Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

sicurezza informatica

Hacker cinesi nella rete del Governo Usa: è escalation

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

Nei giorni scorsi, le autorità federali hanno confermato che una campagna di hacking su larga scala ha preso di mira i firewall Cisco ASA e Firepower, dispositivi cruciali per la protezione del traffico nelle reti governative. La matrice sembra cinese. Ci sono stati casi precedenti, ma stavolta sembra più grave. E il clima di cyber…

Pubblicato il 29 set 2025
Tania Orrù

Privacy Officer e Consulente Privacy Tuv Italia

Usa cina hacker

Negli Stati Uniti è in corso una delle più delicate crisi di cybersicurezza degli ultimi anni. Nei giorni scorsi, le autorità federali hanno confermato che una campagna di hacking su larga scala ha preso di mira i firewall Cisco ASA e Firepower, dispositivi cruciali per la protezione del traffico nelle reti governative.

Data breach nei firewall Cisco usati da enti governativi Usa: tre linee di riflessione

Il cyber attacco via Cisco al Governo Usa

Gli aggressori hanno sfruttato due vulnerabilità critiche, riuscendo non solo a penetrare i sistemi ma anche a ottenere accesso amministrativo e a mantenere la persistenza delle intrusioni, cioè la capacità di restare nascosti all’interno dell’infrastruttura anche dopo riavvii o aggiornamenti.

A rendere l’episodio particolarmente grave è la natura degli apparati colpiti: non computer periferici o server di supporto, ma gli stessi dispositivi di sicurezza che rappresentano la prima linea di difesa tra la rete interna e il mondo esterno. In altre parole, il “guardiano” del perimetro digitale si è trasformato nel punto più vulnerabile della catena difensiva.

Lo zampino della Cina

Secondo alcuni ricercatori, la campagna sarebbe riconducibile a gruppi di cyber-spionaggio legati alla Cina, già noti per operazioni simili condotte in passato sotto i nomi in codice ArcaneDoor o Salt Typhoon. Sebbene l’attribuzione definitiva resti complessa, a Washington cresce il timore che l’operazione faccia parte di una strategia più ampia di infiltrazione nelle infrastrutture critiche americane.

La reazione USA

La CISA (Cybersecurity and Infrastructure Security Agency) ha reagito con una direttiva d’urgenza, ordinando a tutte le agenzie federali di identificare immediatamente i dispositivi vulnerabili e applicare le patch di sicurezza. Ma la vera sfida sarà stabilire da quanto tempo gli attaccanti abbiano avuto accesso ai sistemi e quali informazioni possano essere state compromesse: un interrogativo che tocca direttamente la sicurezza nazionale.

Il tempismo non sfugge agli osservatori politici: proprio mentre l’amministrazione Trump ha intensificato la retorica contro Pechino, presentando la Cina come la principale minaccia cibernetica globale e rimodulando la strategia federale sulla sicurezza digitale – nonostante il recente accordo TikTok, un attacco di questo livello sembra confermare quella narrativa e rafforzare le posizioni di chi invoca una linea dura sia sul piano tecnologico sia su quello diplomatico.

L’analisi tecnica dell’attacco via vulnerabilità Cisco alle agenzie USA

Per comprendere la portata dell’attacco è utile partire dal dettaglio tecnico.

“Gli attacchi ai dispositivi Cisco di agenzie governative USA, segnalati da CISA, dimostrano la pervasività della minaccia cyber verso infrastrutture critiche”, dice Pierluigi Paganini, Cyber Security Expert e Cybercrime Analyst, abbiamo analizzato l’evento.

Al centro della vicenda ci sono infatti due gravi falle identificate nei firewall Cisco ASA (Adaptive Security Appliance) e Cisco Firepower, dispositivi ampiamente utilizzati per difendere i perimetri delle reti governative e aziendali.

  • CVE-2025-20333: si tratta di una vulnerabilità di esecuzione remota di codice (RCE) con un punteggio di gravità quasi massimo (9,9/10). In pratica, un attaccante esterno non autenticato è in grado di inviare al firewall richieste manipolate che gli permettono di eseguire codice arbitrario direttamente sul dispositivo, come se avesse un accesso fisico.
  • CVE-2025-20362: è una falla di escalation di privilegi. Una volta ottenuto un primo punto di accesso, consente di passare da un livello utente limitato a quello di amministratore, con controllo totale della macchina.

Se, presi singolarmente, questi difetti sono già molto gravi, sfruttati insieme, rappresentano un’arma potenzialmente devastante. Il firewall è infatti concepito per essere il “cancello” che filtra e protegge tutto il traffico di rete, ma in questo caso si trasforma in un punto di ingresso privilegiato che l’attaccante può controllare dall’esterno.

