Az amerikai kormány a héten nyilvánosságra hozta a vádakat egy kínai állampolgár ellen, amiért az állítólag 2020-ban több ezer Sophos tűzfalat tört fel világszerte.

Guan Tianfeng-et (más néven gbigmao és gxiaomao), aki állítólag a Sichuan Silence Information Technology Company nevű cégnél dolgozott, számítógépes csalás elkövetésére irányuló összeesküvéssel vádolják, közelebbről azzal, hogy kifejlesztett és tesztelt egy nulladik napi biztonsági sérülékenységet, amelyet a Sophos tűzfalak elleni támadások végrehajtására használtak.

„Guan Tianfenget azért keressük, mert állítólagos szerepe volt abban, hogy engedély nélkül hozzáférjen körülbelül 81 000 Sophos tűzfalhoz, károkat okozzon bennük, és adatokat gyűjtsön be magukból a tűzfalakból és a tűzfalak mögötti számítógépes hálózatokból” – közölte az FBI.

A szóban forgó, akkori nulladik napi biztonsági rés a CVE-2020-12271 elnevezésű sérülékenység (CVSS pontszám: 9,8), egy súlyos SQL-befecskendezési hiba, amelyet egy rosszindulatú szereplő kihasználhat arra, hogy távoli kódfuttatást érhessen el az arra érzékeny Sophos tűzfalakon.

„Guan és társai úgy tervezték a kártevőt, hogy információkat lopjanak el a tűzfalakról„ – közölte az Egyesült Államok Igazságügyi Minisztériuma (DoJ). Az elkövetők tevékenységük jobb elrejtése érdekében olyan domaineket regisztráltak és használtak, amelyeket alkalmasak voltak a megtévesztésre (mintha a Sophos irányítaná őket), például a sophosfirewallupdate[.]com.

Miután a Sophos ellenintézkedéseket kezdett bevezetni, az elkövetők egy Ragnarok ransomware-változatot telepítettek a fertőzött eszközökre, hogy megőrizzék hozzáférésüket.

A vádemeléssel egyidőben az Egyesült Államok Pénzügyminisztériumának Külföldi Vagyonellenőrzési Hivatala (OFAC) szankciókat vezetett be a Sichuan Silence vállalat és Guan ellen, kijelentve, hogy az áldozatok között sok amerikai kritikus infrastruktúra-vállalat volt. A Sichuan Silence egy csengdui székhelyű kiberbiztonsági kormányzati vállalkozás, amely a kínai hírszerző ügynökségeknek kínálja szolgáltatásait.

2021 decemberében a Meta közölte , hogy eltávolított 524 Facebook-fiókot, 20 oldalt, négy csoportot és 86 olyan Instagram-fiókot, amelyek a Sichuan Silence-hez voltak kapcsolva, és amelyek angol és kínai nyelvű közönséget céloztak meg COVID-19-hez kapcsolódó dezinformációkkal.

„A feltört tűzfalak közül több mint 23 000 az Egyesült Államokban volt. E tűzfalak közül 36 védte az egyesült államokbeli kritikus infrastruktúra-vállalatok rendszereit” – közölte az amerikai pénzügyminisztérium . „Ha ezen áldozatok közül bármelyik nem javította volna rendszerét, vagy a kiberbiztonsági intézkedések nem azonosították és nem orvosolták volna gyorsan a behatolást, a Ragnarok ransomware telepítése súlyos sérülésekhez vagy emberéletek elvesztéséhez vezethetett volna.”

A külügyminisztérium külön is bejelentette, hogy akár 10 millió dolláros jutalmat kaphat az, aki a Sichuan Silence-ről, Guan-ról vagy más olyan személyekről tud információt nyújtani, akik külföldi kormányok irányítása alatt részt vehetnek az Egyesült Államokbel kritikus infrastruktúrájához tartozó szervezetek elleni kibertámadásokban.