A febbraio, su un canale Telegram anonimo, qualcuno ha pubblicato qualche file. Documenti in cinese marcati come riservati. Schemi tecnici di apparecchiature militari. Simulazioni aerospaziali. Poi un annuncio: tutto il resto è in vendita, centinaia di migliaia di dollari in criptovaluta. Il bottino dichiarato è di dieci petabyte di dati sottratti al Centro Nazionale di Supercalcolo di Tianjin, uno dei nodi più strategici dell’infrastruttura tecnologica cinese. L’hacker — o il gruppo, non è ancora chiaro — si fa chiamare FlamingChina. Il governo di Pechino, ad oggi, non ha confermato né smentito. Eppure leggendo come è successo, la storia non parla davvero della Cina, della difesa o dei supercomputer. Parla di sicurezza VPN aziendale, di traffico di rete che nessuno controlla, di porte rimaste aperte per anni. Riguarda esattamente quello che vediamo entrando in molte aziende italiane.
Sicurezza VPN aziendale: il punto debole che nessuno guardava
La prima domanda che mi sono fatto leggendo la storia non è stata “quanto valgono quei dati?”. È stata: come hanno fatto a stare dentro sei mesi senza che nessuno se ne accorgesse?
La risposta è quasi disarmante. Niente exploit sofisticati, niente vulnerabilità zero-day da milioni di dollari sul mercato nero. L’ingresso è avvenuto attraverso una VPN con un dominio compromesso — un singolo punto di accesso remoto lasciato aperto e mai monitorato. Quando si analizzano le grandi violazioni di sicurezza VPN aziendale degli ultimi anni, la storia si ripete con una costanza fastidiosa: la porta era lì, qualcuno aveva la chiave, e nessuno controllava chi entrava né cosa portava fuori.
Il NSCC di Tianjin serviva oltre 6.000 clienti tra enti scientifici, aziende aerospaziali e agenzie della difesa. Era un concentratore di dati strategici per un’intera nazione. E un solo punto debole è bastato. Non perché gli attaccanti fossero geniali — ma perché l’architettura aveva privilegiato la comodità di accesso sulla sorveglianza di quell’accesso.
Un bicchiere alla volta: l’arte dell’esfiltrazione invisibile
Una volta dentro, FlamingChina ha distribuito l’esfiltrazione su decine di server diversi, tirando fuori piccole quantità di dati alla volta. Come svuotare una piscina con un bicchiere invece che con una pompa.
Il risultato: nessun allarme, nessun picco di traffico anomalo. Sei mesi di accesso silenzioso a uno dei centri di calcolo più sensibili del mondo. Nessun ransomware che blocca i sistemi e chiede riscatto. Nessun attacco DDoS (Distributed Denial of Service) che manda tutto offline. Solo qualcuno che entra, resta, e porta via — un bicchiere alla volta.
Questo tipo di attacco ha un nome: esfiltrazione lenta. È molto più pericoloso del ransomware perché non si vede mentre accade. Te ne accorgi mesi dopo, quando i tuoi dati appaiono in vendita su un forum. Per una piccola e media impresa italiana, “i tuoi dati” possono essere il listino prezzi, le offerte ai clienti, i contratti in essere, la lista dei fornitori, i progetti tecnici. Non servono dieci petabyte di dati militari per fare un danno serio — bastano pochi megabyte finiti nelle mani sbagliate.
Tre regole pratiche per la sicurezza VPN aziendale
Per chi gestisce una rete aziendale e ha letto la notizia con un certo disagio, vale la pena fissare tre regole concrete. Tutte e tre, applicate insieme, avrebbero reso questo attacco molto più difficile.
Monitorare gli accessi al file server. Un firewall, anche ben configurato, fatica a riconoscere un’esfiltrazione lenta — soprattutto quando il traffico esce cifrato verso destinazioni che sembrano legittime. Il punto di osservazione giusto è un altro: il file server stesso. Soluzioni come Netwrix Auditor registrano chi accede a quali cartelle, quando, e con quale account — e sanno alzare la mano quando un utente comincia a leggere migliaia di file in poche ore o accede a documenti che non aveva mai toccato in due anni. Senza questo strato di visibilità sull’interno, l’esfiltrazione passa sotto il radar.
Implementare autenticazione forte sugli accessi remoti. Una VPN protetta solo da username e password, nel 2026, è una porta semiaperta. L’autenticazione MFA (Multi-Factor Authentication) non è un optional: è il minimo per chiunque gestisca accessi remoti a sistemi aziendali. Aggiungere un secondo e un terzo fattore — codice TOTP, token hardware, autenticazione del dispositivo — alza la barriera di ingresso di un ordine di grandezza.
Segmentare la rete. Se tutto è su una rete piatta, chi entra da un punto raggiunge tutto. Separare i sistemi critici dai sistemi di uso quotidiano — con VLAN, regole di firewall precise, criteri di accesso granulari — non impedisce sempre l’intrusione iniziale, ma limita drasticamente il danno e rende l’esfiltrazione lenta rilevabile prima che diventi catastrofica.
La lezione
Il supercomputer di Tianjin non è stato compromesso perché era un obiettivo militare di alto profilo. È stato compromesso perché aveva un punto di accesso debole e nessuno stava guardando cosa usciva dalla rete.
È esattamente la situazione che troviamo in molte aziende quando facciamo un primo sopralluogo: VPN configurate anni fa e mai riviste, log di rete che nessuno legge, traffico in uscita mai monitorato. La sicurezza VPN aziendale viene spesso trattata come un progetto fatto una volta e poi dimenticato — invece dovrebbe essere un processo continuo, con revisioni periodiche e attenzione costante a chi entra, da dove, e cosa porta fuori.
La domanda da farsi non è se la propria rete è abbastanza grande da essere un obiettivo. La domanda è: sappiamo esattamente cosa sta uscendo da quella rete in questo momento?
Se anche tu gestisci una rete aziendale e questa domanda ti lascia qualche dubbio, parliamone.
🧩 Kaos Informatica ti può aiutare
Se vuoi, Kaos Informatica può aiutare la tua azienda a:
✅Analizzare la loro configurazione delle VPN e suggerire eventuali miglioramenti
✅Mostrarvi strumenti di monitoraggio dei File Server
✅Formare il vostro team tecnico per usare al meglio gli strumenti che già avete
Contattaci e parliamone insieme