Le implicazioni sono gravi e concrete, perché si tratta di dispositivi installati a protezione di reti federali statunitensi, che custodiscono comunicazioni sensibili, dati classificati e sistemi di supporto alle decisioni governative. Le conseguenze potenziali vanno dalla sorveglianza invisibile del traffico allo spionaggio di informazioni strategiche, dalla manipolazione dei dati fino alla disruption di servizi critici che dipendono da quelle reti.

ArcaneDoor

Una campagna sofisticata: eredità di ArcaneDoor – Come osserva Paganini, “la storia si ripete: falle in apparati utilizzati da enti pubblici, già sfruttate nel 2024 da gruppi come ArcaneDoor, che hanno approfittato di zero-day nelle appliance ASA e FTD di Cisco per operazioni di cyberspionaggio e potenziale compromissione della sicurezza nazionale”.

“Queste campagne”, prosegue l’esperto, rievocano le aggressive offensive contro appliance di sicurezza come i Fortinet FortiGate”, rilevando che “le vulnerabilità in tali sistemi, tracciate come CVE-2022-42475 e CVE-2024-21762, sono state sfruttate da diversi gruppi statali nel corso degli anni”.

Gli investigatori collegano infatti l’attacco alla campagna ArcaneDoor, citata dal nostro esperto e già attribuita a gruppi di cyber-spionaggio sponsorizzati dalla Cina; si tratta di una campagna che si è distinta proprio per l’approccio metodico che, anziché sfruttare vulnerabilità qualsiasi, si è concentrato su tecnologie “a monte” come router e firewall, ossia sui nodi che regolano l’accesso a intere reti.

Un aspetto cruciale è inoltre la persistenza post-reboot: il malware impiantato nei dispositivi compromessi sembra sopravvivere anche a riavvii e aggiornamenti software, insinuandosi nella memoria a basso livello.

Non è la prima volta: i precedenti

Cisco si è già trovata sotto i riflettori per vulnerabilità critiche nei suoi prodotti. Già nel 2018 era stata pubblicata la falla CVE-2018-0171 nei router, sfruttata da gruppi russi per campagne di intrusione globale; nel 2023 e 2024, altre vulnerabilità nei firewall ASA avevano costretto aziende e governi a corse contro il tempo per applicare patch di emergenza.

Paganini ricorda, a questo proposito, un precedente rilevante: “Nel 2023 attori nation-state cinesi hanno utilizzato le falle per distribuire la backdoor ‘Coathanger’ ed ottenere accesso prolungato a reti militari e critiche in Europa e Asia”.

Nel 2023 si è scoperto che un gruppo di hacker legati noto come Volt Typhoon, si è introdotto per diversi anni in una straordinaria gamma di infrastrutture critiche americane, dai porti alle fabbriche agli impianti di trattamento delle acque, in tutti gli Stati Uniti continentali e in territori americani strategici come Guam.

L’anno scorso è emerso che un gruppo di hacker cinesi, soprannominato Salt Typhoon, aveva violato almeno nove compagnie telefoniche americane, dando loro accesso alle chiamate e ai messaggi di importanti funzionari.

La lezione sembra la stessa: dispositivi concepiti per difendere la rete diventano essi stessi bersagli privilegiati, perché la loro compromissione offre un controllo sistemico impossibile da ottenere infettando le singole postazioni.

Cyber spionaggio cinese: la guerra invisibile che minaccia l’Occidente

Attacco via Cisco al Governo USA: perché è diverso questa volta

L’attacco attuale segna un salto qualitativo sia per la sofisticazione tecnica sia perché si inserisce in un clima politico e strategico in trasformazione.

  • Sul piano tecnico, la capacità di nascondersi nella memoria dei firewall indica che non è sufficiente applicare una patch, ma potrebbe essere necessario sostituire fisicamente i dispositivi compromessi.
  • Sul piano politico, le scelte recenti dell’amministrazione Trump hanno alterato gli equilibri della difesa cyber federale, indebolendo alcuni meccanismi di controllo e supervisionando con un approccio più centralizzato e polarizzato rispetto al passato.

Le mosse dell’amministrazione Trump e la ridefinizione delle priorità geopolitiche sulla Cina

Negli ultimi mesi, la Casa Bianca ha adottato decisioni che incidono profondamente sulla capacità degli Stati Uniti di rispondere a incidenti come quello dei firewall Cisco, come:

