Eine Bundesanklageschrift hat einen chinesischen Staatsbürger angeklagt Guan Tianfeng mit der Ausnutzung einer Zero-Day-Schwachstelle in Sophos-Firewalls, von der im Jahr 2020 weltweit etwa 81.000 Geräte betroffen waren. Das US-Justizministerium (DoJ) behauptet dass Guan eine Verschwörung zum Einsatz von Malware plante, die sensible Daten gefährdete und kritische Infrastrukturen infiltrierte.
Chinesischer Staatsbürger wegen Ausnutzung von Schwachstellen in der Sophos-Firewall angeklagt
Die Schwachstelle, klassifiziert als CVE-2020-12271 und mit einem hohen CVSS-Score von 9,8 bewertet, erlaubte unbefugten Zugriff durch SQL-Injection-Fehler auf Sophos-Firewall-Geräten. Bemerkenswerterweise befanden sich mehr als 23.000 der kompromittierten Firewalls in den Vereinigten Staaten, von denen 36 kritische Infrastruktursysteme in den USA bedienten. Guan, auch bekannt unter den Pseudonymen gbigmao und gxiaomao, war bei Sichuan Silence Information Technology Co., Ltd. angestellt, einem Unternehmen, von dem angenommen wird, dass es Verbindungen zur chinesischen Regierung hat.
Der Anklageschrift zufolge haben Guan und seine Mitverschwörer Malware entwickelt, um Daten zu exfiltrieren und die Firewall-Funktionalität zu stören. Das Justizministerium erklärte: „Guan Tianfeng wird wegen seiner angeblichen Rolle bei der Verschwörung gesucht, unbefugt auf Sophos-Firewalls zuzugreifen, diese zu beschädigen und Daten abzurufen und zu exfiltrieren.“ Die Ermittlungen dauern an und das FBI hat um öffentliche Unterstützung gebeten, um weitere an den Angriffen beteiligte Personen zu identifizieren.
Guans Aktivitäten umfassten Berichten zufolge das Ausnutzen von Schwachstellen zum Diebstahl von Informationen und den anschließenden Einsatz einer Ransomware-Variante, der Ragnarok-Malware, die darauf abzielte, Dateien von Opfern zu verschlüsseln, die versuchten, die Infektionen zu beheben. Die Absicht, ihre Aktivitäten zu verbergen, bestand darin, Domänen zu registrieren, die Sophos nachahmten, wie zum Beispiel sophosfirewallupdate.com.
Im Jahr 2021 hatte Sophos bereits die Komplexität der Cyber-Bedrohungen hervorgehoben, mit denen sie konfrontiert waren, und darauf hingewiesen, dass zahlreiche Vorfälle von APT-Gruppen (Advanced Persistent Threat) mit erheblichen Kenntnissen über Sophos-Geräte verübt wurden. Nach den Vorfällen hatte Sophos schnelle Gegenmaßnahmen ergriffen, die dazu beitrugen, weitere Exploits einzudämmen. „Wenn eines dieser Opfer es versäumt hätte, seine Systeme zu patchen, hätten die potenziellen Auswirkungen zu schweren Verletzungen oder dem Verlust von Menschenleben führen können“, erklärte das US-Finanzministerium.
Als Reaktion auf diese Cyber-Bedrohungen hat die US-Regierung Sanktionen sowohl gegen Guan als auch gegen Sichuan Silence verhängt und betont, dass solche Cyber-Aktivitäten erhebliche Risiken sowohl für die nationale als auch für die öffentliche Sicherheit darstellen. Die Anklage spiegelt umfassendere Bemühungen zur Bewältigung der Herausforderungen wider, die von ausländischen, staatlich geförderten Cyber-Akteuren, insbesondere solchen mit Sitz in China, ausgehen.
Das US-Außenministerium hat außerdem Belohnungen von bis zu 10 Millionen US-Dollar für Informationen ausgesetzt, die zur Identifizierung von Personen führen, die an böswilligen Cyberaktivitäten gegen kritische Infrastrukturen der USA beteiligt sind. Während die Ermittlungen andauern, betonen Beamte die Notwendigkeit gemeinsamer Anstrengungen im Bereich der Cybersicherheit, um die anhaltende Bedrohung durch ausländische Akteure zu bekämpfen.
Hervorgehobener Bildnachweis: Vergleichen Sie Fibre/Unsplash
