Il Dipartimento di Giustizia degli Stati Uniti (DoJ) ha incriminato Guan Tianfengcittadino cinese, per aver presumibilmente sfruttato una vulnerabilità zero-day nei firewall Sophos, compromettendo circa 81.000 dispositivi in tutto il mondo nel 2020. Guan è accusato di aver utilizzato malware per rubare dati sensibili e violare sistemi di infrastrutture critiche.
La vulnerabilità sfruttata CVE-2020-12271aveva un punteggio di gravità critica pari a 9,8 sulla scala CVSS. Ha consentito agli aggressori di ottenere accesso non autorizzato ai dispositivi firewall Sophos attraverso difetti di SQL injection. Dei dispositivi interessati, oltre 23.000 si trovavano negli Stati Uniti, inclusi 36 sistemi legati a infrastrutture critiche. Guan, che operava sotto gli pseudonimi gbigmao e gxiaomao, lavorava per Sichuan Silence Information Technology Co., Ltd., una società con presunti collegamenti con il governo cinese.
Secondo il accusaGuan e i suoi soci hanno progettato un malware per estrarre dati e interrompere le operazioni del firewall. L’FBI ha chiesto assistenza pubblica per identificare le altre persone coinvolte, mentre continuano le indagini sull’attacco.
Le accuse contro Guan includono anche l’implementazione di una variante del ransomware, Ragnarokper crittografare i file sui sistemi vittima nel tentativo di affrontare le infezioni. Il gruppo ha mascherato le proprie operazioni utilizzando domini ingannevoli come sophosfirewallupdate.com apparire legittimo.
Sophos aveva già riconosciuto la crescente sofisticazione degli attacchi informatici contro i suoi dispositivi entro il 2021. L’azienda ha attribuito molti di questi incidenti a minaccia persistente avanzata (APT) gruppi con una conoscenza specializzata dei suoi sistemi. In seguito all’attacco, Sophos ha implementato rapide contromisure per mitigare ulteriori sfruttamenti. Il Dipartimento del Tesoro degli Stati Uniti ha evidenziato il grave impatto potenziale di tali vulnerabilità, sottolineando che la mancata applicazione delle patch ai sistemi interessati avrebbe potuto portare a esiti catastrofici, tra cui lesioni o perdita di vite umane.
In risposta a queste attività informatiche, il governo degli Stati Uniti ha imposto sanzioni a Guan e Sichuan Silence, sottolineando i rischi per la sicurezza nazionale posti dagli attacchi informatici sponsorizzati dallo stato. L’accusa fa parte di una strategia più ampia per affrontare le sfide presentate dagli attori informatici stranieri, in particolare quelli legati al governo cinese.
Il Dipartimento di Stato americano ha annunciato ricompense fino a $ 10 milioni per informazioni che consentano l’identificazione di individui coinvolti in attacchi informatici contro le infrastrutture critiche statunitensi. I funzionari continuano a sottolineare l’importanza della collaborazione globale negli sforzi di sicurezza informatica per contrastare le minacce persistenti da parte di avversari stranieri.
Credito immagine in primo piano: David Trinks/Unsplash
Il post Violazione del Sophos Firewall: l’FBI cerca aiuto pubblico per identificare i cospiratori è apparso per la prima volta su TechBriefly.
Source: Violazione del Sophos Firewall: l’FBI cerca aiuto pubblico per identificare i cospiratori
