O governo dos Estados Unidos apresentou, nesta terça-feira (19), acusações contra o cidadão chinês Guan Tianfeng, também conhecido como gbigmao e gxiaomao, por supostamente invadir milhares de dispositivos de firewall da Sophos em 2020.
Guan, que teria trabalhado na Sichuan Silence Information Technology Company, foi acusado de conspiração para cometer fraude informática e fraude eletrônica. Ele é apontado como responsável por desenvolver e testar uma vulnerabilidade zero-day usada em ataques contra os firewalls da Sophos.
De acordo com o FBI, "Guan Tianfeng é procurado por seu papel na conspiração para acessar os firewalls da Sophos sem autorização, causar danos e exfiltrar dados dos dispositivos e das redes protegidas por eles. O ataque afetou cerca de 81 mil firewalls."
A vulnerabilidade zero-day explorada foi identificada como CVE-2020-12271, um grave problema de injeção SQL (pontuação CVSS: 9.8) que permitia execução remota de código nos firewalls vulneráveis.
Em abril de 2020, pesquisadores ligados ao Instituto de Pesquisa Double Helix da Sichuan Silence relataram a falha à Sophos por meio de um programa de recompensas por bugs. No entanto, um dia após o relatório, a vulnerabilidade começou a ser explorada em ataques reais, utilizando o trojan Asnarök para roubar dados sensíveis, como nomes de usuários e senhas.
Em março de 2022, a Sophos recebeu outro relatório anônimo de um pesquisador baseado na China, detalhando duas novas falhas críticas:
CVE-2022-1040 (CVSS: 9.8): bypass de autenticação em firewalls Sophos, permitindo execução de código remoto.
CVE-2022-1292 (CVSS: 9.8): falha de injeção de comando no OpenSSL.
Essas vulnerabilidades foram associadas a grupos de atividade rastreados como Personal Panda e TStark, ambos envolvidos em ataques direcionados a uma organização tibetana com 18 meses de diferença.
Segundo o Departamento de Justiça dos EUA (DoJ), Guan e seus colaboradores projetaram malwares para roubar informações de firewalls e ocultar suas atividades ao registrar domínios semelhantes aos da Sophos, como sophosfirewallupdate[.]com.
Quando a Sophos implementou medidas de segurança, os atacantes modificaram o malware e até usaram uma variante do ransomware Ragnarok para frustrar tentativas de remoção. Contudo, essas ações não tiveram êxito.
Além das acusações criminais, o Departamento do Tesouro dos EUA sancionou Guan e a Sichuan Silence, citando que muitas das vítimas eram empresas críticas da infraestrutura dos EUA. A Sichuan Silence foi identificada como um contratante de segurança cibernética ligado a agências de inteligência chinesas, fornecendo ferramentas para exploração de redes, monitoramento de e-mails e manipulação de opinião pública.
O Departamento de Estado dos EUA também anunciou uma recompensa de até US$ 10 milhões por informações sobre Guan, a Sichuan Silence ou outros envolvidos em ataques contra a infraestrutura crítica do país.
O impacto dos ataques foi significativo: mais de 23 mil firewalls comprometidos estavam nos EUA, incluindo 36 dispositivos que protegiam sistemas de infraestrutura crítica. Caso os ataques tivessem ocorrido sem mitigação adequada, poderiam ter causado graves danos ou até a perda de vidas humanas.
Ross McKerchar, diretor de segurança da informação da Sophos, destacou: "A escala e persistência dos adversários ligados ao Estado chinês representam uma ameaça significativa à infraestrutura crítica e empresas comuns. Superar essa ameaça exige esforços coletivos e inovação contínua em toda a indústria."
Via - THN
Comments