Il Giappone e la minaccia cyber

Negli ultimi mesi il Giappone è stato target di campagne cyber di diverse tipologie, alcune delle quali si inseriscono in specifiche dinamiche geopolitiche.

Campagne state-sponsored cinesi e la questione dell’Indo-Pacifico

Lo scorso 8 gennaio, la National Police Agency (NPA) del Giappone ha pubblicato gli esiti di un’analisi condotta con il National Center of Incident Readiness and Strategy for Cybersecurity (NCSC) su una prolungata campagna APT che ha impattato organizzazioni, aziende e individui del Paese.

Sulla base delle evidenze raccolte da diversi Dipartimenti di Polizia, NPA e NCSC accusano ufficialmente il gruppo state-sponsored cinese Stone Panda (MirrorFace).

L’operazione si è articolata in tre fasi: la prima (dicembre 2019 – luglio 2023) ha mirato a think tank, governi, politici e media; la seconda (febbraio – ottobre 2023) si è rivolta contro i settori dei semiconduttori, manifatturiero, delle comunicazioni, accademico e aerospaziale; la più recente (giugno 2024) ha colpito persone e organizzazioni del mondo accademico, dei think tank, della politica e dei media. Nel complesso, l’interesse degli attaccanti si è concentrato su informazioni di tecnologia avanzata e relative alla sicurezza.

A distanza di pochi giorni, il procuratore degli Stati Uniti Jacqueline C. Romero, il Dipartimento di Giustizia e l’FBI hanno annunciato un’operazione di Polizia che ha portato all’eliminazione del malware PlugX da migliaia di computer infetti in tutto il mondo. Da agosto 2024 a gennaio 2025, la minaccia è stata disinstallata da circa 4.200 fra computer e reti statunitensi. Inoltre, a partire da settembre 2023 è in corso un’attività globale contro PlugX che sta coinvolgendo altre Forze di Polizia e almeno una compagnia di cybersecurity.

Il malware è stato distribuito dall’avversario cinese Mustang Panda in una versione sviluppata specificamente su commissione del governo di Pechino, con funzionalità wormable, che hanno consentito la diffusione attraverso periferiche USB.

Questo attacco, avviato almeno nel 2014, ha impattato target statunitensi, governi e aziende europee e asiatiche, oltre a gruppi di dissidenti cinesi. Fra le vittime vi sarebbero numerosi Paesi, fra cui Giappone, Taiwan, Hong Kong, Corea del Sud, Mongolia, India, Myanmar, Indonesia, Filippine, Thailandia, Vietnam e Pakistan. Fra luglio 2023 e dicembre 2024, si apprende da altre analisi, Mustang Panda ha distribuito PlugX contro il Ministero della Difesa della Mongolia, il Partito Comunista del Vietnam e altri target in Giappone, Malesia, Stati Uniti, Etiopia, Brasile, Australia e India.

L’interesse geostrategico della Cina per il Giappone fonda parte delle proprie motivazioni nella questione dell’Indo-Pacifico, sollevata nel 2007 dal premier giapponese Shinzō Abe in un discorso tenuto al Parlamento indiano. Abe proponeva un’alleanza strategica in funzione anticinese che, nel 2021, è stata ripresa in una diversa versione, basata sull’immagine del “security diamond”. Quest’ultimo progetto mirava a creare un’alleanza fra India, Giappone, Australia e lo Stato delle Hawaii per contrastare l’ascesa cinese tramite progetti infrastrutturali, politiche di interdipendenza economica e alleanze securitarie. Secondo recenti analisi, il contesto geopolitico e le previsioni di sviluppo economico faranno sì che la regione dell’Indo-Pacifico diventerà oggetto di interesse sempre crescente per USA, Cina e Unione Europea, in un rinnovato ordine mondiale.

La campagna hacktivista del gruppo filorusso NoName057(16)

A metà ottobre 2024, il collettivo hacktivista filorusso NoName057(16) ha rivendicato decine di offensive contro realtà attive soprattutto nei settori governativo, della manifattura, finanziario e dei trasporti. Fra i target, la Japan Shipbuilders Association, il Porto di Nagoya (impattato nel 2023 da un attacco ransomware che ebbe importanti ripercussioni sulla logistica della regione), il porto di Shimonoseki, gli aeroporti di Fukuoka e Aomori, Konan Bus.

NoName057(16) ha dichiarato di voler protestare contro le esercitazioni militari congiunte con gli Stati Uniti che erano state programmate alla fine del mese nei dintorni di Hokkaido, l’isola è la più settentrionale del Giappone. A nord di essa si estende l’arcipelago delle isole Curili – che ora appartengono all’oblast’ di Sachalin –attraverso il quale si è variamente spostato il confine fra Russia (impero russo/URSS) e Giappone.

Offensive DDoS e attacchi ransomware

NTT Docomo, la più grande Telco giapponese, ha subito un consistente attacco DDoS che si è protratto dalle prime ore del mattino, fino al tardo pomeriggio di giovedì 2 gennaio 2025. Gli utenti locali non hanno potuto accedere al sito web di notizie, alla piattaforma di streaming video, ai servizi di pagamento mobile e di webmail e a un sito web di appassionati di golf di NTT Docomo.

Da allora, nessun ulteriore elemento sarebbe stato pubblicato ufficialmente. A margine, è stato fatto notare che la compagnia ha subito nel 2023 un attacco ransomware rivendicato dall’avversario Ransomed.vc e che Japan Airlines (JAL), ha subito un presunto attacco DDoS nel dicembre scorso. Tutti questi fatti, però, al momento restano irrelati.

Inoltre, un attacco ransomware ha impattato, ad ottobre scorso, la compagnia Casio. Rivendicata dall’operatore ransomware Underground, la violazione avrebbe impattato documenti riservati, finanziari e legali, dati personali di circa 8.500 persone, contratti NDA (non disclosure agreement), brevetti, progetti e riferimenti ad incidenti.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence