Negli ultimi giorni il panorama della sicurezza internazionale è stato scosso da una nuova ondata di allarmi coordinati contro Salt Typhoon, un gruppo di attori avanzati ritenuto responsabile di intrusioni mirate alle reti di telecomunicazioni e a numerosi altri settori critici.

L’iniziativa che ha riportato il caso al centro dell’attenzione è la pubblicazione di un avviso congiunto da parte di diverse agenzie di intelligence e cybersicurezza, tra cui NSA, CISA e FBI per gli Stati Uniti, il National Cyber Security Centre del Regno Unito, il Bundesnachrichtendienst tedesco e istituzioni equivalenti in Canada, Australia, Nuova Zelanda, Giappone e in altri Paesi europei, inclusa l’Italia.

La diffusione simultanea del documento riflette un livello di allerta elevato e testimonia la volontà di rafforzare la cooperazione internazionale contro minacce che, per portata e capacità di persistenza, non possono essere gestite in modo isolato dai singoli Stati.

Ma facciamo una premessa.

La notorietà di Salt Typhoon

Salt Typhoon è divenuto noto al grande pubblico dopo la rivelazione di una campagna condotta contro operatori di telecomunicazioni statunitensi.

La notorietà derivante dall’esposizione non ha tuttavia determinato una riduzione delle attività del gruppo.

Diversi rapporti successivi hanno evidenziato nuove compromissioni in altri Paesi, con un’estensione geografica che copre decine di giurisdizioni e una platea di vittime che include società di servizi Internet e segmenti delle infrastrutture di trasporto e ospitalità.

L’approccio efficace dell’attacco di Salt Typhoon contro reti Tlc

Il documento congiunto descrive le modalità di attacco. Il gruppo concentra la propria attenzione sugli apparati di rete.

Una volta compromessi, questi elementi vengono utilizzati per mantenere un accesso persistente e invisibile, sfruttando la possibilità di alterare le configurazioni, creare backdoor software e utilizzare le relazioni di fiducia già stabilite tra reti interconnesse.

L’approccio risulta particolarmente efficace poiché rende difficile distinguere le attività malevole dal traffico ordinario e consente agli attaccanti di muoversi lateralmente senza destare sospetti.

Le agenzie internazionali hanno sottolineato che, in molti casi, non è stato necessario ricorrere a exploit sconosciuti: l’arma principale è stata la mancata applicazione tempestiva di patch su vulnerabilità note, circostanza che avrebbe potuto ridurre in modo significativo il raggio d’azione della campagna.

Il documento non si limita a descrivere le tecniche impiegate dagli aggressori, ma invita esplicitamente i responsabili della sicurezza delle reti a mettere in atto una serie di misure di mitigazione.

L’attenzione è rivolta soprattutto alla gestione degli apparati di rete, spesso considerati un’infrastruttura stabile e meno soggetta a controlli stringenti rispetto ai server applicativi.

La prospettiva delineata è quella di un rafforzamento dell’hardening e della segmentazione delle reti, accompagnato da un monitoraggio avanzato capace di individuare comportamenti anomali piuttosto che soltanto indicatori statici di compromissione.

Un elemento di criticità ulteriore

Un aspetto rilevante dell’avviso riguarda il ruolo di alcune aziende cinesi accusate di fornire supporto tecnico e infrastrutturale alle attività di intrusione.

Questa componente commerciale rappresenta un elemento di criticità ulteriore, poiché rende più complessa la distinzione tra attività legittime e operazioni di supporto a campagne offensive.

Gli effetti derivanti dal furto di dati di comunicazione

Il National Cyber Security Centre britannico ha posto particolare attenzione agli effetti derivanti dal furto di dati di comunicazione.

Secondo le analisi, l’accesso a queste informazioni consente di mappare e tracciare spostamenti e contatti di individui in tutto il mondo.

Inoltre il report rileva come il successo delle campagne sia in larga parte da attribuire alla capacità di sfruttare vulnerabilità comuni già note e non corrette. Dunque, buona parte degli attacchi avrebbe potuto essere evitata con una gestione più rigorosa del ciclo di patching.

Sal Typhoon mira alle intercettazioni nelle reti degli operatori Tlc

Una dimensione spesso sottovalutata riguarda i sistemi di intercettazione legale integrati nelle reti degli operatori.

Le intrusioni hanno evidenziato la possibilità di accedere a metadati di chiamate, dati di localizzazione e – in limitati casi – contenuti riferiti a target di alto profilo, impattando anche piattaforme usate per le richieste giudiziarie di wiretapping.

Questo aspetto sposta l’attenzione dal solo danno tecnico al valore strategico dell’informazione, poiché consente la ricostruzione di reti relazionali, pattern di movimento e agenda di soggetti sensibili.

La protezione dei sistemi LI e dei relativi flussi deve quindi essere considerata parte del perimetro critico.

L’impatto potenziale di queste attività va oltre l’aspetto tecnico

Le intrusioni mirate alle telecomunicazioni, infatti, toccano la sfera della riservatezza delle comunicazioni e pongono interrogativi sulla capacità di proteggere la privacy degli utenti.

Gli stessi meccanismi di intercettazione potrebbero essere utilizzati per ricostruire reti di relazioni, percorsi di viaggio e pattern di comportamento.

Oltre agli aspetti tecnici, gli avvisi internazionali richiamano l’attenzione sulla gestione degli accessi amministrativi e sul rischio legato a credenziali esposte o pratiche di autenticazione deboli.

In molti casi, gli aggressori hanno sfruttato configurazioni errate o account privilegiati senza protezioni adeguate. Ne emerge l’esigenza di un investimento strutturale nella formazione del personale tecnico e nella diffusione di procedure standardizzate di gestione delle identità.

La consapevolezza operativa diventa così un elemento tanto cruciale quanto
l’aggiornamento software, poiché la resilienza delle reti dipende anche dal comportamento di chi le amministra quotidianamente.

Cosa serve contro Salt Typhoon per proteggere le reti Tlc

L’iniziativa coordinata contro Salt Typhoon segna un passo significativo verso una maggiore coesione internazionale nel contrasto alle minacce persistenti avanzate.

La scelta di pubblicare un documento congiunto sottolinea l’importanza della condivisione di informazioni, di indicatori di compromissione e di pratiche di difesa comuni.

Si tratta di un approccio che mira a ridurre lo spazio operativo per attori che hanno dimostrato la capacità di muoversi su scala globale, sfruttando differenze normative e vulnerabilità eterogenee tra Paesi.

La risposta collettiva può contribuire a riequilibrare il rapporto di forze, rendendo più difficile il mantenimento di campagne persistenti e aumentando il costo delle operazioni per gli aggressori.

In questo senso l’avviso internazionale non è solo un documento tecnico, ma un
segnale politico e operativo che punta a consolidare un fronte comune nella protezione delle infrastrutture critiche e della sicurezza digitale.