ABD hükümeti Salı günü, 2020 yılında dünya çapında binlerce Sophos güvenlik duvarı cihazına girdiği iddia edilen bir Çin vatandaşına yönelik suçlamaları açıkladı.
Sichuan Silence Information Technology Company Limited’de çalıştığı söylenen Guan Tianfeng (aka gbigmao ve gxiaomao), bilgisayar dolandırıcılığı yapmak için komplo kurmak ve elektronik dolandırıcılık yapmak için komplo kurmakla suçlandı. Guan, Sophos güvenlik duvarlarına yönelik saldırıları gerçekleştirmek için kullanılan sıfır gün güvenlik açığını geliştirmek ve test etmekle suçlanıyor.
ABD Federal Soruşturma Bürosu (FBI), “Guan Tianfeng, Sophos güvenlik duvarlarına izinsiz erişme, onlara zarar verme ve hem güvenlik duvarlarından hem de bu güvenlik duvarlarının arkasındaki bilgisayarlardan veri alıp sızdırma komplosu yapma iddiasıyla aranıyor.” söz konusu. “Bu istismar yaklaşık 81.000 güvenlik duvarına sızmak için kullanıldı.”
Söz konusu sıfır gün güvenlik açığı CVE-2020-12271 (CVSS puanı: 9,8), kötü niyetli bir kişi tarafından, duyarlı Sophos güvenlik duvarlarında uzaktan kod yürütülmesini sağlamak için kullanılabilecek ciddi bir SQL enjeksiyon kusuru.
Ekim 2024’ün sonlarında Pacific Rim adı altında yayınlanan bir dizi raporda Sophos, Sichuan Silence’ın Double Helix Araştırma Enstitüsü ile ilişkili araştırmacılardan Nisan 2020’de kusur hakkında “aynı zamanda son derece yararlı ancak şüpheli” bir hata ödülü raporu aldığını açıkladı. bir gün sonra gerçek dünyadaki saldırılarda kullanıldı. hassas verileri çalmak Kullanıcı adları ve şifreler de dahil olmak üzere Asnarök truva atını kullanmak.
Bu, Mart 2022’de ikinci kez, şirketin Çin merkezli anonim bir araştırmacıdan iki ayrı kusurun ayrıntılarını içeren başka bir rapor almasıyla gerçekleşti: CVE-2022-1040 (CVSS puanı: 9,8), Sophos güvenlik duvarlarında uzaktaki bir saldırganın rastgele kod yürütmesine olanak tanıyan kritik bir kimlik doğrulama atlama sorunu ve CVE-2022-1292 (CVSS puanı: 9,8), OpenSSL’de bir komut ekleme hatası CVE-2022-1040’ın vahşi ortamda kullanılması, şu şekilde izlenen iki farklı etkinlik kümesine bağlanmıştır: Kişisel Panda ve TStark.
Sophos, The Hacker News’e araştırmacının tam olarak kim olduğunun ve belirli bir varlığa atfedilmesinin bu aşamada bilinmediğini söyledi. Ayrıca hem Kişisel Panda’nın hem de TStark’ın (Nazar ile örtüşen), farklı ticari yaklaşımlar ve uzlaşma göstergeleri (IoC’ler) sergilemelerine rağmen, 18 ay arayla Tibet ile ilgili aynı organizasyonu hedef aldıklarını belirtmekte fayda var.
ABD Adalet Bakanlığı (DoJ) “Guan ve suç ortakları, kötü amaçlı yazılımı güvenlik duvarlarından bilgi çalmak için tasarladı” dedi. söz konusu. “Faaliyetlerini daha iyi gizlemek için Guan ve suç ortakları, sophosfirewallupdate gibi Sophos tarafından kontrol ediliyormuş gibi görünecek şekilde tasarlanmış alan adlarını kaydettirdiler ve kullandılar.[.]com.”
Sophos karşı önlemleri uygulamaya başlayınca, tehdit aktörleri de kötü amaçlı yazılımlarını değiştirmek için harekete geçti. Ragnarok Kurbanların virüs bulaşmış Windows sistemlerinden yapıları kaldırmaya çalışması durumunda fidye yazılımının bir çeşidi ortaya çıktı. Adalet Bakanlığı, bu çabaların başarısız olduğunu söyledi.
İddianameyle eş zamanlı olarak ABD Hazine Bakanlığı’nın Yabancı Varlıklar Kontrol Ofisi (OFAC), kurbanların çoğunun ABD’nin kritik altyapı şirketleri olduğunu belirterek Sichuan Silence ve Guan’a yaptırımlar uyguladı.
Siçuan Sessizliği olduğu değerlendirildi Chengdu merkezli Çin istihbarat teşkilatlarına hizmetlerini sunan, onları ağ istismarı, e-posta izleme, kaba kuvvetle şifre kırma ve kamuoyunun duyarlılığını bastırma yetenekleriyle donatan siber güvenlik devlet yüklenicisi. Ayrıca müşterilere, hedef ağ yönlendiricilerini araştırmak ve bunlardan yararlanmak için tasarlanmış ekipmanlar sağladığı da söyleniyor.
Aralık 2021’de Meta söz konusu Sichuan Silence ile bağlantılı 524 Facebook hesabını, 20 Sayfayı, dört Grubu ve Instagram’daki 86 hesabı kaldırdı; bu hesaplar, İngilizce ve Çince konuşan kitleleri KOVİD-19 ile ilgili dezenformasyonla hedef aldı.
Hazine, “İhlal edilen güvenlik duvarlarının 23.000’den fazlası ABD’deydi. Bu güvenlik duvarlarından 36’sı ABD’nin kritik altyapı şirketlerinin sistemlerini koruyordu.” söz konusu. “Bu kurbanlardan herhangi biri, istismarı azaltmak için sistemlerine yama yapmamış olsaydı veya siber güvenlik önlemleri izinsiz girişi tespit edip hızlı bir şekilde düzeltmeseydi, Ragnarok fidye yazılımı saldırısının potansiyel etkisi, ciddi yaralanmalara veya insan yaşamının kaybına neden olabilirdi. “
Ayrı olarak, Dışişleri Bakanlığı duyuruldu Sichuan Silence, Guan veya yabancı bir hükümetin yönetimi altında ABD’nin kritik altyapı kuruluşlarına yönelik siber saldırılara katılacak diğer kişiler hakkında bilgi verenlere 10 milyon dolara kadar ödül.
Sophos’un bilgi güvenliği şefi Ross McKerchar, The Hacker News ile paylaştığı bir açıklamada, “Çin ulus devleti düşmanlarının boyutu ve kalıcılığı, kritik altyapının yanı sıra şüphelenmeyen, gündelik işler için de önemli bir tehdit oluşturuyor.” dedi.
“Onların acımasız kararlılıkları, Gelişmiş Kalıcı Tehdit olmanın ne anlama geldiğini yeniden tanımlıyor; bu değişimi bozmak, kolluk kuvvetleri de dahil olmak üzere sektör genelinde bireysel ve kolektif eylem gerektiriyor. Eğer gerekli önlemleri almazsak, bu grupların yavaşlamasını bekleyemeyiz. Bunları aşmak için zaman ve çaba harcamalıyız ve buna güvenlik açıkları konusunda erken şeffaflık ve daha güçlü yazılım geliştirme taahhüdü de dahildir.”
(Hikaye yayınlandıktan sonra Sophos’tan gelen ek yanıtları içerecek şekilde güncellendi.)