Das US-Finanzministerium verhängte Sanktionen gegen das chinesische Cybersicherheitsunternehmen SichuanSilence und einen seiner Mitarbeiter wegen ihrer Rolle bei einer Reihe von Ragnarok-Ransomware-Angriffen im April 2020, die auf kritische US-Infrastrukturunternehmen und zahlreiche andere Opfer auf der ganzen Welt abzielten.
Nach Angaben des Office of Foreign Assets Control (OFAC) des US-Außenministeriums ist Sichuan Silent Information Technology Co., Ltd. ein in Chengdu ansässiger Regierungsbeauftragter für Cybersicherheit (kürzlich vom NattoThoughts-Team berichtet), der Produkte und Dienstleistungen für Kernkunden einschließlich chinesischer Geheimdienste bereitstellt.
Zu den Dienstleistungen des Unternehmens gehören die Entwicklung von Computernetzwerken, das Knacken von Passwörtern mit Brute-Force-Angriffen, die Überwachung von E-Mails und die Unterdrückung öffentlicher Stimmungen.
OFAC sagte, dass die in der Kampagne vom April 2020 genutzte Zero-Day-Schwachstelle in einem unbenannten Firewall-Produkt vom Sicherheitsforscher Guan Tianfeng (alias GbigMao), einem Mitarbeiter von Sichuan Silent Information Technology Co., Ltd., entdeckt wurde.
Die heutige Pressemitteilung enthüllte: „Zwischen dem 22. und 25. April 2020 nutzte GuanTianfeng diese Zero-Day-Schwachstelle aus, um Malware auf etwa 81.000 Firewalls von Tausenden von Unternehmen auf der ganzen Welt zu verteilen. Der Zweck der Schwachstelle bestand darin, kompromittierte Firewalls auszunutzen, um Daten, einschließlich Benutzernamen und Passwörter, zu stehlen. Guan versuchte jedoch auch, die Systeme der Opfer mit einer Ragnarok-Ransomware-Variante zu infizieren.“
Von allen kompromittierten Geräten befanden sich mehr als 2.000 der kompromittierten Firewalls in den Vereinigten Staaten, von denen 36 die Netzwerke von US-amerikanischen Unternehmen für kritische Infrastruktur schützten.
Am Dienstag kündigte auch das US-Justizministerium (DOJ) eine Anklage gegen Guan an, und das US-Außenministerium kündigte eine Belohnung von bis zu 10 Millionen US-Dollar im Rahmen des „Rewards for Justice“-Programms für jeden an, der Informationen über Sichuan Silence oder Guan liefert.
Das US-Außen- und Justizministerium bestätigte, dass die Ragnarok-Ransomware-Kampagne vom April 2020 eine Zero-Day-SQL-Injection-Schwachstelle (CVE-2020-12271) in der SophosXG-Firewall ausnutzte.
Das Außenministerium sagte: „Im Jahr 2020 entwickelten und testeten der chinesische Staatsbürger Guan Tianfeng und andere Mitarbeiter von Sichuan Silent Information Technology Co., Ltd. Einbruchstechniken und setzten dann Malware ein, die Zero-Day-Schwachstellen in bestimmten Firewalls des britischen Cybersicherheitsunternehmens Sophos Ltd. ausnutzte. Sie setzten weltweit Malware ein, die unbefugten Zugriff auf bestimmte Sophos-Firewalls ermöglichte, Schäden an den Firewalls verursachte und es ihnen ermöglichte, Daten von den Firewalls selbst und von dahinter liegenden Computern abzurufen und zu exfiltrieren.“ diese Firewalls.“
Die Angreifer nutzten zunächst eine Zero-Day-Schwachstelle aus, um Remote-Codeausführung auf der SophosXG-Firewall zu ermöglichen, und installierten ELF-Binärdateien und -Skripte, die Teil eines bösartigen Toolkits namens Asnarök-Trojaner waren.
Nachdem Sophos den Angriff erkannt hatte, wurde das Gerät gepatcht und das schädliche Skript mithilfe eines Hotfixes entfernt. Allerdings aktivierte der Bedrohungsakteur einen „Totmannschalter“, der den Ragnarok-Ransomware-Angriff auf Windows-Rechner im Netzwerk des Opfers auslöste.
Aufgrund der heutigen Sanktionen ist es US-amerikanischen Organisationen und Bürgern untersagt, mit dieser juristischen Person und Einzelperson Geschäfte zu tätigen. Darüber hinaus werden alle damit verbundenen US-Vermögenswerte eingefroren, und auch US-Finanzinstitute oder ausländische Unternehmen, die mit ihnen Transaktionen durchführen, müssen mit Strafen rechnen.
Im November 2021 zerlegte Meta Company zwei Hacker-Netzwerke, darunter 524 Facebook-Konten und 86 Instagram-Konten im Zusammenhang mit Sichuan Silent Company. Meta sagte damals, dass die Konten zur Durchführung von Propagandakampagnen im Zusammenhang mit COVID-19 verwendet wurden, die sich an englischsprachige Benutzer in den Vereinigten Staaten und im Vereinigten Königreich sowie an chinesischsprachige Benutzer in Taiwan, Hongkong und Tibet richteten.