美国政府宣布制裁参与勒索软件攻击中入侵防火墙的中国公司
站长云网美国财政部制裁了中国网络安全公司SichuanSilence(四川无声信息技术有限公司)及其一名员工,原因是他们参与了2020年4月针对美国关键基础设施公司和全球许多其他受害者的一系列Ragnarok勒索软件攻击。
根据美国国务院外国资产控制办公室(OFAC)的资料,四川无声信息技术有限公司是一家总部位于成都的网络安全政府承包商(最近由NattoThoughts团队进行了报道),为中国情报部门等核心客户提供产品和服务。
该公司的服务包括计算机网络开发、暴力破解密码、电子邮件监控和压制公众情绪。
OFAC称,在2020年4月的活动中使用的零日漏洞是由安全研究员、四川无声信息技术有限公司员工GuanTianfeng(又名GbigMao)在一个未命名的防火墙产品中发现的。
今天发布的新闻稿透露:"在2020年4月22日至25日期间,GuanTianfeng利用这个零日漏洞在全球数千家企业拥有的约81000台防火墙上部署了恶意软件。该漏洞的目的是利用被入侵的防火墙窃取数据,包括用户名和密码。不过,Guan还试图用Ragnarok勒索软件变种感染受害者的系统。"
在所有被攻击的设备中,超过2000台被入侵的防火墙位于美国,其中36台保护着美国关键基础设施公司的网络。
本周二,美国司法部(DOJ)还公布了对Guan的起诉书,美国国务院宣布通过"正义的奖赏"(RewardsforJustice)计划向提供有关四川无声或Guan的信息的人提供高达1000万美元的奖励。
美国国务院和司法部证实,2020年4月的Ragnarok勒索软件活动利用了SophosXG防火墙中的零日SQL注入漏洞(CVE-2020-12271) 零日SQL注入漏洞。
国务院称:"2020年,中国公民GuanTianfeng四川无声信息技术有限公司的其他员工开发并测试了入侵技术,然后部署了恶意软件,利用英国网络安全公司SophosLtd出售的某些防火墙中的零日漏洞。他们在全球部署恶意软件,允许未经授权访问某些Sophos防火墙,对防火墙造成破坏,并允许他们从防火墙本身和这些防火墙后面的计算机中检索和外泄数据。"
攻击者最初利用零日漏洞在SophosXG防火墙上获取远程代码执行,并安装了ELF二进制文件和脚本,这些文件和脚本是名为Asnarök木马的恶意工具包的一部分。
Sophos检测到攻击后,为设备打了补丁,并使用热修复程序删除了恶意脚本。然而,威胁行动者激活了一个"死人开关",触发了对受害者网络中Windows机器的Ragnarok勒索软件攻击。
由于今天的制裁,美国组织和公民被禁止与这家实体与个人进行交易。此外,与他们有关的任何美国资产都将被冻结,与他们进行交易的美国金融机构或外国实体也将面临处罚。
2021年11月,Meta公司捣毁两个黑客网络,其中有524个Facebook账户和86个Instagram账户与四川无声公司有关联。Meta当时表示,这些账户被用于针对美国和英国的英语用户,以及台湾、香港和西藏的中文用户开展COVID-19相关宣传活动。
踩一下[0]
顶一下[0]