I 2020 blev 81.000 firewalls kompromitteret, da hackere, i forbindelse med et omfattende ransomware-angreb mod kritisk amerikansk infrastruktur og virksomheder over hele verden, udnyttede en zero-day sårbarhed i en firewall fra selskabet Sophos.
Nu har det amerikanske finansministerium valgt at sanktionere et kinesisk firma og én af dets ansatte, som ministeriet mener er ansvarlige for angrebet.
I et anklageskrift fra det amerikanske justitsministerium udpeges en person ved navn Guan Tianfeng, der ifølge ministeriet stod bag angrebet i samarbejde med kolleger fra virksomheden Sichuan Silence Information Technology Co. Ltd.
Udlover kæmpe dusør
I forbindelse med offentliggørelsen af anklageskriftet har de amerikanske myndigheder ligeledes valgt at udlove en dusør på 10 millioner dollar til folk, der kan bidrage til pågribelsen af Guan Tianfeng.
Målet med angrebet var ifølge myndighederne at stjæle data såsom brugernavne og adgangskoder.
“Mellem den 22. og 25. april 2020 brugte Guan Tianfeng en zero-day sårbarhed til at installere malware på cirka 81.000 firewalls, der tilhørte tusindvis af virksomheder verden over,” lyder anklagen fra det amerikanske justitsministerium.
Kunne have kostet menneskeliv
I forbindelse med angrebet forsøgte hackerne at inficere de kompromitterede systemer med ransomwaren Ragnarok, men en hurtig opdatering fra Sophos betød, at sikkerhedshullet blev lukket i tide, og angrebet blev afværget.
De amerikanske myndigheder vurderer, at angrebet, hvis det var lykkedes, kunne have resulteret i tab af menneskeliv.
Sichuan Silence har ifølge de amerikanske myndigheder tætte bånd til den kinesiske stat, hvor selskabet angiveligt fungerer som cybersikkerhedsleverandør for den kinesiske efterretningstjeneste.
Virksomheden tilbyder blandt andet ydelser som hacking af computernetværk, overvågning af e-mails og brydning af adgangskoder via såkaldte brute-force-metoder, hvor forskellige kombinationer systematisk afprøves, indtil den korrekte adgangskode findes.
Guan Tianfeng var ifølge myndighederne it-sikkerhedsspecialist hos Sichuan Silence, da angrebet blev udført i 2020.
“Guan deltog i cybersikkerhedsturneringer for Sichuan Silence og delte nyligt opdagede zero-day sårbarheder på fora for sårbarheder og exploits, ofte under navnet ‘GbigMao’,” lyder det fra de amerikanske myndigheder.
Computerworld har tidligere fortalt om Sophos' kamp om at skubbe de kinesiske spioner ud af selskabernes firewalls. Det kan du læse mere om her.