Da giovani nerd, armati solo di tastiera e orgoglio nazionale, a vera e propria spina dorsale dell'apparato di spionaggio della Cina. Per capire da dove vengono, chi sono e come si sono formati i cyber guerrieri di Pechino bisogna partire dagli Honkers. Fino ad un paio di decenni fa erano per lo più brillanti studenti, abili con i pc e dannatamente patriottici, che attaccavano siti stranieri per difendere l'onore della Repubblica Popolare Cinese. Le loro abilità hanno attirato l'attenzione delle autorità nazionali che hanno pensato bene di arruolarli in via ufficiosa. Il risultato? Molti degli ex Honkers oggi operano all'ombra degli apparati statali e guidano operazioni di cyber-spionaggio che terrorizzano governi, aziende e infrastrutture critiche sparse in tutto il mondo.
Gli hacker freelance della Cina
Come ha raccontato Wired in una lunghissima inchiesta, la Cina ha trasformato anonimi studenti patriottici parte di un movimento spontaneo in una rete fluida di hacker freelance, contractor e agenti legati a doppia mandata con l'intelligence nazionale. Gli Honkers erano saliti alla ribalta tra la fine degli anni '90 e i primi Duemila. Avevano formato, dal nulla, gruppi denominati Green Army ed Evil Octal, e lanciavano attacchi informatici – rigorosamente patriottici - contro obiettivi occidentali che ritenevano irrispettosi nei confronti della Cina. Gli attacchi erano poco sofisticati – per lo più defacement di siti web e operazioni di negazione del servizio contro entità negli Stati Uniti, a Taiwan e in Giappone – ma questi ragazzi affinarono le loro competenze al punto da essere contattati dall'Esercito Popolare di Liberazione (Epl) cinese.
I migliori di loro furono incoraggiati a partecipare a un concorso di hacking affiliato all'Epl, furono invitati a partecipare ad appositi campi di addestramento e, nel giro di poche settimane, anonimi nerd appassionati di pc svilupparono strumenti di hacking, studiarono tecniche di infiltrazione nelle reti e condussero attacchi simulati. Tra i gruppi più noti spiccava il Network Crack Program Hacker (NCPH). Tra le sue innovazioni figurava il rootkit GinWui, una delle prime backdoor di accesso remoto sviluppate in Cina, utilizzato insieme a decine di exploit zero-day in una serie di attacchi informatici "senza precedenti" contro aziende ed enti governativi statunitensi durante la primavera e l'estate del 2006. Secondo Adam Kozy, ex analista dell'FBI e ora a capo della società di consulenza SinaCyber, questi hacker agirono per conto dell'Epl.
La spina dorsale informatica del Dragone
All'epoca gli attori di NCPH venivano pagati circa 250 dollari al mese. Pochi anni dopo, come ha sottolineato VeriSign iDefense, il compenso aumentò fino a 1.000 dollari, una cifra importante per la Cina di quel periodo. Non è finita qui, perché in seguito il ministero della Sicurezza dello Stato (MSS), ovvero l'agenzia di intelligence civile cinese, avrebbe (il condizionale è d'obbligo) arruolato alcuni di questi hacker. Sarebbero entrati a far parte di un gruppo denominato APT 41, gruppo poi incriminato nel 2020 dal Dipartimento di Giustizia degli Stati Uniti per aver hackerato oltre 100 obiettivi, compresi sistemi governativi.
Tutto o quasi, insomma, sarebbe partito dagli Honkers. Eugenio Benincasa, ricercatore senior in cyberdifesa presso il Center for Security Studies dell'Università ETH di Zurigo in Svizzera, ha raccontato come questo gruppo di giovani esperti sia diventato uno dei cyberspie più prolifici della Cina. "Non si tratta solo del fatto che abbiano creato una cultura hacker implicitamente allineata con gli obiettivi di sicurezza nazionale ma anche delle relazioni personali che hanno creato e che vediamo ancora riflesse negli APT di oggi", ha spiegato Benincasa.
Rispetto agli hacker occidentali, motivati
dalla curiosità, dalla sfida intellettuale e dal vanto, gli Honker erano mossi da spirito patriottico. Adesso non si chiamano più Honker: sono cyber guerrieri esperti e cooptati all'interno della rete istituzionale cinese.