  • Executive Order di giugno 2025: un ordine esecutivo ha smantellato parte delle misure introdotte da Biden, riducendo obblighi per i fornitori federali in materia di sicurezza del software. Sono stati attenuati requisiti come l’autenticazione multifactor obbligatoria e le attestazioni di sicurezza del codice. Trump ha motivato la decisione parlando di “burocrazia eccessiva”, ma molti esperti ritengono che meno regole significhi anche più margini per falle non gestite, soprattutto quando si parla di vendor globali come Cisco.
  • Smantellamento della Cyber Safety Review Board (CSRB): tutti i membri del board indipendente che analizzava i grandi incidenti cyber sono stati rimossi. La CSRB era stata istituita per “fare luce” su episodi come SolarWinds, Log4j e MOVEit. La sua scomparsa lascia un vuoto rispetto a chi garantirà trasparenza e condivisione di lezioni dopo attacchi sistemici.
  • Il caso Lisa Monaco: Trump ha chiesto pubblicamente a Microsoft di licenziare Lisa Monaco, ex Deputy Attorney General e oggi presidente Global Affairs della società, sostenendo che la sua posizione rappresenti un rischio per la sicurezza nazionale, vista la sensibilità dei contratti federali. L’episodio mostra come la cybersicurezza sia diventata terreno di scontro politico e ideologico, non solo tecnico.
  • Cina, nemico prioritario: secondo analisi tecniche, la nuova strategia cyber della Casa Bianca identifica la Cina come nemico prioritario, ridimensionando l’attenzione sulla Russia. Questa “deprioritizzazione” potrebbe incoraggiare Mosca a muoversi in spazi lasciati scoperti, lasciando Pechino al centro della narrativa pubblica.
  • Tagli al personale e al budget della CISA: la stessa agenzia che ora deve gestire l’incidente Cisco ha subito riduzioni di organico e budget. Per questo molti esperti segnalano che la capacità di monitoraggio e risposta rapida si è già ridotta, creando la situazione paradossale in cui l’agenzia incaricata di proteggere è stato di fatto indebolita proprio ora.

Cybersecurity e geopolitica: una partita a scacchi

La vicenda Cisco è emblematica della nuova cyber-guerra fredda, in cui gli Stati Uniti accusano la Cina di condurre campagne di spionaggio su larga scala e la Cina, dal canto suo, respinge le accuse e denuncia il cyber-espionage statunitense come pratica consolidata.

L’episodio contribuisce ad alimentare la narrativa di una competizione sistemica, dove gli attacchi informatici sono strumenti di pressione geopolitica e la differenza rispetto al passato sta nel fatto che ora la politica interna statunitense influenza direttamente la resilienza tecnica: indebolire board indipendenti, ridurre obblighi normativi o tagliare risorse significa esporre di più il Paese, proprio mentre la minaccia si fa più aggressiva.

Implicazioni per aziende e cittadini

Il caso non riguarda solo Washington, in quanto le vulnerabilità scoperte sono presenti anche in firewall utilizzati da aziende private, incluse multinazionali e infrastrutture critiche europee.

Per il settore privato, le implicazioni sono chiare:

  • Patch immediato dei dispositivi vulnerabili.
  • Monitoraggio avanzato per identificare eventuali anomalie di traffico.
  • Strategia zero-trust per limitare l’impatto di compromissioni perimetrali.
  • Revisione delle supply chain digitali, perché le minacce riguardano non solo il software, ma anche l’hardware di vendor globali.

Per i cittadini, la vicenda è un monito, perché la sicurezza delle proprie comunicazioni e dei propri dati dipende sia dalle scelte aziendali che dalle politiche nazionali e internazionali.

L’attacco ai firewall Cisco non può classificarsi come un semplice “incidente tecnico”, perché sembra piuttosto il simbolo di una fase in cui tecnologia, politica e geopolitica si intrecciano a tal punto da essere divenute praticamente inseparabili.

Per concludere con le parole del nostro esperto, Pierluigi Paganini: “I rischi sono enormi: accesso prolungato alle reti, escalation di privilegi, furto di documenti riservati e/o classificati e, in prospettiva, possibili interruzioni dei servizi essenziali o manipolazioni nella catena decisionale governativa. La costante escalation e la pervasività delle minacce sottolineano la necessità di una maggiore vigilanza e aggiornamenti tempestivi, soprattutto per i sistemi governativi che gestiscono dati sensibili e critici per la sicurezza nazionale”.

La capacità degli Stati Uniti di proteggere le proprie infrastrutture digitali dipenderà stavolta, da patch, aggiornamenti e dalla coerenza delle scelte istituzionali, dalla trasparenza dei processi e dalla fiducia dei cittadini e dei partner internazionali.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

O
Tania Orrù
Privacy Officer e Consulente Privacy Tuv Italia

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • open technology fund

  • privacy online

    Il destino dell’Open Technology Fund dopo i tagli di Trump: l'Ue può salvarlo?

    03 Apr 2025

    di Francesco Macchia

    Condividi
  • modelli AI llm cinesi

  • minacce globali

    Cosa rivela l'attacco cinese a Sharepoint: guerra cyber a nuovi livelli

    28 Lug 2025

    di Gabriele Iuvinale

    Condividi
  • misure sicurezza base nis 2 Relazione ACN 2024 cybersecurity aziende europee Fondi UE per la cybersecurity compliance NIS2 GDPR 231; Misure ACN Piano cyber italiano

  • sicurezza informatica

    Relazione ACN 2024: governance cyber rafforzata, sistema ancora fragile

    20 Mag 2025

    di Angelo Alù

    Condividi