Un’operazione di phishing durata più anni contro i settori aerospaziale e della difesa statunitense ha rivelato come gli attaccanti siano riusciti a manipolare con successo le relazioni di fiducia per ottenere software sensibile, anche da dipendenti legati alla NASA.
Secondo i risultati dell’Ufficio dell’Ispettore Generale della NASA, un cittadino cinese ha orchestrato una sofisticata campagna di ingegneria sociale spacciandosi per ricercatori e ingegneri con base negli Stati Uniti. L’aggressore ha utilizzato email accuratamente redatte e identità false per convincere le vittime che stavano comunicando con colleghi legittimi.
Il programma è andato in atto dal 2017 al 2021 e ha rivolto una vasta gamma di organizzazioni, tra cui la NASA, le forze armate statunitensi, agenzie federali, università e aziende private. Le vittime sono state contattate con richieste di accesso a software aerospaziale proprietario e codice sorgente, spesso con la scusa di collaborazione o scambio accademico.
Gli investigatori hanno scoperto che in diversi casi i bersagli hanno inconsapevolmente rispettato, inviando dati controllati o limitati senza rendersi conto che il destinatario faceva parte di un’operazione legata all’intelligence straniera. Si ritiene che il software rubato abbia applicazioni nella modellazione aerodinamica e nello sviluppo avanzato di armi, sollevando preoccupazioni per la sicurezza nazionale.
L’individuo dietro la campagna è stato identificato come Song Wu, un ingegnere associato a una società aerospaziale e di difesa statale cinese. Le autorità statunitensi lo hanno accusato nel 2024 di frode bancaria e furto d’identità aggravato. È ancora latitante ed è inserito tra i sospettati ricercati.
L’operazione si basava fortemente sull’ingegneria sociale piuttosto che su exploit tecnici. Gli attaccanti investirono tempo nella ricerca di obiettivi, nella costruzione di persona credibili e nel mantenere una comunicazione a lungo termine per stabilire fiducia. In alcuni casi furono utilizzate ripetute richieste di software e metodi di pagamento o trasferimento irregolari, che gli investigatori poi evidenziarono come segnali d’allarme.
I funzionari hanno sottolineato che il caso dimostra come anche organizzazioni altamente tecniche restino vulnerabili ad attacchi incentrati sugli uomini. Bypassando i controlli di sicurezza tradizionali e sfruttando le relazioni professionali, la campagna è riuscita a estrarre informazioni sensibili senza destare immediati sospetti.
L’incidente riflette un modello più ampio di spionaggio informatico, in cui gli attori minacciosi danno priorità al furto di credenziali, all’impersonificazione e alla manipolazione della fiducia rispetto alla compromessa diretta del sistema. Gli esperti di sicurezza continuano a sottolineare l’importanza della consapevolezza dei dipendenti e di procedure di gestione rigorose delle tecnologie controllate all’esportazione per ridurre l’esposizione ad attacchi simili.