Het Amerikaanse ministerie van Financiën heeft het Chinese cyberbeveiligingsbedrijf SichuanSilence en een van zijn werknemers gesanctioneerd vanwege hun rol in een reeks Ragnarok-ransomware-aanvallen in april 2020 die gericht waren op Amerikaanse kritieke infrastructuurbedrijven en tal van andere slachtoffers over de hele wereld.
Volgens het Office of Foreign Assets Control (OFAC) van het Amerikaanse ministerie van Buitenlandse Zaken is Sichuan Silent Information Technology Co., Ltd. een in Chengdu gevestigde overheidscontractant op het gebied van cyberbeveiliging (onlangs gemeld door het NattoThoughts-team) die producten en diensten levert aan kernklanten, waaronder Chinese inlichtingendiensten.
De diensten van het bedrijf omvatten de ontwikkeling van computernetwerken, het kraken van wachtwoorden met brute kracht, het monitoren van e-mail en het onderdrukken van publieke sentimenten.
OFAC zei dat de zero-day-kwetsbaarheid die in de campagne van april 2020 werd gebruikt, werd ontdekt in een naamloos firewallproduct door beveiligingsonderzoeker Guan Tianfeng (ook bekend als GbigMao), een medewerker van Sichuan Silent Information Technology Co., Ltd.
Uit het persbericht van vandaag blijkt: "Tussen 22 en 25 april 2020 heeft GuanTianfeng deze zero-day kwetsbaarheid misbruikt om malware te implementeren op ongeveer 81.000 firewalls die eigendom zijn van duizenden bedrijven over de hele wereld. Het doel van de kwetsbaarheid was om gecompromitteerde firewalls te misbruiken om gegevens te stelen, inclusief gebruikersnamen en wachtwoorden. Guan probeerde echter ook de systemen van slachtoffers te infecteren met een Ragnarok-ransomwarevariant."
Van alle gecompromitteerde apparaten bevonden ruim 2.000 van de gecompromitteerde firewalls zich in de Verenigde Staten, waarvan er 36 de netwerken van Amerikaanse kritieke infrastructuurbedrijven beschermden.
Dinsdag kondigde het Amerikaanse ministerie van Justitie (DOJ) ook een aanklacht aan tegen Guan, en het Amerikaanse ministerie van Buitenlandse Zaken kondigde een beloning van maximaal $ 10 miljoen aan via het ‘Rewards for Justice’-programma aan iedereen die informatie verstrekt over Sichuan Silence of Guan.
Het Amerikaanse ministerie van Buitenlandse Zaken en Justitie heeft bevestigd dat de Ragnarok-ransomwarecampagne van april 2020 misbruik maakte van een zero-day SQL-injectiekwetsbaarheid (CVE-2020-12271) in de SophosXG-firewall.
Het ministerie van Buitenlandse Zaken zei: “In 2020 ontwikkelden en testten de Chinese staatsburger Guan Tianfeng en andere medewerkers van Sichuan Silent Information Technology Co., Ltd. inbraaktechnieken en implementeerden vervolgens malware die misbruik maakte van zero-day-kwetsbaarheden in bepaalde firewalls die werden verkocht door het Britse cyberbeveiligingsbedrijf Sophos Ltd. Ze implementeerden wereldwijd malware die ongeoorloofde toegang tot bepaalde Sophos-firewalls mogelijk maakte, schade aan de firewalls veroorzaakte en hen in staat stelde gegevens op te halen en te exfiltreren uit de firewalls zelf en van computers daarachter. firewalls."
De aanvallers maakten aanvankelijk misbruik van een zero-day-kwetsbaarheid om externe code-uitvoering op de SophosXG-firewall te verkrijgen en installeerden ELF-binaire bestanden en scripts die deel uitmaakten van een kwaadaardige toolkit genaamd de Asnarök Trojan.
Nadat Sophos de aanval had gedetecteerd, heeft het het apparaat gepatcht en een hotfix gebruikt om het kwaadaardige script te verwijderen. De bedreigingsacteur activeerde echter een "dodemansschakelaar" die de Ragnarok-ransomware-aanval op Windows-machines in het netwerk van het slachtoffer veroorzaakte.
Als gevolg van de huidige sancties is het Amerikaanse organisaties en burgers verboden om transacties uit te voeren met deze entiteit en dit individu. Bovendien zullen alle Amerikaanse tegoeden die daarmee verband houden, worden bevroren, en zullen ook Amerikaanse financiële instellingen of buitenlandse entiteiten die transacties met hen uitvoeren, worden bestraft.
In november 2021 ontmantelde Meta Company twee hackernetwerken, waaronder 524 Facebook-accounts en 86 Instagram-accounts gerelateerd aan Sichuan Silent Company. Meta zei destijds dat de accounts werden gebruikt om COVID-19-gerelateerde propagandacampagnes uit te voeren, gericht op Engelssprekende gebruikers in de Verenigde Staten en het Verenigd Koninkrijk, maar ook op Chineessprekende gebruikers in Taiwan, Hong Kong en Tibet.