De Amerikaanse regering heeft dinsdag de aanklacht vrijgegeven tegen een Chinees staatsburger wegens vermeende inbraak in duizenden Sophos-firewallapparaten wereldwijd in 2020.
Guan Tianfeng (ook bekend als gbigmao en gxiaomao), die zou hebben gewerkt bij Sichuan Silence Information Technology Company, Limited, is beschuldigd van samenzwering om computerfraude te plegen en samenzwering om telegrafische fraude te plegen. Guan wordt beschuldigd van het ontwikkelen en testen van een zero-day-beveiligingsprobleem dat wordt gebruikt om de aanvallen op Sophos-firewalls uit te voeren.
“Guan Tianfeng wordt gezocht vanwege zijn vermeende rol in het samenzweren om zonder toestemming toegang te krijgen tot de firewalls van Sophos, deze te beschadigen en gegevens op te halen en te exfiltreren uit zowel de firewalls zelf als de computers achter deze firewalls”, aldus het Amerikaanse Federal Bureau of Investigation (FBI). gezegd. “De exploit werd gebruikt om ongeveer 81.000 firewalls te infiltreren.”
De toenmalige zero-day kwetsbaarheid in kwestie is CVE-2020-12271 (CVSS-score: 9,8), een ernstige SQL-injectiefout die door een kwaadwillende actor kan worden uitgebuit om externe code-uitvoering op gevoelige Sophos-firewalls te bewerkstelligen.
In een reeks rapporten die eind oktober 2024 onder de naam Pacific Rim werden gepubliceerd, onthulde Sophos dat het in april 2020 een “tegelijkertijd zeer nuttig en toch verdacht” bugbounty-rapport over de fout had ontvangen van onderzoekers verbonden aan het Double Helix Research Institute van Sichuan Silence. een dag later werd het uitgebuit bij aanvallen in de echte wereld om gevoelige gegevens te stelen met behulp van de Asnarök-trojan, inclusief gebruikersnamen en wachtwoorden.
Het gebeurde een tweede keer in maart 2022 toen het bedrijf opnieuw een rapport ontving van een anonieme, in China gevestigde onderzoeker waarin twee afzonderlijke fouten werden beschreven: CVE-2022-1040 (CVSS-score: 9,8), een kritieke authenticatie-bypass-fout in Sophos-firewalls die een externe aanvaller om willekeurige code uit te voeren, en CVE-2022-1292 (CVSS-score: 9,8), een bug voor het injecteren van opdrachten in OpenSSL in-the-wild exploitatie van CVE-2022-1040 heeft de naam Personal Panda gekregen.
“Guan en zijn mede-samenzweerders hebben de malware ontworpen om informatie uit firewalls te stelen”, aldus het Amerikaanse ministerie van Justitie (DoJ). “Om hun activiteiten beter te verbergen, registreerden en gebruikten Guan en zijn mede-samenzweerders domeinen die zo ontworpen waren dat ze gecontroleerd werden door Sophos, zoals sophosfirewallupdate(.)com.”
De bedreigingsactoren gingen vervolgens over tot het aanpassen van hun malware toen Sophos tegenmaatregelen begon te nemen, waarbij een Ragnarok-ransomwarevariant werd ingezet voor het geval slachtoffers probeerden de artefacten van geïnfecteerde Windows-systemen te verwijderen. Deze pogingen waren niet succesvol, aldus het DoJ.
Gelijktijdig met de aanklacht heeft het Office of Foreign Assets Control (OFAC) van het Amerikaanse ministerie van Financiën sancties opgelegd aan Sichuan Silence en Guan, waarbij wordt verklaard dat veel van de slachtoffers Amerikaanse kritieke infrastructuurbedrijven waren.
Sichuan Silence wordt beschouwd als een in Chengdu gevestigde overheidscontractant op het gebied van cyberbeveiliging die zijn diensten aanbiedt aan Chinese inlichtingendiensten en hen uitrust met mogelijkheden voor netwerkexploitatie, e-mailmonitoring, het bruut kraken van wachtwoorden en het onderdrukken van publieke sentimenten. Er wordt ook gezegd dat het klanten apparatuur biedt die is ontworpen om doelnetwerkrouters te onderzoeken en te exploiteren.
In december 2021 zei Meta dat het 524 Facebook-accounts, 20 pagina’s, vier groepen en 86 accounts op Instagram had verwijderd die verband hielden met Sichuan Silence en die zich richtten op Engels- en Chineessprekend publiek met COVID-19-gerelateerde desinformatie.
“Meer dan 23.000 van de gecompromitteerde firewalls bevonden zich in de Verenigde Staten. Van deze firewalls beschermden er 36 de systemen van Amerikaanse kritieke infrastructuurbedrijven”, aldus het ministerie van Financiën. “Als een van deze slachtoffers er niet in was geslaagd hun systemen te patchen om de exploit te beperken, of als cyberbeveiligingsmaatregelen de inbraak niet hadden geïdentificeerd en snel verholpen, had de potentiële impact van de Ragnarok-ransomware-aanval kunnen resulteren in ernstig letsel of het verlies van mensenlevens. “
Daarnaast heeft het ministerie van Buitenlandse Zaken beloningen tot 10 miljoen dollar aangekondigd voor informatie over Sichuan Silence, Guan of andere personen die mogelijk deelnemen aan cyberaanvallen op Amerikaanse kritieke infrastructuurentiteiten onder leiding van een buitenlandse regering.
“De omvang en volharding van de tegenstanders van de Chinese natiestaten vormen een aanzienlijke bedreiging voor de kritieke infrastructuur, maar ook voor nietsvermoedende, alledaagse bedrijven”, zegt Ross McKerchar, Chief Information Security Officer bij Sophos, in een verklaring gedeeld met The Hacker News.
“Hun meedogenloze vastberadenheid herdefinieert wat het betekent om een geavanceerde aanhoudende dreiging te zijn; het verstoren van deze verschuiving vereist individuele en collectieve actie in de hele sector, ook met wetshandhaving. We kunnen niet van deze groepen verwachten dat ze langzamer gaan rijden als we de tijd en moeite om ze te overtreffen, en dit omvat vroege transparantie over kwetsbaarheden en een engagement om sterkere software te ontwikkelen.”
