APT1 (Advanced Persistent Threat) è un gruppo di attacchi informatici altamente prolifico che opera fuori dalla Cina. Rintracciati dalla società di sicurezza Mandiant, è stato rivelato come abbiano preso di mira diversi settori chiave a livello globale, con particolare attenzione allo spionaggio informatico in cui l’inglese era la lingua principale.
In una mossa incredibilmente rara, l’evidenza era tale che il Dipartimento di Giustizia degli Stati Uniti rivolse accuse contro i cittadini cinesi coinvolti. Solarworld, Westinghouse e ATI Metals sono stati pubblicamente nominati vittime di APT1.
All’epoca in cui furono rivelati questi attacchi, Solarworld, Westinghouse e ATI Metals erano leader mondiali nei rispettivi settori di materiali solari, nucleari e speciali. Tutti avevano il loro vantaggio competitivo bloccato in una potente combinazione di proprietà intellettuale avanzata e contratti globali. Tre anni dopo: Solarworld e Westinghouse sono stati entrambi dichiarati insolventi, mentre ATI è costantemente scambiata a meno della metà del suo NASDAQ.
In che modo tre aziende, leader di mercato nei rispettivi settori, proprietari di contratti IP e globali all’avanguardia, finiscono per essere insolventi o perdono così tanto valore così rapidamente?
Il mondo nel 2014
Al tempo della compromissione APT1, Solarworld era il leader mondiale nella produzione di pannelli solari, fatturando oltre 750 milioni di euro all’anno e possedendo contratti chiave e proprietà intellettuale. Era ben posizionata per trarre vantaggio da un settore in rapida crescita con una domanda globale.
Westinghouse era il leader mondiale nella progettazione di reattori nucleari, con l’AP1000 recentemente rilasciato considerato il punto di riferimento mondiale per reattori sicuri ed efficienti. I progetti di Westinghouse sono stati alla base dei reattori nucleari più avanzati in produzione, venduti a livello globale.
ATI era ed è tuttora un’organizzazione diversificata con le sue unità di business sia nella produzione di materie prime metalliche sia nella fornitura di materiali ad alte prestazioni ai settori aerospaziale, della difesa e dell’energia, tra gli altri.
Sarebbe negligente dare uno sguardo storico alle vittime di APT1 senza includere anche la Cina, la nazione ospitante del gruppo di attacchi informatici APT1. Il piano quinquennale della Cina per il periodo 2011-2016 è stato progettato per aiutare il Paese a risolvere le principali sfide in materia di urbanizzazione, protezione ambientale e aumento dei consumi interni. In quanto tale, la ricerca e lo sviluppo (R&S) era in cima all’agenda, in particolare per quanto riguarda lo sviluppo dell’efficienza dell’energia nucleare e delle tecnologie per le energie rinnovabili.
COSA NE E’ STATO DEGLI OBIETTIVI DI APT1?
Solarworld
Passiamo ai giorni nostri (2017) e il destino delle vittime degli attacchi informatici dell’APT1 è sorprendente.
SolarWorld è stata ufficialmente dichiarata fallita nell’agosto 2017, con la saturazione del mercato cinese – a partire dal momento dell’attacco APT1 del 2012 – che ha portato l’azienda a una rapida fine.
Come dichiarato dal Dipartimento di Giustizia degli Stati Uniti: “Gli autori hanno rubato segreti commerciali che sarebbero stati particolarmente utili per le aziende cinesi al momento del furto”.
L’effetto che questo ha avuto su SolarWorld è stato profondo. Come disse Ben Santarris, direttore degli affari strategici all’epoca: “C’erano migliaia di e-mail fuoriuscite, molte con dati sensibili che avrebbero potuto fornire tutti i tipi di vantaggi ingiusti”. Tali vantaggi ingiusti includevano IP, informazioni sensibili sui prezzi e persino modi per i concorrenti cinesi di aggirare la regolamentazione americana nascondendo le prove.
In netto contrasto, la Cina da allora ha consolidato la sua posizione di principale nazione con capacità di generare energia solare del mondo, raggiungendo i suoi obiettivi del 2020 nell’agosto 2017 con 112 gigawatt di potenza, equivalenti a circa 100 grandi centrali elettriche a carbone. Allo stesso tempo (agosto 2017), la Cina ha annunciato l’annullamento di 134 progetti sul carbone, in linea con gli obiettivi di “futuro sviluppo energetico” del 13° piano quinquennale 2016-2020. Che le storie di successo cinesi e l’insolvenza di SolarWorld siano state annunciate nello stesso mese è una svolta crudele del destino che serve solo a mettere in evidenza le loro fortune inversamente collegate dall’attacco APT1.
