美国政府宣布制裁参与勒索软件攻击中入侵防火墙的中国公司
美国财政部制裁了中国网络安全公司 Sichuan Silence (四川无声信息技术有限公司)及其一名员工,原因是他们参与了 2020 年 4 月针对美国关键基础设施公司和全球许多其他受害者的一系列 Ragnarok 勒索软件攻击。
根据美国国务院外国资产控制办公室(OFAC)的资料,四川无声信息技术有限公司是一家总部位于成都的网络安全政府承包商(最近由 Natto Thoughts 团队进行了报道),为中国情报部门等核心客户提供产品和服务。
该公司的服务包括计算机网络开发、暴力破解密码、电子邮件监控和压制公众情绪。
OFAC 称,在 2020 年 4 月的活动中使用的零日漏洞是由安全研究员、四川无声信息技术有限公司员工 Guan Tianfeng(又名 GbigMao)在一个未命名的防火墙产品中发现的。
今天发布的新闻稿透露:"在 2020 年 4 月 22 日至 25 日期间,Guan Tianfeng 利用这个零日漏洞在全球数千家企业拥有的约 81000 台防火墙上部署了恶意软件。该漏洞的目的是利用被入侵的防火墙窃取数据,包括用户名和密码。 不过,Guan 还试图用 Ragnarok 勒索软件变种感染受害者的系统。"
在所有被攻击的设备中,超过 2000 台被入侵的防火墙位于美国,其中 36 台保护着美国关键基础设施公司的网络。
本周二,美国司法部(DOJ)还公布了对Guan的起诉书,美国国务院宣布通过"正义的奖赏"(Rewards for Justice)计划向提供有关四川无声或Guan的信息的人提供高达1000万美元的奖励。
悬赏海报(美国国务院)
美国国务院和司法部证实,2020 年 4 月的 Ragnarok 勒索软件活动利用了 Sophos XG 防火墙中的零日 SQL 注入漏洞 (CVE-2020-12271) 零日 SQL 注入漏洞。
国务院称:"2020 年,中国公民Guan Tianfeng四川无声信息技术有限公司的其他员工开发并测试了入侵技术,然后部署了恶意软件,利用英国网络安全公司 Sophos Ltd 出售的某些防火墙中的零日漏洞。他们在全球部署恶意软件,允许未经授权访问某些 Sophos 防火墙,对防火墙造成破坏,并允许他们从防火墙本身和这些防火墙后面的计算机中检索和外泄数据。"
攻击者最初利用零日漏洞在Sophos XG防火墙上获取远程代码执行,并安装了ELF二进制文件和脚本,这些文件和脚本是名为Asnarök木马的恶意工具包的一部分。
Sophos 检测到攻击后,为设备打了补丁,并使用热修复程序删除了恶意脚本。 然而,威胁行动者激活了一个"死人开关",触发了对受害者网络中 Windows 机器的 Ragnarok 勒索软件攻击。
由于今天的制裁,美国组织和公民被禁止与这家实体与个人进行交易。 此外,与他们有关的任何美国资产都将被冻结,与他们进行交易的美国金融机构或外国实体也将面临处罚。
2021 年 11 月,Meta 公司捣毁两个黑客网络,其中有 524 个 Facebook 账户和 86 个 Instagram 账户与四川无声公司有关联。 Meta 当时表示,这些账户被用于针对美国和英国的英语用户,以及台湾、香港和西藏的中文用户开展 COVID-19 相关宣传活动。