Cyber attacco a SharePoint: la Cina alza il livello della guerra cibernetica

L'ombra del Dragone su SharePoint: una nuova era di cyberwarfare

L'attacco a Microsoft SharePoint, orchestrato da gruppi di hacker legati allo Stato cinese, ha scosso le fondamenta della sicurezza informatica globale. Non si tratta di un semplice incidente, ma di un chiaro segnale che la guerra cibernetica ha raggiunto un nuovo, inquietante livello. Centinaia di organizzazioni, inclusa la National Nuclear Security Administration statunitense, sono state compromesse. E l'onda d'urto ha colpito anche Italia, Regno Unito e Francia, estendendosi a settori vitali come i servizi finanziari.

Questo attacco si inserisce in quella che viene definita una "Guerra Liminale", un conflitto pervasivo dove ogni settore diventa un campo di battaglia. Pechino, come rivelato da un rapporto del CSS, ETH Zürich, ha compiuto una "ascesa fulminante" a potenza cibernetica globale, perseguendo il dominio attraverso spionaggio, sabotaggio e furto di proprietà intellettuale su scala planetaria. Una strategia che, a detta dell'allora direttore dell'FBI Christopher Wray nel 2023, è "più grande di quella di ogni altra grande nazione combinata".

SharePoint nel mirino: vulnerabilità e tempistiche sospette

La falla, identificata come CVE-2025-53770, ha un punteggio di criticità altissimo: 9.8 su CVSS v3.x. Permette di falsificare credenziali e, peggio ancora, di eseguire codice arbitrario da remoto sui server. Il tutto senza bisogno di autenticazione. La vulnerabilità, causata da una deserializzazione di dati non attendibili nel framework ASP.NET di SharePoint, è stata presentata a maggio dal ricercatore vietnamita Dinh Ho Anh Khoa alla conferenza Pwn2Own di Berlino. Microsoft ha rilasciato una patch l'8 luglio, ma si è rivelata inefficace, aprendo un'autostrada per gli aggressori.

Ciò che insospettisce ancora di più è la tempistica. I partner del Microsoft Active Protection Program (MAPP) erano stati avvisati dei bug tra il 24 giugno e il 7 luglio. Proprio il 7 luglio, Microsoft ha rilevato i primi tentativi di exploit da parte degli hacker cinesi, il giorno prima del rilascio delle patch. Un tempismo che ha sollevato forti dubbi su una possibile fuga di notizie dal MAPP. Dustin Childs di Trend Micro, organizzatore di Pwn2Own, ha apertamente suggerito che "lo scenario più probabile è che qualcuno nel programma MAPP abbia utilizzato tali informazioni per creare gli exploits". Se così fosse, sarebbe un colpo durissimo alla fiducia e all'efficacia delle difese collettive, trasformando uno strumento di protezione in un'arma per gli avversari. Non è la prima volta: Microsoft espulse un'azienda cinese dal programma oltre un decennio fa per una violazione simile.

Chi sono gli attaccanti e cosa cercano?

Microsoft ha identificato tre gruppi di hacker che hanno sfruttato attivamente le vulnerabilità dei server SharePoint locali:

• Linen Typhoon: sostenuto dallo stato cinese, focalizzato sul furto di proprietà intellettuale dal 2012. I loro obiettivi: governi, difesa, pianificazione strategica e diritti umani.
• Violet Typhoon: anch'esso legato allo stato cinese, dedito allo spionaggio dal 2015. I loro bersagli sono vastissimi: ex personale governativo e militare, ONG, think tank, istituzioni educative, media, settori finanziari e sanitari in USA, Europa e Asia orientale. Un interesse a 360 gradi per la raccolta di intelligence su vasta scala.
• Storm-2603: un terzo gruppo con "livello di fiducia medio" sulla base cinese, che potrebbe indicare l'emergere di nuovi attori o una tattica di diversificazione per eludere l'attribuzione.

