Un cittadino cinese è stato incriminato negli Stati Uniti con l’accusa di aver condotto una campagna di “spear-phishing” pluriennale per ottenere accesso non autorizzato a software e codici sorgente creati dalla National Aeronautics and Space Administration (NASA), da università di ricerca e da aziende private.
Come l’ingegnere cinese ha attaccato la NASA
Song Wu, 39 anni, è stato accusato di 14 capi d’accusa per frode telematica (di cui appunto un accesso abusivo alla NASA) e 14 per furto aggravato d’identità; se condannato, rischia una pena massima di 20 anni di carcere per ciascun capo d’accusa di frode telematica e una condanna consecutiva di due anni per il furto aggravato d’identità.
Song era impiegato come ingegnere presso la Aviation Industry Corporation of China (AVIC), un conglomerato cinese statale del settore aerospaziale e della difesa, fondato nel 2008 e con sede a Pechino.
Secondo le informazioni presenti sul sito web di AVIC, l’azienda ha “oltre 100 sussidiarie, quasi 24 società quotate e più di 400.000 dipendenti”; nel novembre 2020 e nel giugno 2021, l’azienda e alcune delle sue sussidiarie sono state oggetto di sanzioni da parte degli Stati Uniti, che hanno vietato agli americani di investire nella società.
Song e i furti di dati alla NASA e ad altre agenzie statunitensi
Song avrebbe condotto una campagna di spear-phishing che prevedeva la creazione di account email per imitare ricercatori e ingegneri statunitensi, utilizzati poi per ottenere software riservati o proprietari specializzati per l’ingegneria aerospaziale e la fluidodinamica computazionale.
Il software poteva essere utilizzato anche per applicazioni industriali e militari, inclusi lo sviluppo di missili tattici avanzati e la progettazione aerodinamica e la valutazione di armi.
Secondo quanto affermato dal Dipartimento di Giustizia degli Stati Uniti (DoJ), queste email venivano inviate a dipendenti della NASA, dell’Aeronautica Militare, della Marina e dell’Esercito degli Stati Uniti, e della Federal Aviation Administration, oltre che a individui impiegati in importanti università di ricerca in Georgia, Michigan, Massachusetts, Pennsylvania, Indiana e Ohio.
I tentativi di ingegneria sociale, iniziati intorno a gennaio 2017 e proseguiti fino a dicembre 2021, hanno preso di mira anche aziende private che operano nel settore aerospaziale (come per l’appunto la NASA stessa).
I messaggi fraudolenti sembravano inviati da un collega, un associato, un amico o altre persone della comunità di ricerca o ingegneria, e richiedevano alle vittime di inviare o mettere a disposizione codici sorgente o software a cui avevano accesso; il DoJ non ha rivelato il nome del software o l’attuale ubicazione dell’imputato.
“Ancora una volta, l’FBI e i nostri partner hanno dimostrato che i criminali informatici di tutto il mondo che cercano di rubare le informazioni più sensibili e preziose delle nostre aziende possono e saranno esposti e ritenuti responsabili“, ha dichiarato Keri Farley, Agente Speciale responsabile dell’FBI di Atlanta.
“Come dimostra questa accusa, l’FBI è impegnato a perseguire l’arresto e la condanna di chiunque si impegni in pratiche illegali e ingannevoli per rubare informazioni protette.”
La conclusione del DoJ statunitense
Contestualmente all’incriminazione, il DoJ ha anche reso pubblico un altro atto d’accusa contro Jia Wei, cittadino cinese e membro dell’Esercito Popolare di Liberazione (PLA), per aver infiltrato una società di comunicazioni statunitense non specificata nel marzo 2017, al fine di rubare informazioni proprietarie relative a dispositivi di comunicazione civili e militari, allo sviluppo di prodotti e ai piani di test.
“Durante il suo accesso non autorizzato, Wei e i suoi complici hanno tentato di installare software dannosi progettati per garantire un accesso persistente e non autorizzato alla rete della società statunitense“, ha affermato il DoJ. “L’accesso non autorizzato di Wei è continuato fino a circa la fine di maggio 2017.“
Lo sviluppo arriva a poche settimane di distanza dall’annuncio dell’Agenzia Nazionale per il Crimine (NCA) del Regno Unito, secondo cui tre uomini, Callum Picari, 22 anni; Vijayasidhurshan Vijayanathan, 21 anni; e Aza Siddeeque, 19 anni, si sono dichiarati colpevoli di aver gestito un sito web che consentiva ai criminali informatici di bypassare i controlli antifrode delle banche e prendere il controllo dei conti bancari.
Il servizio, chiamato OTP.agency, permetteva agli abbonati mensili di sfruttare tecniche di ingegneria sociale per convincere i titolari di conti bancari a divulgare codici OTP (One-Time Password) reali o a rivelare le loro informazioni personali.
Si stima che il servizio clandestino abbia preso di mira oltre 12.500 membri del pubblico tra settembre 2019 e marzo 2021, quando è stato chiuso dopo l’arresto dei tre. Al momento non è noto quanto ricavo illegale abbia generato l’operazione durante il suo periodo di attività.
“Un pacchetto base che costava £30 a settimana permetteva di bypassare l’autenticazione a più fattori su piattaforme come HSBC, Monzo e Lloyds, consentendo ai criminali di completare transazioni fraudolente online“, ha dichiarato la NCA. “Un piano elite costava £380 a settimana e garantiva l’accesso ai siti di verifica di Visa e Mastercard.”