El gobierno de EE. UU. reveló el martes cargos contra un ciudadano chino por supuestamente irrumpir en miles de dispositivos firewall de Sophos en todo el mundo en 2020.
Guan Tianfeng (también conocido como gbigmao y gxiaomao), de quien se dice que trabajó en Sichuan Silence Information Technology Company, Limited, ha sido acusado de conspiración para cometer fraude informático y conspiración para cometer fraude electrónico. Guan ha sido acusado de desarrollar y probar una vulnerabilidad de seguridad de día cero utilizada para realizar ataques contra los firewalls de Sophos.
“Guan Tianfeng es buscado por su presunto papel en conspirar para acceder a los cortafuegos de Sophos sin autorización, causarles daños y recuperar y exfiltrar datos tanto de los propios cortafuegos como de los ordenadores detrás de estos cortafuegos”, dijo la Oficina Federal de Investigaciones de EE.UU. (FBI) dicho. “El exploit se utilizó para infiltrarse en aproximadamente 81.000 cortafuegos”.
La vulnerabilidad de día cero en cuestión es CVE-2020-12271 (Puntuación CVSS: 9,8), un grave fallo de inyección SQL que podría ser aprovechado por un actor malintencionado para lograr la ejecución remota de código en cortafuegos de Sophos susceptibles.
En una serie de informes publicados a finales de octubre de 2024 bajo el nombre de Pacific Rim, Sophos reveló que había recibido un informe de recompensa por errores “simultáneamente muy útil pero sospechoso” sobre la falla en abril de 2020 de investigadores asociados con el Instituto de Investigación Double Helix de Sichuan Silence. un día después del cual fue explotado en ataques del mundo real para robar datos confidenciales utilizando el troyano Asnarök, incluidos nombres de usuario y contraseñas.
Sucedió por segunda vez en marzo de 2022, cuando la empresa recibió otro informe de un investigador anónimo con sede en China que detallaba dos fallos distintos: CVE-2022-1040 (Puntuación CVSS: 9,8), una falla crítica de omisión de autenticación en los firewalls de Sophos que permite a un atacante remoto ejecutar código arbitrario, y CVE-2022-1292 (Puntuación CVSS: 9,8), un error de inyección de comandos en OpenSSL A la explotación salvaje de CVE-2022-1040 se le ha asignado el apodo panda personal.
“Guan y sus cómplices diseñaron el malware para robar información de los cortafuegos”, dijo el Departamento de Justicia de EE.UU. (DoJ) dicho. “Para ocultar mejor su actividad, Guan y sus cómplices registraron y utilizaron dominios diseñados para parecer controlados por Sophos, como sophosfirewallupdate[.]com.”
Luego, los actores de amenazas actuaron para modificar su malware cuando Sophos comenzó a implementar contramedidas, implementando un ragnarök variante de ransomware en caso de que las víctimas intentaran eliminar los artefactos de los sistemas Windows infectados. Estos esfuerzos no tuvieron éxito, afirmó el Departamento de Justicia.
Simultáneamente con la acusación, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos impuso sanciones contra Sichuan Silence y Guan, afirmando que muchas de las víctimas eran empresas estadounidenses de infraestructura crítica.
silencio de sichuan ha sido evaluado como un Con base en Chengdu contratista gubernamental de ciberseguridad que ofrece sus servicios a agencias de inteligencia chinas, equipándolas con capacidades para realizar explotación de redes, monitoreo de correo electrónico, descifrado de contraseñas por fuerza bruta y supresión de la opinión pública. También se dice que proporciona a los clientes equipos diseñados para sondear y explotar los enrutadores de red de destino.
En diciembre de 2021, Meta dicho eliminó 524 cuentas de Facebook, 20 páginas, cuatro grupos y 86 cuentas de Instagram asociadas con Sichuan Silence que se dirigían a audiencias de habla inglesa y china con desinformación relacionada con COVID-19.
“Más de 23.000 de los cortafuegos comprometidos estaban en los Estados Unidos. De estos cortafuegos, 36 protegían los sistemas de las empresas de infraestructura crítica estadounidenses”, dijo el Tesoro. dicho. “Si alguna de estas víctimas no hubiera parcheado sus sistemas para mitigar el exploit, o si las medidas de ciberseguridad no hubieran identificado y remediado rápidamente la intrusión, el impacto potencial del ataque del ransomware Ragnarok podría haber resultado en lesiones graves o la pérdida de vidas humanas. “
Por otra parte, el Departamento de Estado ha anunciado recompensas de hasta 10 millones de dólares por información sobre Sichuan Silence, Guan u otras personas que puedan estar participando en ciberataques contra entidades de infraestructura crítica de Estados Unidos bajo la dirección de un gobierno extranjero.
“La escala y la persistencia de los adversarios del Estado-nación chino representan una amenaza significativa para la infraestructura crítica, así como para las empresas cotidianas desprevenidas”, dijo Ross McKerchar, director de seguridad de la información de Sophos, en un comunicado compartido con The Hacker News.
“Su determinación implacable redefine lo que significa ser una amenaza persistente avanzada; interrumpir este cambio exige acciones individuales y colectivas en toda la industria, incluidas las fuerzas del orden. No podemos esperar que estos grupos disminuyan su velocidad si no ponemos el tiempo y esfuerzo para superarlos en innovación, y esto incluye una transparencia temprana sobre las vulnerabilidades y un compromiso para desarrollar un software más potente”.
About the Author
