O governo dos EUA anunciou na terça-feira(11) a abertura de acusações contra um cidadão chinês por supostamente invadir milhares de dispositivos de firewall da Sophos globalmente em 2020.
Guan Tianfeng (conhecido também como gbigmao e gxiaomao), que se diz ter trabalhado na Sichuan Silence Information Technology Company, Limited, foi acusado de conspiração para cometer fraude de computador e conspiração para cometer fraude via eletrônica.
Guan foi acusado de desenvolver e testar uma vulnerabilidade de segurança zero-day usada para conduzir ataques contra os firewalls da Sophos.
"Guan Tianfeng é procurado por seu suposto papel na conspiração para acessar firewalls da Sophos sem autorização, causar danos a eles, e recuperar e exfiltrar dados tanto dos próprios firewalls quanto dos computadores atrás desses firewalls", disse o Federal Bureau of Investigation (FBI) dos EUA.
O exploit foi usado para infiltrar aproximadamente 81.000 firewalls. A vulnerabilidade zero-day em questão é a
CVE-2020-12271
(pontuação CVSS: 9.8), uma grave falha de injeção SQL que pode ser explorada por um ator malicioso para alcançar execução de código remoto em firewalls da Sophos suscetíveis.
Em uma série de relatórios publicados no final de outubro de 2024 sob o nome Pacific Rim, a Sophos revelou que recebeu um relatório de bug bounty "simultaneamente muito útil, porém suspeito" sobre a falha em abril de 2020 de pesquisadores associados ao Double Helix Research Institute da Sichuan Silence, um dia após o qual foi explorado em ataques reais para roubar dados sensíveis usando o trojan Asnarök, incluindo nomes de usuário e senhas.
Aconteceu uma segunda vez em março de 2022, quando a empresa recebeu mais um relatório de um pesquisador anônimo baseado na China detalhando duas falhas separadas:
CVE-2022-1040
(pontuação CVSS: 9.8), uma falha crítica de bypass de autenticação em firewalls da Sophos que permite a um atacante remoto executar código arbitrário, e CVE-2022-1292 (pontuação CVSS: 9.8), um bug de injeção de comando em OpenSSL.
A exploração no mundo real de
CVE-2022-1040
foi atribuída ao codinome Personal Panda.
"Guan e seus co-conspiradores desenharam o malware para roubar informações de firewalls", disse o Departamento de Justiça dos EUA (DoJ).
Para melhor esconder sua atividade, Guan e seus co-conspiradores registraram e usaram domínios projetados para parecerem que eram controlados pela Sophos, como sophosfirewallupdate[.]com. Os atores de ameaças então passaram a modificar seu malware à medida que a Sophos começou a promulgar contramedidas, implementando uma variante do ransomware Ragnarok no caso de as vítimas tentarem remover os artefatos de sistemas Windows infectados.
"Esses esforços foram infrutíferos", disse o DoJ.
Em paralelo à acusação, o Departamento do Tesouro dos EUA, através do Office of Foreign Assets Control (OFAC), impôs sanções contra a Sichuan Silence e Guan, afirmando que muitas das vítimas eram empresas de infraestrutura crítica dos EUA.
Avalia-se que a Sichuan Silence seja uma contratada governamental de cibersegurança baseada em Chengdu que oferece seus serviços para agências de inteligência chinesas, equipando-as com capacidades para conduzir exploração de rede, monitoramento de emails, quebra de senhas via força bruta e supressão de sentimentos públicos.
Diz-se também que fornece aos clientes equipamentos projetados para sondar e explorar roteadores de rede alvo.
Em dezembro de 2021, a Meta disse que removeu 524 contas do Facebook, 20 Páginas, quatro Grupos e 86 contas no Instagram associadas à Sichuan Silence que visavam públicos de língua inglesa e chinesa com desinformação relacionada à COVID-19.
"Mais de 23.000 dos firewalls comprometidos estavam nos Estados Unidos. Destes firewalls, 36 protegiam sistemas de empresas de infraestrutura crítica dos EUA", disse o Tesouro.
Se qualquer uma dessas vítimas não tivesse corrigido seus sistemas para mitigar o exploit, ou medidas de cibersegurança não tivessem identificado e remediado rapidamente a intrusão, o impacto potencial do ataque ransomware Ragnarok poderia ter resultado em sérios danos ou na perda de vidas humanas.
Separadamente, o Departamento de Estado anunciou recompensas de até US$ 10 milhões por informações sobre a Sichuan Silence, Guan, ou outros indivíduos que possam estar participando de ataques cibernéticos contra entidades de infraestrutura crítica dos EUA sob a direção de um governo estrangeiro.
"A escala e a persistência dos adversários de Estado-nação chineses representam uma séria ameaça à infraestrutura crítica, bem como a negócios comuns desavisados", disse Ross McKerchar, chefe de segurança da informação na Sophos, em um comunicado compartilhado.
Sua determinação implacável redefine o que significa ser uma Ameaça Persistente Avançada; interromper essa mudança exige ação individual e coletiva em toda a indústria, incluindo com a aplicação da lei.
Não podemos esperar que esses grupos diminuam a velocidade, se não dedicarmos tempo e esforço para superá-los em inovação, e isso inclui transparência precoce sobre vulnerabilidades e um compromisso de desenvolver software mais forte.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...