L’analisi di FireEye

Di Luke McNamara, Principal Analyst di FireEye

Nonostante in anni recenti si sia osservata una diminuzione nei furti di proprietà intellettuale, si continuano a registrare attività di spionaggio informatico in ambito medico da parte di gruppi di cyber spionaggio cinesi.

Il recente report presentato da FireEye suI gruppo APT41 conferma, infatti, come le organizzazioni nel settore sanitario e farmaceutico siano state un loro obiettivo primario.

 

Nello specifico, questo gruppo di attaccanti, attivo dal 2012, ha effettuato intrusioni in molti settori, tra cui gaming, telecomunicazioni, istruzione superiore e non ultima la sanità. Nel 2015 APT41 si è introdotta in un’azienda di biotecnologie e ha sottratto informazioni altamente critiche su operazioni aziendali, compresi i dati di sperimentazione clinica di farmaci sviluppati, informazioni accademiche e i finanziamenti per le attività di ricerca e sviluppo. Tuttavia, APT41 non è l’unico gruppo di cyber spionaggio cinese a effettuare questo tipo di operazioni.

I primi rilevamenti da parte di FireEye risalgono infatti al 2014 e vedono diversi gruppi di cyber spionaggio attivi in Cina, rivolgersi a strutture sanitarie universitarie, produttori di dispositivi medici, aziende farmaceutiche e altri soggetti coinvolti nella ricerca medica. Queste attività di cyberspionaggio si sono estese oltre i confini degli Stati Uniti e spesso si rivolgono a organizzazioni che hanno come obiettivo la ricerca sul cancro.

Ad esempio, all’inizio di quest’anno, i gruppi di cyber attaccanti cinesi hanno avviato una campagna di spear-phishing verso una struttura di ricerca medica universitaria specializzata contro questa malattia. La stessa struttura è stata presa di mira da APT41 alla fine del 2018, mentre nel 2017, APT10 ha colpito le sue vittime utilizzando come esca informazioni relative a due conferenze giapponesi sul cancro. Tattiche e obiettivi simili sono state collegate ad altri gruppi cinesi che conducono campagne di cyber spionaggio in tutto il mondo.

L’interesse per la ricerca contro il cancro. Le motivazioni

Con l’aumento del tasso di presenza del cancro e l’invecchiamento della popolazione, il governo cinese ha avviato – tramite il progetto politico denominato “Made in China 2025” – un’attività di rafforzamento dell’industria farmaceutica nazionale. Anche se è difficile valutare pienamente l’entità, anni di furti di dati di ricerca potrebbero iniziare ad avere un impatto importante, come provato dal fatto che, secondo quanto riferito, le aziende cinesi ora producono farmaci antitumorali a un costo inferiore rispetto alle aziende occidentali.

Oltre ad affrontare il cancro, la Cina mira a diventare un centro di innovazione biotecnologica a livello mondiale, e come tale potremmo non comprendere appieno quanto le intrusioni informatiche osservate a queste organizzazioni siano di supporto per il raggiugimento di questo obiettivo.

A detta di tutti, la minaccia di furti nella ricerca medica non è solo un problema di sicurezza informatica. All’inizio di quest’anno diversi ricercatori sono stati licenziati dal MD Anderson per preoccupazioni di legami con il governo cinese.

Il National Institute of Health (NIH) ha riferito di aver avviato un controllo più serrato sui legami con l’estero presso le proprie strutture di ricerca. Mentre le tradizionali operazioni di human intelligence (HUMINT) possono svolgere un ruolo nel furto di dati, le intrusioni informatiche possono consentire una raccolta su larga scala degli stessi a costi inferiori.

Data la natura degli obiettivi, è probabile che gli attacchi alle istituzioni di ricerca medica differiscano da quelli di spionaggio cinese rivolti alle assicurazioni sanitarie. Tali attacchi infatti erano focalizzati sulla raccolta massiva di dati e potrebbero poi essere usati a supporto di nuove operazioni di intelligence.

L’approccio che i gruppi di spionaggio cinesi hanno adottato per colpire i ricercatori nel campo medico rispecchia in molti modi quello di altre campagne rivolte a settori chiave.

Ad esempio, APT40, un altro gruppo di cyber spionaggio cinese, ha preso di mira diversi soggetti coinvolti nella ricerca marittima, tra cui le università. Inoltre, se alcune realtà sono percepite come obiettivi più facili da colpire – e possono avere accesso ai medesimi dati delle grandi organizzazioni – gli attaccanti si concentreranno maggiormente su questi anelli deboli della catena. In particolare, in questo caso, organizzazoni di ricerca medica universitaria con minori risorse possono essere viste come obiettivi più facili da compromettere.

L’importanza delle innovazioni medico-sanitarie e biotecnologiche per il futuro sviluppo economico nazionale e la creazione di posti di lavoro è evidente. Per contrastare la minaccia proveniente da questi gruppi di spionaggio sarà necessario un approccio che coinvolga tutti i principali stakeholder governativi, accademici e aziendali. Le organizzazioni in questa piramide dovrebbero affrontare la minaccia rappresentata dalle campagne di cyber spionaggio cinese come una minaccia per le supply chain, riconoscendo che anche entità con procedure di sicurezza mature possono essere esposte a futuri rischi aziendali se le organizzazioni partner con accesso ai loro dati vengono compromesse.

Per garantire la giusta competitività nella futura ricerca medica sarà necessario attivarsi maggiormente con l’obiettivo di proteggere l’intero ecosistema.