che aspetta di essere trovata.

La crittografia end-to-end garantisce che anche se una rete è compromessa, l’aggressore potrebbe essere in grado di raccogliere alcuni metadati, ma non può accedere al contenuto di un file o messaggio. Senza E2EE, un aggressore che si infiltra nell’infrastruttura delle telecomunicazioni, come Salt Typhoon, può monitorare conversazioni e testi in tempo reale.

La Cybersecurity and Infrastructure Security Agency (CISA) ha persino esortato individui altamente mirati — alti funzionari, giornalisti, leader politici — a utilizzare strumenti crittografati end-to-end come Signal per proteggersi(nuova finestra). La stessa logica si applica a tutti.

Le persone comuni affrontano minacce costanti, inclusi furto d’identità, frode finanziaria, sorveglianza aziendale e hacker comuni che cercano di sfruttare link deboli. Se le persone più potenti al governo hanno bisogno della crittografia end-to-end, ne abbiamo bisogno anche noi.

Ed è per questo che gli sforzi continui per minare la crittografia — dall’Investigatory Powers Act del Regno Unito all’Assistance and Access Act dell’Australia fino alle leggi proposte nell’UE — sono così pericolosamente fuorvianti. Salt Typhoon ci mostra esattamente cosa succede quando esistono backdoor: gli avversari le trovano. La crittografia o protegge tutti, o non protegge nessuno.

La crittografia deve reggere

La sicurezza sarà sempre difficile in un mondo costruito sulla sorveglianza. Come la recente violazione Salesloft Drift, questo attacco mostra quanto sia fragile la nostra infrastruttura quando le aziende raccolgono troppe informazioni e non riescono a proteggerle adeguatamente. Ma i sistemi che sono privati by design sono anche più sicuri by design, ed è questo il modello verso cui dobbiamo muoverci.

Proton è stata fondata sul principio che la privacy è un diritto umano fondamentale. Ecco perché offriamo servizi — email, VPN, calendario, archiviazione file — tutti protetti con crittografia end-to-end. Ed è per questo che continueremo a combattere ogni tentativo di indebolirla.