Een federale aanklacht heeft de Chinese staatsburger aangeklaagd Guan Tianfeng met het misbruiken van een zero-day-kwetsbaarheid in Sophos-firewalls, die in 2020 wereldwijd ongeveer 81.000 apparaten zal treffen. Het Amerikaanse ministerie van Justitie (DoJ) beweert dat Guan samenspande om malware in te zetten die gevoelige gegevens in gevaar bracht en kritieke infrastructuur infiltreerde.
Chinese staatsburger aangeklaagd wegens misbruik van kwetsbaarheden in de Sophos-firewall
De kwetsbaarheid, geclassificeerd als CVE-2020-12271 en beoordeeld met een hoge CVSS-score van 9,8, waardoor ongeautoriseerde toegang mogelijk werd gemaakt via SQL-injectiefouten op Sophos-firewallapparaten. Opvallend is dat meer dan 23.000 van de gecompromitteerde firewalls zich in de Verenigde Staten bevonden, waarvan 36 Amerikaanse kritieke infrastructuursystemen bedienden. Guan, ook bekend onder de aliassen gbigmao en gxiaomao, was in dienst van Sichuan Silence Information Technology Co., Ltd, een bedrijf dat vermoedelijk banden had met de Chinese overheid.
Volgens de aanklacht hebben Guan en zijn mede-samenzweerders malware ontworpen om gegevens te exfiltreren en de functionaliteit van de firewall te verstoren. Het DoJ verklaarde: “Guan Tianfeng wordt gezocht vanwege zijn vermeende rol in het samenzweren om zonder toestemming toegang te krijgen tot de firewalls van Sophos, deze te beschadigen en gegevens op te halen en te exfiltreren.” Er zijn onderzoeken gaande en de FBI heeft publieke hulp gezocht bij het identificeren van anderen die bij de aanslagen betrokken waren.
De activiteiten van Guan omvatten naar verluidt het misbruiken van kwetsbaarheden om informatie te stelen en vervolgens het inzetten van een ransomwarevariant, de Ragnarok-malware, gericht op het coderen van bestanden van slachtoffers die probeerden de infecties te herstellen. De bedoeling om hun activiteiten te verbergen betrof het registreren van domeinen die Sophos nabootsten, zoals sophosfirewallupdate.com.
In 2021 had Sophos al de nadruk gelegd op de verfijning van de cyberdreigingen waarmee ze werden geconfronteerd, wat aangeeft dat talloze incidenten werden gepleegd door Advanced Persistent Threat (APT)-groepen met aanzienlijke kennis van Sophos-apparaten. Na de incidenten had Sophos snelle tegenmaatregelen genomen die verdere exploits hielpen beperken. “Als een van deze slachtoffers er niet in was geslaagd hun systemen te patchen… had de potentiële impact… kunnen resulteren in ernstig letsel of het verlies van mensenlevens”, aldus het Amerikaanse ministerie van Financiën.
Als reactie op deze cyberdreigingen heeft de Amerikaanse regering sancties opgelegd aan zowel Guan als Sichuan Silence, waarbij zij benadrukt dat dergelijke cyberactiviteiten aanzienlijke risico’s met zich meebrengen voor zowel de nationale veiligheid als de openbare veiligheid. De aanklacht weerspiegelt een bredere inspanning om het hoofd te bieden aan de uitdagingen van door buitenlandse staten gesponsorde cyberactoren, met name die welke in China zijn gevestigd.
Het Amerikaanse ministerie van Buitenlandse Zaken heeft ook beloningen tot 10 miljoen dollar aangeboden voor informatie die leidt tot het identificeren van personen die betrokken zijn bij kwaadaardige cyberactiviteiten tegen Amerikaanse kritieke infrastructuur. Naarmate het onderzoek voortduurt, benadrukken functionarissen de noodzaak van gezamenlijke inspanningen op het gebied van cyberbeveiliging om de aanhoudende dreiging van buitenlandse actoren te bestrijden.
Uitgelichte afbeeldingscredits: Vergelijk glasvezel/Unsplash
