ABD hükümeti Salı günü, 2020 yılında dünya çapında binlerce Sophos güvenlik duvarı cihazına girdiği iddia edilen bir Çin vatandaşına yönelik suçlamaları açıkladı.
Sichuan Silence Information Technology Company Limited’de çalıştığı söylenen Guan Tianfeng (aka gbigmao ve gxiaomao), bilgisayar dolandırıcılığı yapmak için komplo kurmak ve elektronik dolandırıcılık yapmak için komplo kurmakla suçlandı. Guan, Sophos güvenlik duvarlarına yönelik saldırıları gerçekleştirmek için kullanılan sıfır gün güvenlik açığını geliştirmek ve test etmekle suçlanıyor.
ABD Federal Soruşturma Bürosu (FBI), “Guan Tianfeng, Sophos güvenlik duvarlarına izinsiz erişme, onlara zarar verme ve hem güvenlik duvarlarından hem de bu güvenlik duvarlarının arkasındaki bilgisayarlardan veri alıp sızdırma komplosu yapma iddiasıyla aranıyor.” söz konusu. “Bu istismar yaklaşık 81.000 güvenlik duvarına sızmak için kullanıldı.”
Söz konusu sıfır gün güvenlik açığı CVE-2020-12271’dir (CVSS puanı: 9,8), kötü niyetli bir aktör tarafından duyarlı Sophos güvenlik duvarlarında uzaktan kod yürütülmesini sağlamak için kullanılabilecek ciddi bir SQL enjeksiyon hatasıdır.
Ekim 2024’ün sonlarında Pacific Rim adı altında yayınlanan bir dizi raporda Sophos, Sichuan Silence’ın Double Helix Araştırma Enstitüsü ile ilişkili araştırmacılardan Nisan 2020’de kusur hakkında “aynı zamanda son derece yararlı ancak şüpheli” bir hata ödülü raporu aldığını açıkladı. Bir gün sonra, kullanıcı adları ve şifreler de dahil olmak üzere Asnarök truva atı kullanılarak hassas verilerin çalınması amacıyla gerçek dünyadaki saldırılarda istismar edildi.
Bu, Mart 2022’de ikinci kez, şirketin Çin merkezli isimsiz bir araştırmacıdan iki ayrı kusurun ayrıntılarını içeren başka bir rapor almasıyla gerçekleşti: Sophos güvenlik duvarlarında bulunan ve kimlik doğrulamayı engelleyen kritik bir kimlik doğrulama hatası olan CVE-2022-1040 (CVSS puanı: 9,8). uzak saldırganın rastgele kod yürütmesine ve OpenSSL’de bir komut ekleme hatası olan CVE-2022-1292’ye (CVSS puanı: 9,8) CVE-2022-1040’ın vahşi ortamda kullanılmasına Kişisel Panda adı verilmiştir.
ABD Adalet Bakanlığı (DoJ), “Guan ve suç ortakları, kötü amaçlı yazılımı güvenlik duvarlarından bilgi çalmak için tasarladılar” dedi. “Faaliyetlerini daha iyi gizlemek için Guan ve suç ortakları, sophosfirewallupdate gibi Sophos tarafından kontrol ediliyormuş gibi görünecek şekilde tasarlanmış alan adlarını kaydettirdiler ve kullandılar.[.]com.”
Sophos, kurbanların virüslü Windows sistemlerinden yapıları kaldırmaya çalışması durumunda Ragnarok fidye yazılımının bir türevini konuşlandırarak karşı önlemleri uygulamaya başlayınca, tehdit aktörleri de kötü amaçlı yazılımlarını değiştirmek için harekete geçti. Adalet Bakanlığı, bu çabaların başarısız olduğunu söyledi.
İddianameyle eş zamanlı olarak ABD Hazine Bakanlığı’nın Yabancı Varlıklar Kontrol Ofisi (OFAC), kurbanların çoğunun ABD’nin kritik altyapı şirketleri olduğunu belirterek Sichuan Silence ve Guan’a yaptırımlar uyguladı.
Sichuan Silence’ın, hizmetlerini Çin istihbarat teşkilatlarına sunan, onları ağ istismarı, e-posta izleme, kaba kuvvetle şifre kırma ve kamuoyunun duyarlılığını bastırma yetenekleriyle donatan, Chengdu merkezli bir siber güvenlik hükümeti yüklenicisi olduğu değerlendirildi. Ayrıca müşterilere, hedef ağ yönlendiricilerini araştırmak ve bunlardan yararlanmak için tasarlanmış ekipmanlar sağladığı da söyleniyor.
Aralık 2021’de Meta, Sichuan Silence ile bağlantılı 524 Facebook hesabını, 20 Sayfayı, dört Grubu ve Instagram’daki 86 hesabı kaldırdığını ve İngilizce ve Çince konuşan kitleleri KOVİD-19 ile ilgili dezenformasyonla hedef aldığını söyledi.
Hazine, “İhlal edilen güvenlik duvarlarının 23.000’den fazlası ABD’deydi. Bu güvenlik duvarlarından 36’sı ABD’nin kritik altyapı şirketlerinin sistemlerini koruyordu” dedi. “Bu kurbanlardan herhangi biri, istismarı azaltmak için sistemlerine yama yapmamış olsaydı veya siber güvenlik önlemleri izinsiz girişi tespit edip hızlı bir şekilde düzeltmeseydi, Ragnarok fidye yazılımı saldırısının potansiyel etkisi ciddi yaralanmalara veya insan yaşamının kaybına neden olabilirdi. “
Ayrı olarak, Dışişleri Bakanlığı, Sichuan Silence, Guan veya yabancı bir hükümetin yönetimi altında ABD’nin kritik altyapı kuruluşlarına yönelik siber saldırılara katılacak diğer kişiler hakkında bilgi verenlere 10 milyon dolara kadar ödül verileceğini duyurdu.
Sophos’un bilgi güvenliği şefi Ross McKerchar, The Hacker News ile paylaştığı bir açıklamada, “Çin ulus devleti düşmanlarının boyutu ve kalıcılığı, kritik altyapının yanı sıra şüphelenmeyen, gündelik işler için de önemli bir tehdit oluşturuyor.” dedi.
“Onların acımasız kararlılıkları, Gelişmiş Kalıcı Tehdit olmanın ne anlama geldiğini yeniden tanımlıyor; bu değişimi bozmak, kolluk kuvvetleri de dahil olmak üzere sektör genelinde bireysel ve kolektif eylem gerektiriyor. Eğer gerekli önlemleri almazsak, bu grupların yavaşlamasını bekleyemeyiz. Bunları aşmak için zaman ve çaba harcamalıyız ve buna güvenlik açıkları konusunda erken şeffaflık ve daha güçlü yazılım geliştirme taahhüdü de dahildir.”