Παραβίαση τείχους προστασίας Sophos: 81.000 συσκευές παραβιάστηκαν από την κινεζική εθνική

Ένα ομοσπονδιακό κατηγορητήριο έχει κατηγορήσει Κινέζο υπήκοο Γκουάν Τιανφένγκ με την εκμετάλλευση μιας ευπάθειας zero-day στα τείχη προστασίας του Sophos, επηρεάζοντας περίπου 81.000 συσκευές παγκοσμίως το 2020. Το Υπουργείο Δικαιοσύνης των ΗΠΑ (DoJ) ισχυρισμοί ότι ο Guan συνωμότησε για να αναπτύξει κακόβουλο λογισμικό που έθετε σε κίνδυνο ευαίσθητα δεδομένα και διείσδυσε σε κρίσιμη υποδομή.

Κινέζος υπήκοος κατηγορείται για εκμετάλλευση τρωτών σημείων του τείχους προστασίας του Sophos

Η ευπάθεια, ταξινομημένη ως CVE-2020-12271 και βαθμολογήθηκε με υψηλή βαθμολογία CVSS 9,8, επέτρεψε τη μη εξουσιοδοτημένη πρόσβαση μέσω σφαλμάτων SQL injection σε συσκευές τείχους προστασίας Sophos. Συγκεκριμένα, περισσότερα από 23.000 από τα παραβιασμένα τείχη προστασίας βρίσκονταν στις Ηνωμένες Πολιτείες, με 36 να εξυπηρετούν συστήματα υποδομής ζωτικής σημασίας των ΗΠΑ. Ο Guan, γνωστός και με τα ψευδώνυμα gbigmao και gxiaomao, απασχολήθηκε από την Sichuan Silence Information Technology Co., Ltd, μια εταιρεία που πιστεύεται ότι έχει δεσμούς με την κινεζική κυβέρνηση.

Σύμφωνα με το κατηγορητήριο, ο Guan και οι συνεργάτες του σχεδίασαν κακόβουλο λογισμικό για την εξαγωγή δεδομένων και τη διακοπή της λειτουργίας του τείχους προστασίας. Το DoJ δήλωσε: «Ο Guan Tianfeng καταζητείται για τον υποτιθέμενο ρόλο του στη συνωμοσία για πρόσβαση στα τείχη προστασίας του Sophos χωρίς εξουσιοδότηση, πρόκληση ζημιάς σε αυτά και ανάκτηση και διήθηση δεδομένων». Οι έρευνες συνεχίζονται και το FBI έχει ζητήσει τη βοήθεια του κοινού για τον εντοπισμό άλλων εμπλεκομένων στις επιθέσεις.

Οι δραστηριότητες του Guan φέρεται να περιλάμβαναν την εκμετάλλευση ευπαθειών για την κλοπή πληροφοριών και στη συνέχεια την ανάπτυξη μιας παραλλαγής ransomware, του κακόβουλου λογισμικού Ragnarok, με στόχο την κρυπτογράφηση αρχείων θυμάτων που προσπαθούσαν να αποκαταστήσουν τις μολύνσεις. Η πρόθεση να κρύψουν τις δραστηριότητές τους περιελάμβανε την καταχώριση τομέων που μιμούνταν το Sophos, όπως το sophosfirewallupdate.com.

Το 2021, η Sophos είχε ήδη επισημάνει την πολυπλοκότητα των απειλών στον κυβερνοχώρο που αντιμετώπιζαν, υποδεικνύοντας ότι πολλά περιστατικά διαπράχθηκαν από ομάδες προηγμένων επίμονων απειλών (APT) με σημαντική γνώση των συσκευών Sophos. Μετά τα επεισόδια, η Sophos είχε εφαρμόσει γρήγορα αντίμετρα που βοήθησαν στον μετριασμό περαιτέρω εκμεταλλεύσεων. «Εάν κάποιο από αυτά τα θύματα είχε αποτύχει να επιδιορθώσει τα συστήματά του… ο πιθανός αντίκτυπος… θα μπορούσε να οδηγήσει σε σοβαρό τραυματισμό ή απώλεια ανθρώπινων ζωών», δήλωσε το Υπουργείο Οικονομικών των ΗΠΑ.

Απαντώντας σε αυτές τις απειλές στον κυβερνοχώρο, η κυβέρνηση των ΗΠΑ έχει επιβάλει κυρώσεις τόσο κατά της Guan όσο και της Sichuan Silence, τονίζοντας ότι τέτοιες δραστηριότητες στον κυβερνοχώρο ενέχουν σημαντικούς κινδύνους τόσο για την εθνική ασφάλεια όσο και για τη δημόσια ασφάλεια. Το κατηγορητήριο αντικατοπτρίζει μια ευρύτερη προσπάθεια για την αντιμετώπιση των προκλήσεων που τίθενται από ξένους κρατικούς φορείς στον κυβερνοχώρο, ιδιαίτερα εκείνους που εδρεύουν στην Κίνα.

Το Υπουργείο Εξωτερικών των ΗΠΑ έχει επίσης προσφέρει ανταμοιβές έως και 10 εκατομμυρίων δολαρίων για πληροφορίες που οδηγούν στον εντοπισμό ατόμων που εμπλέκονται σε κακόβουλες δραστηριότητες στον κυβερνοχώρο κατά των υποδομών ζωτικής σημασίας των ΗΠΑ. Καθώς οι έρευνες συνεχίζονται, αξιωματούχοι υπογραμμίζουν την ανάγκη για συλλογικές προσπάθειες στον τομέα της κυβερνοασφάλειας για την καταπολέμηση της επίμονης απειλής από ξένους παράγοντες.

Πίστωση επιλεγμένης εικόνας: Συγκρίνετε Fibre/Unsplash