Westinghouse
Westinghouse Nuclear ha presentato istanza di fallimento nel marzo 2017, tre anni dopo l’accusa del 2014 contro i membri di APT1, per attacchi informatici contro la società nel 2010/11.
L’accusa del Dipartimento di Giustizia degli Stati Uniti ha dichiarato che “i cospiratori hanno rubato, tra le altre cose, specifiche tecniche e di progettazione proprietarie e riservate … per quelle centrali nucleari che avrebbero consentito a qualsiasi concorrente che desiderasse costruire un impianto simile di risparmiare sui costi di R&D nello sviluppo di tali progetti.
Il collegamento diretto dell’insolvenza di Westinghouse con l’attacco APT1 è semplicistico, nonostante la capogruppo Toshiba abbia ammesso che “il potere competitivo del Gruppo potrebbe essere indebolito e che l’attività, i risultati operativi e le condizioni finanziarie del Gruppo potrebbero essere influenzati negativamente” in caso di furto di dati riservati. L’insolvenza in sé è ben documentata; sostanzialmente Westinghouse ha esaurito i soldi nel tentativo di costruire i propri progetti di reattore AP1000 di punta in due sedi negli Stati Uniti. Come azienda di progettazione che aveva poca esperienza nella costruzione reale di reattori, forse non è una sorpresa quando i progetti hanno avuto gravi problemi finanziari. La domanda ovvia quindi è: perché hanno dovuto provare?
La risposta potrebbe, ancora una volta, trovarsi in parte a Pechino, che rappresenta di gran lunga il più grande mercato per la vendita dell’AP1000, con un iniziale di 40 (alcune fonti dicono fino a 130) destinato alla costruzione nella sola Cina, più di ogni altro Paese messo insieme. Con lo stallo dei progetti nucleari globali, la pipeline degli ordini di Westinghouse e il continuo successo dell’azienda furono intrinsecamente legati all’interesse cinese.
I primi quattro AP1000 in Cina (o ovunque) avrebbero dovuto essere online entro la fine del 2017. Durante il processo di costruzione di otto anni, Westinghouse ha stipulato accordi congiunti con la State Nuclear Power Technology Corp per trasferire conoscenze e formare scienziati, e solo nel 2010 – nel periodo dell’attacco APT1 a Westinghouse – ha condiviso oltre 75.000 documenti, costringendo l’allora presidente di Westinghouse in Asia ad ammettere che dopo che i primi quattro reattori sono andati online, non c’erano garanzie di ulteriori progetti nucleari che coinvolgessero Westinghouse. In effetti, i cinesi sarebbero in grado di proseguire da soli.
Questa possibilità è stata forse ulteriormente segnalata dallo spin-off cinese autorizzato dell’AP1000, il CAP1400, una variante più grande del reattore di Westinghouse con l’IP di proprietà della Cina. Firmato per la costruzione nel 2014, il primo reattore CAP1400 arriverà online nel 2017, inviando un messaggio forte sul futuro dello stesso AP1000 sul mercato cinese.
Con questo in mente, tornando alla domanda chiave: perché Westinghouse, una società che era redditizia nella vendita di progetti e attrezzature, ha firmato un contratto per consegnare l’intera costruzione di due importanti progetti di costruzione nucleare negli Stati Uniti – qualcosa in cui aveva poca esperienza e dimostrato di essere la sua rovina?
La spiegazione più probabile è che i passi cinesi verso l’autonomia – successivamente aiutati (in parte) dall’attacco informatico APT1 – hanno messo a Westinghouse un’enorme pressione per dimostrare che i suoi progetti erano redditizi per costruire e operare nel difficile mercato interno degli Stati Uniti. Accettò la sfida stessa e alla fine fallì.
ATI Metals
La terza azienda target di APT1 era ATI Metals, ancora leader mondiale in settori specifici, ma a settembre 2017 è stata scambiata a meno della metà del suo massimo triennale 2014.
Come ha dichiarato il Dipartimento di Giustizia degli Stati Uniti nella sua accusa verso APT1: “L’imputato WEN ha rubato le credenziali di rete praticamente per tutti i dipendenti dell’azienda, il che avrebbe consentito un accesso ampio e persistente ai computer di ATI”. ATI è stata esposta a una massiccia perdita di vantaggio competitivo e il suo valore si è dimezzato – la domanda è: perché, e sono collegati i due eventi?
