Federalny akt oskarżenia postawił zarzuty obywatelowi Chin Guana Tianfenga poprzez wykorzystanie luki zero-day w zaporach ogniowych Sophos, która w 2020 r. wpłynie na około 81 000 urządzeń na całym świecie. Departament Sprawiedliwości Stanów Zjednoczonych (DoJ) twierdzi że Guan spiskował w celu wdrożenia złośliwego oprogramowania, które naruszyło poufne dane i przeniknęło do infrastruktury krytycznej.
Obywatel Chin oskarżony o wykorzystanie luk w zabezpieczeniach zapory sieciowej Sophos
Luka sklasyfikowana jako CVE-2020-12271 i uzyskał wysoki wynik CVSS wynoszący 9,8, umożliwił nieautoryzowany dostęp poprzez błędy polegające na wstrzykiwaniu SQL w urządzeniach firewall Sophos. Warto zauważyć, że ponad 23 000 zaatakowanych zapór sieciowych znajdowało się w Stanach Zjednoczonych, z czego 36 obsługiwało amerykańskie systemy infrastruktury krytycznej. Guan, znany również pod pseudonimami gbigmao i gxiaomao, był zatrudniony w firmie Sichuan Silence Information Technology Co., Ltd, uważanej za powiązaną z chińskim rządem.
Zgodnie z aktem oskarżenia Guan i jego współspiskowcy zaprojektowali złośliwe oprogramowanie w celu wydobywania danych i zakłócania działania zapory ogniowej. Departament Sprawiedliwości stwierdził: „Guan Tianfeng jest poszukiwany ze względu na rzekomą rolę w spisku mającym na celu uzyskanie dostępu do zapór sieciowych Sophos bez zezwolenia, spowodowanie ich uszkodzeń oraz odzyskanie i eksfiltrację danych”. Dochodzenie jest w toku, a FBI zwróciło się do opinii publicznej o pomoc w zidentyfikowaniu innych osób zamieszanych w ataki.
Według doniesień działania Guana obejmowały wykorzystywanie luk w zabezpieczeniach w celu kradzieży informacji, a następnie wdrażanie wariantu oprogramowania ransomware, złośliwego oprogramowania Ragnarok, którego celem było szyfrowanie plików ofiar próbujących zaradzić infekcjom. Zamiar ukrycia ich działań polegał na zarejestrowaniu domen naśladujących Sophos, takich jak sophosfirewallupdate.com.
Już w 2021 r. firma Sophos podkreśliła wyrafinowanie zagrożeń cybernetycznych, na które napotyka, wskazując, że liczne incydenty zostały spowodowane przez grupy zaawansowanych trwałych zagrożeń (APT) posiadające znaczną wiedzę na temat urządzeń Sophos. W następstwie tych incydentów firma Sophos wdrożyła szybkie środki zaradcze, które pomogły ograniczyć dalsze exploity. „Gdyby którejkolwiek z tych ofiar nie udało się załatać swoich systemów… potencjalne skutki… mogłyby skutkować poważnymi obrażeniami lub utratą życia ludzkiego” – stwierdził Departament Skarbu USA.
W odpowiedzi na te cyberzagrożenia rząd USA nałożył sankcje zarówno na Guan, jak i Sichuan Silence, podkreślając, że tego typu działania cybernetyczne stwarzają znaczne ryzyko zarówno dla bezpieczeństwa narodowego, jak i publicznego. Akt oskarżenia odzwierciedla szersze wysiłki mające na celu stawienie czoła wyzwaniom stawianym przez sponsorowanych przez państwo zagraniczne aktorów cybernetycznych, w szczególności tych mających siedzibę w Chinach.
Departament Stanu USA zaoferował także nagrody w wysokości do 10 milionów dolarów za informacje umożliwiające identyfikację osób zaangażowanych w szkodliwe działania cybernetyczne wymierzone w amerykańską infrastrukturę krytyczną. W miarę kontynuowania dochodzeń urzędnicy podkreślają potrzebę wspólnych wysiłków w zakresie cyberbezpieczeństwa w celu zwalczania utrzymującego się zagrożenia ze strony podmiotów zagranicznych.
Autor wyróżnionego obrazu: Porównaj Fibre/Unsplash