Questi attori non si limitano a sottrarre dati, ma installano spesso "backdoor" persistenti, rubando chiavi crittografiche per garantirsi accesso a lungo termine. L'attacco a SharePoint è l'ennesima riprova di una minaccia sistemica.

L'Italia nel mirino e la fragilità dell'"on-premise"

La maggior parte delle vittime si trova negli Stati Uniti, ma l'Italia, il Regno Unito e la Francia sono ormai nel raggio d'azione dei criminali informatici cinesi. L'Agenzia per la Cybersicurezza Nazionale (ACN) ha reagito prontamente, rilasciando un alert dettagliato e allineandosi alle raccomandazioni internazionali.

Le vulnerabilità hanno colpito i server SharePoint locali (on-premise), non il servizio cloud di Microsoft. Molte grandi organizzazioni, inclusi enti governativi, continuano a utilizzare SharePoint locale per esigenze di conformità o inerzia tecnologica. Una scelta che, purtroppo, espone a rischi significativi quando emergono vulnerabilità "zero-day" come queste.

Microsoft ha risposto con aggiornamenti di sicurezza urgenti e ha raccomandato di modificare le chiavi crittografiche dei server per neutralizzare le backdoor. Nonostante le critiche e le ripetute violazioni (come l'attacco a Exchange nel 2021), l'azienda ha ribadito il suo impegno per la sicurezza con la "Secure Future Initiative". Tuttavia, la percezione è che Microsoft si concentri troppo sull'espansione nel cloud e nell'intelligenza artificiale, trascurando la sicurezza fondamentale dei suoi prodotti.

Il cyber power cinese: una forza inarrestabile

Il cyber power cinese è una forza da non sottovalutare. La Cina, sotto la leadership di Xi Jinping, ha riorganizzato la PLA creando una Forza di Supporto Strategico (SSF) focalizzata su cyber, spazio e guerra elettronica. Questa riorganizzazione, unita a una strategia di "fusione militare-civile" (MCF) che coinvolge anche aziende private come Baidu e Alibaba nello sviluppo militare classificato, rende il cyber power cinese unico e particolarmente insidioso.

Le radici di questa forza affondano negli "Honkers", hacker patriottici nati negli anni '90 che, da autodidatti, si sono evoluti in un ecosistema offensivo sofisticato. Come evidenziato dal rapporto di Eugenio Benincasa, le università cinesi collaborano attivamente con la PLA e il Ministero della Sicurezza di Stato (MSS) per condurre operazioni di cyber spionaggio sponsorizzate dallo Stato, reclutando talenti e sviluppando strumenti avanzati.

Un esempio lampante del disprezzo cinese per le norme internazionali è la Tianfu Cup: una competizione di hacking dove le vulnerabilità scoperte vengono consegnate al governo cinese prima che i fornitori ne siano a conoscenza. Un difetto in Apple segnalato alla Tianfu Cup nel 2018, ad esempio, è stato usato per due mesi in campagne di spionaggio prima di essere corretto. Inoltre, le aziende cinesi vengono penalizzate se rivelano vulnerabilità senza prima consultare il governo, come accaduto con Log4j.

Conclusioni: una minaccia in continua evoluzione

L'attacco a SharePoint è un monito. La cyberwarfare non è più una minaccia distante, ma una realtà che impatta direttamente la sicurezza nazionale, l'economia globale e le relazioni internazionali. La capacità cinese di integrare sforzi statali, militari e civili nel cyberspazio rappresenta una sfida sistemica per le democrazie occidentali.

Urge rafforzare le difese, investire massicciamente nella sicurezza e promuovere una cooperazione internazionale, anche se la fiducia tra le superpotenze è ai minimi storici. L'Italia, con le indicazioni dell'ACN, si posiziona come parte attiva nella difesa del fronte cibernetico occidentale. La battaglia nel cyberspazio è appena iniziata, e la vigilanza deve essere costante.