A prima vista, la perdita di valore è facilmente attribuibile alle sfide affrontate dall’industria siderurgica. Nel 2012, esattamente il 50% delle entrate di ATI Metals proveniva da metalli di materie prime, con un fatturato di 2,3 miliardi di dollari, una cifra che nel 2016 era quasi dimezzata a 1,2 miliardi di dollari quando l’azienda si è ristrutturata per concentrarsi sull’altra sua unità aziendale, i materiali ad alte prestazioni. La perdita di entrate dal lato dei metalli di materie prime di ATI si è riflessa in un’industria siderurgica in difficoltà – come per U.S. Steel, per coincidenza la restante vittima commerciale di APT1. Questa lotta è stata presumibilmente influenzata dal dumping cinese dell’acciaio nei mercati globali, cominciato agli inizi degli anni 2000, con accuse di aumenti delle sovvenzioni sponsorizzate dallo Stato all’industria siderurgica che hanno consentito alle imprese cinesi di competere con i loro concorrenti statunitensi. In quanto tale, l’effetto su ATI da parte della concorrenza mondiale dell’acciaio ha già avuto un impatto e non si può dire che sia influenzato dall’attacco APT1 in modo significativo.
E che dire dell’altra metà di ATI, la divisione materiali ad alte prestazioni? Questa parte del business dovrebbe essere aver stabilito un vantaggio competitivo sostenibile attraverso i suoi programmi di ricerca e sviluppo e IP specialistici – e ci aspetteremmo che il rinnovato focus di ATI in questo settore produca una significativa crescita recente.
È interessante notare che il vantaggio competitivo di ATI nei materiali ad alte prestazioni non è particolarmente sostenibile: la divisione è passata da 2,3 miliardi di dollari di vendite nel 2012 a 1,9 miliardi di dollari nel 2016, con un calo abbastanza costante ogni anno.
Inoltre, nonostante il calo dei ricavi nei materiali ad alte prestazioni nel complesso, le vendite ad alte prestazioni nei settori aerospaziale e della difesa (in gran parte nazionali) sono rimaste costanti, il che significa che la maggior parte delle perdite nelle vendite sono state sostenute nei mercati globali attraverso l’energia elettrica, petrolio e gas, e altri settori specialistici. In effetti, tra questi, tali settori hanno registrato una perdita di entrate annuali da 810 milioni di dollari nel 2012 a 483 milioni di dollari nel 2016.
Concentrarsi su una singola linea di prodotti potrebbe aiutare a fornire ulteriore chiarezza e consentire un qualche tipo di impatto tangibile dall’attacco APT1. Mentre potremmo esaminare ogni linea di prodotti ATI, un buon punto di partenza e un’area in cui ATI è altamente specializzata, è la produzione di leghe di zirconio. In linea con il tema di questo articolo, le leghe di zirconio sono essenziali per il rivestimento delle barre di combustibile di uranio nei reattori nucleari.
Fino a poco tempo fa, la Cina aveva poca autosufficienza nella fabbricazione della lega di zirconio, affidandosi invece a fornitori terzi. Tuttavia, questo è cambiato nel 2011, con la costituzione della Shanghai Tubing Company e degli impianti di produzione statali di zirconio nucleare, responsabili della fornitura per i progetti di espansione nucleare della Cina di una lega di zirconio specializzata. Mentre lo zirconio rappresenta meno del 10% delle vendite di ATI, potrebbe essere solo rappresentativo delle sfide più ampie che l’azienda deve affrontare.
Conclusioni
Questo articolo non riguarda in realtà APT1, Solarworld, Westinghouse o ATI, ma piuttosto il modo in cui i responsabili aziendali vedono il rischio, e in particolare il rischio cibernetico.
Nel mondo odierno a breve termine delle relazioni trimestrali degli azionisti e dei cicli di notizie 24 ore su 24, i responsabili aziendali tendono a concentrarsi su quei rischi che comportano impatti per le loro aziende che si avvertiranno immediatamente. In modo perverso, dal punto di vista della cyber-violazione, quegli impatti immediati tendono ad essere esternalità imposte alla vittima di un attacco da parte di regolatori e strutture legali (multe, contenzioso) o il nostro comportamento sociale nel reagire a cattive notizie (danno reputazionale, perdita di clientela).
Ciò che gli attacchi APT1 ci hanno mostrato, e il periodo intercorso nei tre brevi anni, è che l’impatto diretto di un attacco informatico – il gioco a somma zero tra ciò che l’attaccante guadagna e ciò che la vittima perde – ora può essere sentito abbastanza rapidamente e in modo abbastanza grave per far fallire un’organizzazione leader a livello mondiale entro la durata media di un mandato di un CEO. In questo contesto, le aziende farebbero bene a considerare ciò che è prezioso non solo per loro, ma anche per i potenziali aggressori in un contesto geopolitico ed economico.
Referenze
Euractiv ‘China eclipses Europe as 2020 solar power target is smashed’ https://www.euractiv.com/section/energy/news/china-eclipses-europe-as-2020-solar-power-target-is-smashed/ August 2017
Thomson Reuters ‘SolarWorld seeks probe into claims of Chinese cyber-spying’ http://www.reuters.com/article/usa-trade-solar/update-1-solarworld-seeks-probe-into-claims-of-chinese-cyber-spying-idUSL2N0PC2LN20140701 July 2014
Thomson Reuters ‘German Sun King’s SolarWorld to file for insolvency’ http://www.reuters.com/article/us-solarworld-bankruptcy/german-sun-kings-solarworld-to-file-for-insolvency-idUSKBN1862MN May 2017
South China Morning Post ‘China’s ageing solar panels are going to be a big environmental problem’ http://www.scmp.com/news/china/society/article/2104162/chinas-ageing-solar-panels-are-going-be-big-environmental-problem July 2017
Knoxville News Sentintel ‘Secrecy surrounds sentencing of Chinese government operative in nuclear tech spy case’ http://www.knoxnews.com/story/news/crime/2017/08/29/secrecy-surrounds-sentencing-chinese-government-operative-nuclear-tech-spy-case/611490001/ August 2017
Chemical & Engineering News ‘Prosecutors charge that DuPont’s titanium dioxide technology was stolen at behest of government officials’ http://cen.acs.org/articles/90/web/2012/02/China-Tied-Trade-Secret-Theft.html February 2012
Bloomberg ‘How a corporate spy swiped plans for DuPont’s billion-dollar color formula’ https://www.bloomberg.com/features/2016-stealing-dupont-white/ February 2016
Fireeye ‘APT1: Exposing One of China’s Cyber Espionage Units’ https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdfFebruary 2013
Pittsburgh Post-Gazette ‘Westinghouse’s data stolen despite big deal with China’ http://www.post-gazette.com/local/city/2014/05/20/Westinghouse-s-data-stolen-despite-big-deal-with-China/stories/201405200086 May 2014
United States Securities & Exchange Commission ‘Allegheny Technologies Incorporated, United States Securities and Exchange Commission Form 10-K filing’ https://www.sec.gov/Archives/edgar/data/1018963/000101896317000007/atify201610-k.htm December 2016
France-metallurgie ‘ATI, Alcoa, US Steel and Westinghouse hacked by Chinese Army according to US gov’ http://www.france-metallurgie.com/ati-alcoa-us-steel-and-westinghouse-hacked-by-chinese-army-according-to-us-gov-us-2/ May 2014
Financial Times ‘UK chief executives spend less than five years in the job’ https://www.ft.com/content/ded1823a-370e-11e7-99bd-13beb0903fa3 May 2017
Forbes ‘Westinghouse Electrics Chinese Trojan Horse’ https://www.forbes.com/sites/kenrapoza/2016/05/17/westinghouse-electrics-chinese-trojan-horse/#4d02c1e776ca May 2016
United States Department of Justice ‘US district court, Western District of Pennsylvania indictment May 2014’ https://www.justice.gov/iso/opa/resources/5122014519132358461949.pdf May 2014
China National Nuclear Corporation ‘CNNC accomplishes a new generation intl advanced fuel element: zirconium alloy cladding material’ http://en.cnnc.com.cn/2016-12/02/c_62928.htm December 2016
International Atomic Energy Agency ‘The Nuclear Fuel Supply in China to Match the Development of Nuclear Power’ https://www.iaea.org/OurWork/ST/NE/NEFW/Technical-Areas/NFC/documents/infcis/NFCIS-2014/20-nuclear_fuel_cycle_information_system_PPT20141207_-IAEA.pdf December 2014
World Nuclear Association ‘Nuclear power in China’ http://www.world-nuclear.org/information-library/country-profiles/countries-a-f/china-nuclear-power.aspx Septmeber 2017
Solarworld ‘Annual report 2016’ https://www.solarworld.de/fileadmin/sites/sw/ir/pdf/finanzberichte/2016/solarworld_ar_2016_incl_sustainability_en_web.pdf 2016
ATI ‘Annual Reports’ http://ir.atimetals.com/financials-and-sec-filings/annual-reports Various
Categorie